Mail Adressen auf Existenz prüfen unterbinden

  • Im Internet gibt es diverse Dienste, welche anbieten eine Mail Adresse auf Existenz bzw. Zustellbarkeit zu prüfen. Wie kann ich im MTA, hier Postfix, dies für einen eigenen Dienst unterbinden?

  • Afaik kontaktieren die deinen Server, sprechen SMTP und wenn dein Server bei der Empfängeradresse OK sagt ist klar dass diese existiert. Dann wird eben danach die Übertragung abgebrochen.


    Ich wüsste jetzt nicht wie du hier lügen könntest ohne das SMTP Protokoll erheblich zu verletzen.


    Wenn du an deinem Haus das Klingelschild abbaust weiß auch niemand mehr dass du da wohnst, Post kriegste aber halt auch keine mehr…

  • wie sieht es mit der Sperre mittels IPtables aus?


    ist quasi ein Zaun rund um Dein Haus, und es kann nicht jeder bis zur Haustür gelangen;


    ThomasChr des wär schön, nur ich fürcht, dass Postzusteller sich weniger am Klingelschild

    und mehr an der Existenz eines Postkastens orientieren;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • Im Internet gibt es diverse Dienste, welche anbieten eine Mail Adresse auf Existenz bzw. Zustellbarkeit zu prüfen. Wie kann ich im MTA, hier Postfix, dies für einen eigenen Dienst unterbinden?

    Wenn du an deinem Haus das Klingelschild abbaust weiß auch niemand mehr dass du da wohnst, Post kriegste aber halt auch keine mehr…

    Um bei dieser Analogie zu bleiben: Die einzige Möglichkeit im Clearnet – ohne dass ich es empfehlen würde oder in diesem Fall für sonderlich praktikabel hielte! – wäre, ggf. zwar ein Klingelschild anzubringen (d.h. einen MX-DNS-Eintrag bekanntzumachen[*]), aber die Klingel abzuschalten (nicht auf Anfragen reagieren), sodass der Klin­geln­de wissen muss, wie er sie anschaltet (über ein der Allgemeinheit nicht bekanntes Signal), oder die Klingel nur für von vornherein bekannte Klin­geln­de funktioniert (IP-basierte Freischaltung). Diese Taktik wird normalerweise am ehesten für den SSH-Port 22 angewendet, kann jedoch auch für Port 25 (MTA-zu-MTA-Kommunikation) ein­ge­setzt werden. Das Hilfswerkzeug der Wahl für die Identifizierung durch ein zuvor ausgehandeltes Signal (durch vorheriges "Anklopfen" an TCP-/UDP-Ports) ist knock.

    In der Praxis besteht das Problem darin, dass Nutzer dieses Anklopfen vor Versendung von E-Mails bewerkstelligen müssen, was kein bekannter MTA von Haus aus kann; außerdem setzt man sich hier über RFC2142 hinweg, wonach bestimmte Empfängeradressen immer "bedient" werden sollten.


    [*] Theoretisch könnte man natürlich auch versuchen, E-Mails an Port 25 einer nicht weiter namentlich identifizierten IPv4-/IPv6-Adresse zuzustellen, aber auch hier sind auf Empfängerseite entsprechende Vorkehrungen zu treffen, um nicht die Postfix-Standardantwort "501 5.1.3 Bad recipient address syntax" auszulösen. Der Verzicht auf ei­ne registrierte Domäne umgeht natürlich damit verbundene Vorschriften bzgl. einer Erreichbarkeit der Ansprechpartner. In der Praxis würde man bei gewünschter Ano­ny­mi­tät und entsprechendem Willen aller Beteiligten allerdings E-Mails über das Darknet austauschen (siehe beispielsweise hier), und die Überprüfung existierender Emp­fän­ger über die obengenannten diversen Dienste wird dadurch zumeist ausgehebelt.

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing