E-Mail/Anti-Spam: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
(http zu https)
 
(7 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 3: Zeile 3:
==DNS-Blacklists==
==DNS-Blacklists==


Wir verwenden folgende Regeln anhand von DNS-Blacklists. Diese Listen enthalten IP-Adressen und wir prüfen lediglich nach, ob eine bestimmte IP-Adresse in einer bestimmten Liste steht.
Wir verwenden folgende Regeln anhand von DNS-Blacklists basierend auf IP-Adressen.
 
'''UPDATE:''' Durch die ungewisse Zukunft von SORBS haben wir diese Listen erst einmal abgeschaltet. Momentan testen wir andere DNS-BL auf Benutzbarkeit.


{| border="1"
{| border="1"
  ! Liste !! Beschreibung !! Aktion
  ! Liste !! Beschreibung !! Aktion
  |-
  |-
  | <strike>zombie.dnsbl.sorbs.net</strike> || Zombie-Rechner, also Rechner die sich so verhalten, dass man annehmen muss, sie sind von Spam-Absendern ferngesteuert || permanenter Fehler, von diesen Rechnern nehmen wir nichts an
  | cbl.abuseat.org || Composite Blocking List || Wird nicht angenommen
|-
| <strike>dnsbl.sorbs.net</strike> || Rechner, die auf irgendeiner Liste von SORBS stehen. Das sind z.B. alle dynamischen (eingewählten) Rechner, alle Rechner deren Admins nicht auf Beschwerden reagieren und dergleichen || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| pl.rbl.cluecentral.net || Rechner aus Polen || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| ro.rbl.cluecentral.net || Rechner aus Rumänien || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| kr.rbl.cluecentral.net || Rechner aus Korea || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
|-
| cn.rbl.cluecentral.net || Rechner aus China || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
  |-
  |-
  | jp.rbl.cluecentral.net || Rechner aus Japan || Hier wird die HELO-Angabe nach unten stehenden Regeln überprüft
  | ix.dnsbl.manitu.net || Anti-Spam-Projekt der iX || Wird nicht angenommen
  |}
  |}


Zeile 33: Zeile 21:
  |-
  |-
  | HELO || - || SPF-Eintrag für Hostname oder Domain der HELO-Angabe vorhanden aber IP-Adresse nicht erlaubt
  | HELO || - || SPF-Eintrag für Hostname oder Domain der HELO-Angabe vorhanden aber IP-Adresse nicht erlaubt
|-
| HELO (wenn dieses wegen DNS-Blacklist-Eintrag geprüft werden soll) || DNS-Server der Domain nicht erreichbar || keine gültige Domain, Hostname zeigt nicht auf verbundene IP-Adresse
  |-
  |-
  | MAIL FROM || DNS-Server der Domain nicht erreichbar || Domain syntaktisch nicht korrekt, Domain nicht gefunden, keine spitzen Klammern um die Adresse, kein Mailserver für eine Antwort zu ermitteln (DNS-Einstellungen der Domain kaputt)
  | MAIL FROM || DNS-Server der Domain nicht erreichbar || Domain syntaktisch nicht korrekt, Domain nicht gefunden, keine spitzen Klammern um die Adresse, kein Mailserver für eine Antwort zu ermitteln (DNS-Einstellungen der Domain kaputt)
  |-
  |-
  | RCPT TO || Mail an diesen Empfänger erzeugten bereits vorher temporäre Fehler (Fehlkonfiguration) || Empfänger unbekannt, Empfänger nicht lokal (Relaying)
  | RCPT TO || Mail an diesen Empfänger erzeugten bereits vorher temporäre Fehler (Fehlkonfiguration) || Empfänger unbekannt, Empfänger nicht lokal (Relaying), Eintrag auf Blacklist (s.o.)
  |-
  |-
  | DATA || Erster Versuch beim [[/Greylisting|Greylisting]] || -
  | DATA || Erster Versuch beim [[/Greylisting|Greylisting]] || -
  |}
  |}
== Greylisting und Spamfilter ==
Zusätzlich setzen wir Greylisting und einen Spamfilter (spamassassin) ein.


