Verify connecting hosts and senders in DNS

[mcilly]

Ist es eigentlich eine gute Einstellung wenn man beide Optionen aktiviert hat? Ich finde schon und habe das so eingestellt. Habt ihr da andere Meinungen oder best practices für mich?

Verify connecting hostname in DNS - enabled
Verify sender's domain in DNS - enabled

Mich würde prinzipiell interessieren, wie eine gute, sichere Router/SMTP Config auszusehen hat. Das ist wahrscheinlich sehr individuell.

[hallo.dirk]

Es ist schwierig für mich über diese Plattform meine ganzen Gedankengänge zu diesem Thema wiederzugeben aber zu Deiner Frage:

"Verify connecting hostname in DNS" habe ich nicht aktiviert, bringt in meiner Meinung nach auch nichts, das ja selbst die dusselige Dial-In meines Modems reverse aufgelöst werden kann. Denn es wird ja nach dem A-record gesucht.

"Verify sender's domain in DNS" ja das ist auch bei mir aktiviert, allerdings glaube ich weniger das jemand eine Domain benutzt die nicht existiert. Für mich ist das ein schwacher Schutz...

[mcilly]

Denn es wird ja nach dem A-record gesucht.

Du meinst den PTR-Record, der die IP Adresse in einen Hostnamen umwandelt? Ich finde schon, dass das aktiviert einen Sinn macht. Denn jeder beliebige PC kann ja eine SMTP Connection auf meinen Server aufmachen. Mit dieser Einstellung unterbinde ich das und es dürfen nur noch aufgelöste Hosts (also zumindest valide Mailserver) connecten.

[hallo.dirk]

Ja PTR.....

Nimm mal dir mal irgendeinen DSL Anschluss und mache ein nslookup auf die IP des Anschlusses:
Du wirst einen Namen bekommen......Domino würde eine SMTP Mail von diesem Host akteptieren.....

Nutzt Du BL's?

[mcilly]

Dirk, das ist nur bedingt richtig. Klarerweise kann er meine lokale IP 192.168.0.2 nicht auflösen und bringt richtigerweise diese Meldung:
SMTP Server [11191:00011-1294982064] Connection from [192.168.0.2] rejected for policy reasons. IP address of connecting host not found in reverse DNS lookup.
Meine DSL IP 213.167.x.x kann im DNS ebenfalls nicht aufgelöst werden und kann deshalb auch keine Connection auf den SMTP machen.

Dafür habe ich im Log aber eine andere IP gefunden, die sehr wohl wieder aufgelöst wurde, wo dann erst die zweite Einstellung aktiv wurde:
24.01.2007 05:57:40   SMTP Server: adsl-ull-163-225.49-151.net24.it (151.49.225.163) connected
24.01.2007 05:57:40   SMTP Server: Mail for qaoy-awwex@domain.at rejected for policy reasons.  Recipient could not be found in the Domino Directory.

Mein Fazit deshalb: die Einstellung kann nicht schaden, deshalb lasse ich sie mal, dank dir für dein Kommentar.

[hallo.dirk]

Meine DSL IP 213.167.x.x kann im DNS ebenfalls nicht aufgelöst werden und kann deshalb auch keine Connection auf den SMTP machen.

Ist Provider Sache, zum Beispiel hat T-Online für seine Dial-In Netzwerke PTR's...wie viele andere auch.

Wenn dann noch ein armer Admin kommt, der vergessen hat seinen PTR zu pflegen oder sein Provider mist baut.....schliesst Du ihn auch aus.
Aber das liegt in Deiner Eigenverantwortung. Es ist nirgendwo definiert, das eine IP einen PTR haben muss, allerdings machen es fast alle.

24.01.2007 05:57:40   SMTP Server: Mail for qaoy-awwex@domain.at rejected for policy reasons.  Recipient could not be found in the Domino Directory.

Das ist aber bestimmt die Einstellung "Verify that local domain recipients exist in the Domino Directory:", die hier zieht....

[mcilly]

Aber das liegt in Deiner Eigenverantwortung. Es ist nirgendwo definiert, das eine IP einen PTR haben muss, allerdings machen es fast alle.

Gut, danke. Da es nur mein privater Domino ist (für Kind, Frau und mich) kann ich die Verantwortung in diesem Fall tragen ;-) In der Firma lasse ich dann die Finger von dem Setting.

Das ist aber bestimmt die Einstellung "Verify that local domain recipients exist in the Domino Directory:", die hier zieht....

Sagte ich auch in meiner Meldung oben, dass das die zweite Einstellung ist.

Nutzt Du BL's?

Nein, soll ich? Damit habe ich wenig Erfahrung.

[hallo.dirk]

Zitat
Das ist aber bestimmt die Einstellung "Verify that local domain recipients exist in the Domino Directory:", die hier zieht....

Sagte ich auch in meiner Meldung oben, dass das die zweite Einstellung ist.

Du hattest zu Beginn aber

Verify sender's domain in DNS - enabled

erwähnt, das ein kleiner Unterschied

Zitat
Nutzt Du BL's?

Nein, soll ich? Damit habe ich wenig Erfahrung

Bin mir nicht sicher welchen Aufwand Du für Deinen privaten Server machen willst.
Zum Beispiel kann ich mit BL's die meisten Dial-In Netzwerke erkennen.
Mann könnte folgendes machen, da ja privat:
BL verwenden und die Mails nur Taggen. Im Client dann eine Rule definieren die prüfen, ob das Tag vorhanden ist, diese Mails in Ordner erschieben.

Ergebniss überprüfen......

Ja ich nutzte sie:
Im Schnitt sind das bei mir ca 600.000 - 800.000  Verbindungsversuche, die abgelehnt werden (pro Monat/Server).

http://atnotes.de/index.php?topic=32488.0
oder such mal nach blacklist, da gibt es schon einige Themen zu.....

[mcilly]

Du hattest zu Beginn aber "Verify sender's domain in DNS - enabled" erwähnt, das ein kleiner Unterschied

Den Unterschied kenne ich und ich habe zu Beginn beides erwähnt 

Wegen der BLs, das werde ich mir mal bei Zeiten ansehen, im Moment bleibts disabled. Das mit dem taggen ist ein Ansatz.