[linux] Re: Zin en onzin van callback en check op postmaster@ met

Peter Fokker nllgg op berestijn.nl
Zo Jun 10 19:41:04 CEST 2007 

"Kees Theunissen" wrote:
> 
> On Thu, 7 Jun 2007, Peter Fokker wrote:

[...over 'callback' en check op aanwezigheid postmaster-mailbox...]

> Een controle of het postmaster adres bestaat vindt ik regelrechte onzin.
> Om mail te ontvangen heb ik niets met die postmaster te maken. Pas als
> ik geen mail kan versturen naar een domain wil ik contact opnemen met
> die postmaster. Als ik spam/virussen wil aanmelden dan ben ik meer
> geïnteresseerd in het abuse adres. Bovendien kan ik dat postmaster
> adres in principe _niet_ testen. OK, ik kan kijken of mail wordt
> geaccepteerd voor dat adres, maar er zijn nogal wat domains die mail
> voor postmaster wel accepteren om van het gezeik af te zijn, maar
> vervolgens de mail regelrecht in /dev/null mikken.

Zoals ik in een ander bericht in deze discussie zei: met een
check op de aanwezigheid van een (ogenschijnlijk werkende)
postmaster-mailbox schift je in ieder geval de totally clueless
domeinen eruit. Overigens heb je natuurlijk gelijk als je zegt dat
de filtering te strak staat als er klachten komen. Inmiddels heb
ik op 1 van de servers de callback annex check op postmaster@
uitgeschakeld. Ik hoop de komende tijd enige feedback te krijgen
over de extra hoeveelheid spam die er nu doorheen komt.
 
> Wat betreft het controleren van het afzender adres: ik doe het niet.
[...]
> Zaken die zeker overwogen moeten worden als je hierop wilt
> filteren zijn:
> -- Hoeveel levert het op? En dan bedoel ik: hoeveel hou je _uitsluitend_
>    op dit criterium tegen. Mail die je anders toch al zou hebben
>    onderschept telt dus niet mee.

Mmmm.... Het is m.i. het beste om in een zo vroeg mogelijk stadium
de ongewenste mail te laten vallen. Ik doe sowieso al een check op SPF
(Sender Policy Framework, http://openspf.org) en daar vang ik al een
heleboel DSL-zombies mee die mail pretenderen te sturen vanaf bijv.
hotmail.com. Dat schiet lekker op, omdat je niet eerst het hele
bericht hoeft te ontvangen om het met andere middelen (bijv. SpamAssassin)
te classificeren. Het accepteren van de data in de SMTP-transactie
is relatief duur (bandbreedte), m.i. duurder dan zo'n callback.
Maar misschien vergis ik me; ik heb geen harde data om mijn stelling
te onderbouwen.

> -- Hoeveel 'false positives' geeft dit. Er is een categorie mail die
>    verstuurd wordt vanaf adressen die geen mail willen ontvangen.
>    Sommige gewenste nieuwsbrieven vallen hieronder, maar ook
>    automatische bevestigingen van web-transacties en zo.
>    Als je dit doet dan zal je ook handmatig 'whitelists' moeten gaan
>    bijhouden vrees ik.

Dit is inderdaad een major PITA, allerlei websites die zomaar mail
de wereld inhelpen die strandt op callbacks en soms ook op andere
checks. 

> -- Je loopt een zeker risico met je checks. Je begint een email-
>    transactie en breekt die af nadat een adres is geaccepteerd
>    zonder daadwerkelijk mail te versturen. Dat is precies wat
>    'email harvesting bots' ook doen. Vooral als je op een zeker
>    moment veel mail ontvangt van een bepaald domain dan loop je een
>    risico dat je vanwege je checks door dat domain aangezien wordt
>    als iemand die geldige adressen aan het verzamelen is.
>    Vraaf me niet om dit risico te kwantificeren, maar het is nuttig
>    om je er van bewust te zijn.

Goed punt. Er is ook risico dat je in een mail-loop eindigt: bij
het binnenkomen van mijn callback gaat het andere systeem eerst
checken of ik wel een geldig adres heb met een callback naar mij,
waarbij ik vervolgens weer check of ... etc. etc. 

[...]

> Mijn criterium is dat _alle_ gewenste mail moet binnen komen. En als
> dat betekent dat er ook wat meer spam doorheen komt dan moet dat maar.
> Het is mijn stellige indruk dat dat ook de wens van mijn gebruikers is.
> Als ik jouw opmerking hier boven goed begrijp dan is dat voor jouw
> gebruikers niet anders.

Inderdaad: de gebruikers vinden dat alle legitieme mail binnen moet
komen. Tegelijkertijd vinden de gebruikers dat er geen spam en virussen
binnen mogen komen; dat maakt het leven gecompliceerd.

> > Ben ik inderdaad helemaal verkeerd bezig door me aan de RFC's
> > vast te houden of zit er toch wel wat in?
[...]
> Als je vraagt: "Moet ik aan de RFC's vodoen?", dan is het antwoord:
> "Ja, natuurlijk." Maar jij vraagt nu: "Moet de zendende server er
> ook aan voldoen?". Het antwoord daarop is: "Eigenlijk wel, maar je
> kunt dat niet afdwingen." Het simpele feit dat je communicatie hebt
> met die server betekent dat die het eigenlijk nog niet eens zo slecht
> doet. :-)

Daarmee zijn we weer terug bij Postel's Law:

    "Be conservative in what you do;
     be liberal in what you accept from others."


> Als gebruikers klagen dat gewenste mail niet door komt dan blokkeer
> je kennelijk te veel.  Zo simpel is het uiteindelijk, want het gaat
> tenslotte om de gebruiker. Dat betekent ook dat mijn criteria bij
> het instellen van het spamfilter op de bedrijfsserver anders zullen
> zijn dan bij mijn persoonlijke filter op mijn workstation.

Ik kan daar weinig tegenin brengen. Dank voor de wijze woorden.
Ik hoop binnenkort wat ervaringen te horen van de gebruikers waarbij
ik op de server nu deze callbacks heb uitgezet.

Groeten,

--Peter Fokker

-- 
You Know My Name (Look Up The Number) - Lennon & McCartney (1970-03-06)
Here's the number: 09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63-56-88-c0

More information about the Linux mailing list