Spamblocking av ISP's fungerar !
Niklas Hallqvist
niklas at appli.se
Thu Aug 30 09:48:04 CEST 2007
Jag får lov att hålla med Måns/Magnus med flera här.
Att definiera seriositet beroende på var man har sin tjänst känns
konstigt. I min värld är en oseriös MTA, en som beredvilligt skyfflar
spam, trots kännedom därom, oavsett vilket nät den befinner sig i.
Är jag en oseriös polis, om jag jobbar i samma polisdistrikt som en
mutbar dito?
Att inte kunna nå alla sina adressater från sin MTA p.g.a.
att man har en fullständigt legitim IP-adress är mycket frustrerande.
Vi har t.ex. kunder som sitter på något DHCP-nät ute i bushen och då
och då inte kan nå folk p.g.a. att en tidigare innehavare av IP-adressen
varit dum och hamnat i en svartlista.
Då får man lösa det med att de tunnlar mailen till oss, eller någon
annan, men det är ju plåster om något, och skapar bara mer belastning på
nätet, eller att forcera fram en ny IP-adress från DHCP-servern om man
lyckas med det. Hur som kostar det dem extra pengar, för de klarar inte
av sådant själva.
Är det ett "no-no" att vilja hantera sina utgående köer själv? Jag
gillar inte att jag hemifrån förväntas skicka till min ISP's utgående
SMTP-server, där jag inte kan bevaka mitt mails leveransstatus.
Ja då återstår tunnling till en annan MTA som ligger lite mer "up-town"
som jag har kontroll över. Alla har dock inte optionen att ha ett
andraboende på fin adress.
Problem som stammar ifrån förekomsten av sådan här filtrering har
iallafall åsamkat mig onödig tankeverksamhet för att sätta upp
nödlösningar som inte borde vara nödvändiga.
Jag är dock lite pragmatisk. Grålistning, och även asiatisk filtrering,
kör jag på min 2ary MX, där tycker jag det är helt OK. Många spammare
går ju direkt till högre MX. Och har jag gjort fel val där få de
försöka igen senare på primären där de kommer att accepteras.
Dock har jag inte viljat slå på GL på vår 1ary ännu, eftersom det kan
försena affärskritisk mail för någon av våra mailkunder (vi hostar mail
för en del av våra kunder, dock inte speciellt omfattande, bara några
hundra konton. Skulle spamproblematiken bli för stor, att vi inte
hinner filtrera på innehåll, får jag väl ta upp diskussionen om GL med dem.
spamassassin funkar nog rätt bra, jag körde fram lite statistik ur min
spamkorg, och noterar att spam fortsätter att drösa in, jag trodde jag
låg på enbart ett par tusen spam bortfiltrerade per dygn, men de senaste
dagarna har jag faktiskt fått bort i runda slängar 15000 (!) spam per
dygn (till bara mitt konto, alltså) med det filtret. Visst några
slinker igenom fortfarande, men inte mer än vad jag kan hantera.
Är det förresten någon som vill ha en kopia på mina spam? har väl en
tvåhundra foldrar med 10000 i varje. Kan ju vara bra om man vill testa
spamfiltertekniker :-)
För mig hamnar nog port 25 filtrering i samma låda som NAT. Något man
måste leva med, men som ställer till en massa extra problem.
Niklas
Magnus Danielson wrote:
> From: peter h <peter at hk.ipsec.se>
> Subject: Re: Spamblocking av ISP's fungerar !
> Date: Wed, 29 Aug 2007 21:54:20 +0200
> Message-ID: <200708292154.20670.peter at hk.ipsec.se>
>
>> On Wednesday 29 August 2007 21.42, Måns Nilsson wrote:
>>> --On onsdag, onsdag 29 aug 2007 20.40.02 +0200 Peter Håkanson
>>> <peter at ipsec.se> wrote:
>>>
>>>> ( seriösa MTA befinner
>>>> sig inte i denna delen av universum.) Om till ävertyrs någon
>>>> missledd seriös sänder från "ADSL-universe" nås han/hon av min 5xx
>>>> och jag kan "whitelista".
>>>> Men jag tycks inte umgås med missledda amatörer.
>>> Du, jag sänder från ADSL-space. port 25 är öppen utåt. Nu använder
>>> jag inte den vägen, för det finns för många filterfascister som
>>> blockerar port 25. Jag går via SMTP-relä på jobbet och kör submit över
>>> SSL till den. Men poängen är att du _inte_vet_ om det befinner sig
>>> seriösa MTA'er där.
>> Du som seriös använder inte ADSL-space för mta. Det säger väl en hel del ?
>
> Det säger en del om hur han (och många andra mer eller mindre seriösa) måste
> gå igenom eller gå runt ISPernas default blockning av utgående port 25 och
> forsera trafik genom sina utgående SPAM-filters. Det säger ingenting om hur
> seriöst det är att ha en MTA på en ADSL-lina. Alls.
>
>>>> Vidare håller jag min ytterdörr låst, knackar någon på som vill
>>>> traggla bibel eller sälja något junk så stänger jag vederbörande
>>>> ute. Jag väljer själv vem jag släpper över tröskeln, min dörr
>>>> mina regler. Samma med SMTP.
>>> Nej. Du stänger dörren för dem som går med vänster fot först uppför
>>> trappan, dvs du tar ett helt irrelevant indatavärde och fattar beslut på
>>> det. Att det _råkar_ funka ibland är inte en ursäkt för att göra fel.
>>> Din liknelse skulle passa bättre med Spamassassin kallad från Milter
>>> innan man säger
>>> "221 2.2.0 OK." i slutet av SMTP-transaktionen, dvs du kollar vad det är
>>> för budskap och kastar _först_därefter_ ut Jehovas. Inte ens en subtil
>>> skillnad.
>> Jämförelsen haltar. Jag öppnar inte för folk som inte knackar
>> ordentligt, eller som kommer från dynghögen ( känns på lukten
>> innan jag ens öppnar)
>
> Dynghögen?
>
> Det här påminner mig om när ett universitet i Norrland valde att blocka alla
> SMTP koppel från en ISP som inte kom från SMTP maskinerna som fanns med som
> MX records i DNSen. Konsekvensen var att ALLA mail från den ISPn filtrerades
> bort eftersom det för deras del var skillnad på inkommande och utgående SMTP
> maskiner. MX records är bara för inkommande SMTP. De blev tvugna att backa på
> den blockningen.
>
> MVH
> Magnus
> _________________________________________________
> BSD Users Sweden -- BUS at stacken.kth.se
> https://lists.stacken.kth.se/mailman/listinfo/bus
>
More information about the BUS
mailing list