Mit E-Mail-Diensten muss sich jeder Administrator früher oder später einmal beschäftigen. Das zur CeBIT erscheinende ADMIN 02/2012 gibt dazu Praxis-Tipps und ... (mehr)

Blacklists chancenlos

Geradezu dramatische Auswirkungen hat IPv6 jedoch auf die in den Postfix-Restrictions und auch indirekt in SpamAssassin gerne eingesetzten DNS-Blacklisten (RBLs), beispielsweise die beiden populären und sehr empfehlenswerten RBLs »dnsbl.ix.manitu.de« und »zen.spamhaus.org« . Denn: Die unvorstellbar große Menge an vorhandenen IPv6-Adressen lässt opulente Verschwendung in die heutige Serverlandschaft einziehen. So erhält jedes IPv6-System grundsätzlich gleich ein Subnetz mit unvorstellbar vielen IP-Adressen. Einzelne Adressen auf Blacklisten zu setzen, wird demnach sinnlos und könnte leicht umgangen werden – ein Spammer könnte jede E-Mail unter einer eigenen IP-Adresse versenden. Viele Provider oder Unternehmen spendieren jedem Servern einen /64er-Netzbereich. Das entspricht 264 IP-Adressen pro System, einer Zahl mit 19 Nullen. Einige Provider wie Strato verteilen jedoch gleich /56er-Netzbereiche, andere vergeben /48er-Netze.

Am Ende ist unklar, welche Adressbereiche bei einem Spam-Versand in die Blacklisten aufgenommen werden müssen. Sperrt man zu knapp, haben Spammer noch viele ungesperrte Netzbereiche für ihren Versand zur Verfügung. Sperrt man zu großzügig, blockt man auch unbeteiligte andere Kunden eines Provider. Egal wie man es macht – am Ende ist es falsch. Postfix und Spam-Assassin selbst sind technisch problemlos in der Lage, IPv6-Adressen gegen die bereits für IPv4 eingerichteten DNSBL zu prüfen. Hier ist gar keine Konfigurationsänderung notwendig. Das Problem liegt alleine in der praktischen Handhabung.

Greylisting funktioniert

Dieses Dilemma lässt (wieder einmal) die große Stunde des Greylisting schlagen: Da Greylisting (richtig eingesetzt) nur unbekannte IP-Adressen kurzfristig verzögert, hat diese Technik auf Mails zwischen erwünschten Mailservern kaum eine Auswirkung. Gleichzeitig verhindert sie jedoch, dass Spammer ungestraft mit beliebig wechselnden IP-Adressen der IPv6-Server arbeiten können – sie würden ständig im Greylisting anderer Server hängen bleiben und kaum noch in der Lage sein, Mails zu versenden. Die populäre Greylisting-Implementierung »postgrey« ist heute bereits vollständig IPv6-tauglich und kann auch im Dual Stack ohne Änderung ihre Aufgabe wahrnehmen.

Einziger Wermutstropfen im IPv6-Setup eines Mailservers ist der ebenfalls sehr wirkungsvolle Spamschutz »policyd-weight« : Er verkraftet problemlos Anfragen mit IPv6-Adressen und kann ohne Änderung eingesetzt werden. Bei IPv6-Adressen kann »policyd-weight« jedoch kein sinnvolles Ergebnis mehr berechnen und beendet seine Prüfung gegenüber Postfix darum in diesen Fällen stets mit einem »DUNNO« ("I don't know"). »policyd-weight« hält sich in diesen Fällen also absichtlich ganz aus dem Spam-Schutz heraus und trifft keine Entscheidung. Er kann bei IPv6-Verbindungen nichts mehr zum Spamschutz beitragen, stört aber das Setup allerdings auch nicht.

Aus alldem ergibt sich als Resultat: IPv6 auf Mailservern ist unproblematisch möglich, erfordert jedoch dennoch eine besondere Herangehensweise. Wer IPv6 ausprobieren möchte, kann dies leicht angehen: Die Vergabe einer IPv6-Adresse an das Linux-System und kleine Anpassungen in Postfix reichen aus. Allgemein wird bislang noch recht wenig Spam über IPv6 verschickt, was wohl vorrangig daran liegt, dass Privat-PCs als unfreiwillige Teilnehmer in Spam-Botnetzen noch sehr selten über IPv6-Uplinks verfügen. Das wird sich aber spätestens dann ändern, wenn mehr DSL-Anbieter ihren Kunden auch IPv6-Zugänge ermöglichen.

Infos

  1. IPv6 Tunnel Broker: http://www.sixxs.net

Der Autor

Peer Heinlein stellt mit seinem Unternehmen "Heinlein Support" die Verfügbarkeit und den Support geschäftskritischer Linux-Infrastrukturen sicher. Er selbst ist seit 1992 auf Maildienste spezialisiert, hat das "Postfix-Buch" geschrieben und ist für die Mailserver sowie Spam- und Virenabwehr vieler ISPs, Rechenzentren und Unternehmen verantwortlich.

comments powered by Disqus
Mehr zum Thema

Spam durch Grey- und Whitelisting mit Postgrey bekämpfen

Gegen Spam – eine der hartnäckigsten Plagen des Internets – entwickeln Hersteller immer neue Gegenmittel. Dieser Beitrag zeigt, wie sich Postgrey in Postfix integrieren lässt, woraus eine wirkungsvolle Lösung für Grey- und Whitelisting entsteht.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021