[linux] Re: Zin en onzin van callback en check op postmaster@ met Exim

Hugo van der Kooij hvdkooij op vanderkooij.org
Vr Jun 8 22:54:55 CEST 2007 

On Fri, 8 Jun 2007, Kees Theunissen wrote:
> On Thu, 7 Jun 2007, Peter Fokker wrote:
>
>> De oorzaak is dan vaak dat de in mijn Exim-config opgenomen 'callback'
>> (=controle of het opgegeven afzenderadres af op zender.tld ook post wil
>> ontvangen) resp. controle op postmaster (=check of
>> postmaster op zender.tld mail accepteert) mislukken.
>
> Een controle of het postmaster adres bestaat vindt ik regelrechte onzin.
> Om mail te ontvangen heb ik niets met die postmaster te maken. Pas als
> ik geen mail kan versturen naar een domain wil ik contact opnemen met
> die postmaster. Als ik spam/virussen wil aanmelden dan ben ik meer
> geïnteresseerd in het abuse adres. Bovendien kan ik dat postmaster
> adres in principe _niet_ testen. OK, ik kan kijken of mail wordt
> geaccepteerd voor dat adres, maar er zijn nogal wat domains die mail
> voor postmaster wel accepteren om van het gezeik af te zijn, maar
> vervolgens de mail regelrecht in /dev/null mikken.

De RFC verplicht de aanwezigheid van een postmaster account. Gebrek aan 
een postmaster account wijst op een domain/machine die in strijd met de 
RFC SMTP zaken doet.

> Wat betreft het controleren van het afzender adres: ik doe het niet.
> Zonder dat ik ooit een goede analyse gemaakt heb, heb ik toch de
> indruk dat het te weinig op zal leveren. En er is te veel werk
> met een hogere prioriteit dan het maken van die analyse.

Ik heb met callback checks gedaan en het onderwerp duikt af en toe weer op 
de mailscanner mailinglist. Het wordt als een relatief elegante manier 
gezien om de afzender te controleren. (Waarom email aannemen voor een niet 
bestaand adres?) Zeker vergeleken met andere methodes.

> Zaken die zeker overwogen moeten worden als je hierop wilt
> filteren zijn:
> -- Hoeveel levert het op? En dan bedoel ik: hoeveel hou je _uitsluitend_
>   op dit criterium tegen. Mail die je anders toch al zou hebben
>   onderschept telt dus niet mee.

Veel. Ik heb eens een paar dagen getest zonder en ik sta dan veel meer 
berichten weg te gooien via inhoudelijke analyse. En die had ik liever 
geheel niet aangepakt.

> -- Hoeveel 'false positives' geeft dit. Er is een categorie mail die
>   verstuurd wordt vanaf adressen die geen mail willen ontvangen.
>   Sommige gewenste nieuwsbrieven vallen hieronder, maar ook
>   automatische bevestigingen van web-transacties en zo.
>   Als je dit doet dan zal je ook handmatig 'whitelists' moeten gaan
>   bijhouden vrees ik.

Dat zal per organisatie verschillen. Ik denk dat het voor de meeste 
plaatsen best meevalt.

> -- Je loopt een zeker risico met je checks. Je begint een email-
>   transactie en breekt die af nadat een adres is geaccepteerd
>   zonder daadwerkelijk mail te versturen. Dat is precies wat
>   'email harvesting bots' ook doen. Vooral als je op een zeker
>   moment veel mail ontvangt van een bepaald domain dan loop je een
>   risico dat je vanwege je checks door dat domain aangezien wordt
>   als iemand die geldige adressen aan het verzamelen is.
>   Vraaf me niet om dit risico te kwantificeren, maar het is nuttig
>   om je er van bewust te zijn.

Ik heb dit nimmer gemerkt. Harvesters zie ik bijna niet op SMTP nivo 
zoeken. hoogstens bevestigen wat ze elders al opgezocht hebben. Harvesting 
lijkt primair een gaval van java clients die meehobbelen in webbrowsers.

Als ik tenminste zie wat mijn geringe bijdrage aan Project Honeypot 
oplevert. Zoals 3 dagan geleden:

Regardless of how the rest of your day goes, here's something to be happy 
about -- today one of your donated MXs helped to identify a previously 
unknown email harvester (IP: 83.42.234.199). The harvester was caught a 
spam trap email address created with your donated MX: uitwijk.waakhond.net

You can find information about your newly identified harvester here:
http://www.projecthoneypot.org/i_45d961df2099e1a63fc605c3e7927c3d

>> Ik vind dit (nog steeds) goede en valide checks onder het motto: als
>> de afzender zich niet aan de RFC houdt (mailbox postmaster MUST
>> exist), en/of een ongeldig afzender-adres gebruikt, dan hoef ik de
>> post niet. Veel spam wordt op die manier toch tegengehouden.
>
> Zoals al eerder betoogd: veel van die spam zou toch wel worden
> tegengehouden. Het postmaster adres zou inderdaad moeten bestaan,
> maak ik kan dat niet afdwingen. Ik kan het zelfs niet betrouwbaar
> controleren. En als het legitieme mail betreft dan is dat postmaster
> adres echt het _allerlaatste_ waar mijn gebruikers zich druk over
> zouden maken.

Ik kan niet controleren of alles werkt volgens de RFC. Maar als er al geen 
postmaster account is. Dan moet je tegenwoordig toch wel erg maffe 
software hebben. Zelfs Exchange doet dat goed.

Hugo.

-- 
 	hvdkooij op vanderkooij.org	http://hugo.vanderkooij.org/
 	    This message is using 100% recycled electrons.

 	Some men see computers as they are and say "Windows"
 	I use computers with Linux and say "Why Windows?"
 		(Thanks JFK, for the insight.)

More information about the Linux mailing list