==Informationen zum HELO-Check==
==Informationen zum HELO-Check==


Laut [http://www.ietf.org/rfc/rfc2821.txt RFC 2821, Abschnitt 4.1.1.1] muss sich ein Rechner stets mit seinem korrekten Hostname (FQDN) melden. Sofern er keinen Hostname hat, ist eine IP-Adresse zu senden.
Laut [https://www.ietf.org/rfc/rfc2821.txt RFC 2821, Abschnitt 4.1.1.1] muss sich ein Rechner stets mit seinem korrekten Hostname (FQDN) melden. Sofern er keinen Hostname hat, ist eine IP-Adresse zu senden.


Eigentlich sind sämtliche Mail-Server falsch konfiguriert, die sich mit einem anderen als ihrem eigenen Namen melden. Leider gibt es aber zu viele Mail-Server um diese Bedingung durchzusetzen. Oft melden sich Mail-Server nur mit ihrer Domain, die gar nicht oder zu einem anderen Rechner aufgelöst werden kann.
Eigentlich sind sämtliche Mail-Server falsch konfiguriert, die sich mit einem anderen als ihrem eigenen Namen melden. Leider gibt es aber zu viele Mail-Server um diese Bedingung durchzusetzen. Oft melden sich Mail-Server nur mit ihrer Domain, die gar nicht oder zu einem anderen Rechner aufgelöst werden kann.


Daher haben wir uns entschieden, diese Richtlinie nur von bestimmten Rechnern zu verlangen (siehe oben). Das sind Rechner, von denen ungleich mehr Spam kommt als von anderen. Jeder Mail-Server-Administrator hat die Möglichkeit, sein System korrekt zu konfigurieren und wird dann, auch wenn er auf einer der Blacklists steht, keine Probleme haben, E-Mails an unsere Benutzer zu senden.
<!--Daher haben wir uns entschieden, diese Richtlinie nur von bestimmten Rechnern zu verlangen (siehe oben). Das sind Rechner, von denen ungleich mehr Spam kommt als von anderen. Jeder Mail-Server-Administrator hat die Möglichkeit, sein System korrekt zu konfigurieren und wird dann, auch wenn er auf einer der Blacklists steht, keine Probleme haben, E-Mails an unsere Benutzer zu senden.-->

Aktuelle Version vom 7. Dezember 2019, 13:57 Uhr

Um unsere Benutzer so gut wie möglich vor Spam-E-Mails zu schützen, implementieren wir folgende Anti-Spam-Regeln.

DNS-Blacklists

Wir verwenden folgende Regeln anhand von DNS-Blacklists basierend auf IP-Adressen.

Liste Beschreibung Aktion
cbl.abuseat.org Composite Blocking List Wird nicht angenommen
ix.dnsbl.manitu.net Anti-Spam-Projekt der iX Wird nicht angenommen

SMTP-seitig

Bevor unser Server eine E-Mail letztlich akzeptiert, werden die Angaben des Gegenüber zuerst geprüft. Folgende Tabelle zeigt die möglichen Fehler bei jedem Schritt.

Als Antwort auf temporärer Fehler permanenter Fehler
HELO - SPF-Eintrag für Hostname oder Domain der HELO-Angabe vorhanden aber IP-Adresse nicht erlaubt
MAIL FROM DNS-Server der Domain nicht erreichbar Domain syntaktisch nicht korrekt, Domain nicht gefunden, keine spitzen Klammern um die Adresse, kein Mailserver für eine Antwort zu ermitteln (DNS-Einstellungen der Domain kaputt)
RCPT TO Mail an diesen Empfänger erzeugten bereits vorher temporäre Fehler (Fehlkonfiguration) Empfänger unbekannt, Empfänger nicht lokal (Relaying), Eintrag auf Blacklist (s.o.)
DATA Erster Versuch beim Greylisting -


Greylisting und Spamfilter

Zusätzlich setzen wir Greylisting und einen Spamfilter (spamassassin) ein.

Informationen zum HELO-Check

Laut RFC 2821, Abschnitt 4.1.1.1 muss sich ein Rechner stets mit seinem korrekten Hostname (FQDN) melden. Sofern er keinen Hostname hat, ist eine IP-Adresse zu senden.

Eigentlich sind sämtliche Mail-Server falsch konfiguriert, die sich mit einem anderen als ihrem eigenen Namen melden. Leider gibt es aber zu viele Mail-Server um diese Bedingung durchzusetzen. Oft melden sich Mail-Server nur mit ihrer Domain, die gar nicht oder zu einem anderen Rechner aufgelöst werden kann.