Im Internet gibt es diverse Dienste, welche anbieten eine Mail Adresse auf Existenz bzw. Zustellbarkeit zu prüfen. Wie kann ich im MTA, hier Postfix, dies für einen eigenen Dienst unterbinden?
-
-
Afaik kontaktieren die deinen Server, sprechen SMTP und wenn dein Server bei der Empfängeradresse OK sagt ist klar dass diese existiert. Dann wird eben danach die Übertragung abgebrochen.
Ich wüsste jetzt nicht wie du hier lügen könntest ohne das SMTP Protokoll erheblich zu verletzen.
Wenn du an deinem Haus das Klingelschild abbaust weiß auch niemand mehr dass du da wohnst, Post kriegste aber halt auch keine mehr…
-
-
Im Internet gibt es diverse Dienste, welche anbieten eine Mail Adresse auf Existenz bzw. Zustellbarkeit zu prüfen. Wie kann ich im MTA, hier Postfix, dies für einen eigenen Dienst unterbinden?
Wenn du an deinem Haus das Klingelschild abbaust weiß auch niemand mehr dass du da wohnst, Post kriegste aber halt auch keine mehr…
Um bei dieser Analogie zu bleiben: Die einzige Möglichkeit im Clearnet – ohne dass ich es empfehlen würde oder in diesem Fall für sonderlich praktikabel hielte! – wäre, ggf. zwar ein Klingelschild anzubringen (d.h. einen MX-DNS-Eintrag bekanntzumachen[*]), aber die Klingel abzuschalten (nicht auf Anfragen reagieren), sodass der Klingelnde wissen muss, wie er sie anschaltet (über ein der Allgemeinheit nicht bekanntes Signal), oder die Klingel nur für von vornherein bekannte Klingelnde funktioniert (IP-basierte Freischaltung). Diese Taktik wird normalerweise am ehesten für den SSH-Port 22 angewendet, kann jedoch auch für Port 25 (MTA-zu-MTA-Kommunikation) eingesetzt werden. Das Hilfswerkzeug der Wahl für die Identifizierung durch ein zuvor ausgehandeltes Signal (durch vorheriges "Anklopfen" an TCP-/UDP-Ports) ist knock.
In der Praxis besteht das Problem darin, dass Nutzer dieses Anklopfen vor Versendung von E-Mails bewerkstelligen müssen, was kein bekannter MTA von Haus aus kann; außerdem setzt man sich hier über RFC2142 hinweg, wonach bestimmte Empfängeradressen immer "bedient" werden sollten.
[*] Theoretisch könnte man natürlich auch versuchen, E-Mails an Port 25 einer nicht weiter namentlich identifizierten IPv4-/IPv6-Adresse zuzustellen, aber auch hier sind auf Empfängerseite entsprechende Vorkehrungen zu treffen, um nicht die Postfix-Standardantwort "501 5.1.3 Bad recipient address syntax" auszulösen. Der Verzicht auf eine registrierte Domäne umgeht natürlich damit verbundene Vorschriften bzgl. einer Erreichbarkeit der Ansprechpartner. In der Praxis würde man bei gewünschter Anonymität und entsprechendem Willen aller Beteiligten allerdings E-Mails über das Darknet austauschen (siehe beispielsweise hier), und die Überprüfung existierender Empfänger über die obengenannten diversen Dienste wird dadurch zumeist ausgehebelt.