Seit gestern abend befindet sich ein neuer DNS-Check im Probelauf. Sie erkennen ihn im syslog an Zeilen, die das Wort reject_warning enthalten. Dies bedeutet, dass diese Mail beim scharfschalten dieser Regel von unseren Servern abgelehnt werden würde, im Augenblick aber noch durchgelassen wird.
Der Check überprüft den Domainteil der Absendeadresse, ob der zugehörige MX-Record, dessen A-Record oder der A-Record der Domain in eine IP-Adresse auflöst und ob diese IP-Adresse auch einem öffentlich routebaren IP-Netzbereich angehört. Folgende IP-Netzbereiche werden hiermit geblockt:
0.0.0.0/8
10.0.0.0/8
100.64.0.0/10
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.2.0/24
192.168.0.0/16
198.18.0.0/15
198.51.100.0/24
203.0.113.0/24
224.0.0.0/4
Verallgemeinert wird hier geprüft, ob eine Antwort an diese Adresse überhaupt netzwerktechnisch möglich ist. Eine Antwort z.B. an eine Loopback- oder eine Multicast-Adresse im eigenen LAN zu schicken, ist wenig sinnvoll.
Falls Sie Bedenken gegenüber diesem Check haben, so melden Sie sich bitte an unserer Hotline. Der Probelauf wird noch mindestens bis zum 26.1.2015 stattfinden. Sollten sich bis dahin keine Hinweise auf false positives ergeben, so werden wir den Check dann global aktivieren.
Update 10.2.2015
Das Ergebnis ist bislang ernüchternd, der weitaus größte Teil der Hits sind False Positives. Wir lassen den Versuch noch eine Zeitlang laufen, werden diesen Check aber keinesfalls in den Poduktionsbetrieb übernehmen.