Postfix HELO fakes erkennen lassen

[tomm73]

Hallo,

ich arbeite mich gerade etwas in Postfix ein und habe mir dafür im Lokalen net Debian mit Postfix 1.1.11-0.woody3 installiert.

Postfix akzeptiert nur mails an die eigen domain, das klappt soweit.
ESMTP mit SASL klappt auch (gegen eine MySQL DB)

Allerdings kann ich immer noch meine Absender-Adresse faken. Ist das überhaupt zu verhindern?
Mein Debian System heisst hier mail.example.com
Das System das versucht den HELO zu faken ist system01
Hier ein Log:


Eingabe:
-------------------------------------------------------------------------------
[root@system01 root]# telnet mail.example.com 25
Trying 123.456.789.000...
Connected to mail.example.com (123.456.789.000).
Escape character is '^]'.
220 mail.example.com ESMTP Postfix
HELO happyhacker.org
250 mail.example.com
MAIL FROM:root@happyhacker.org
250 Ok
RCPT TO:root@example.com
250 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
sowas!
.
250 Ok: queued as C72003B8
QUIT
221 Bye
Connection closed by foreign host.
-------------------------------------------------------------------------------


Email die ankommt:
-------------------------------------------------------------------------------
Return-Path: <root@happyhacker.org>
Delivered-To: root@example.com
Received: from happyhacker.org (system01 [111.11.111.111])
by mail.example.com (Postfix) with SMTP id C72003B8
for <root@example.com>; Sat, 9 Aug 2003 14:52:28 +0200 (CEST)
Message-Id: <20030809125228.C72003B8@mail.example.com>
Date: Sat, 9 Aug 2003 14:52:28 +0200 (CEST)
From: root@happyhacker.org
To: undisclosed-recipients:;
-------------------------------------------------------------------------------


Postfix erkennt zwar, das ich nicht root@happyhacker.org bin sondern system 01, lässt die Mail aber trotzdem an mich durch. wie kann ich das stoppen??

Danke.

[dodolin]

wie kann ich das stoppen??

Gar nicht. :)

Es liegt in der Sache der Natur des SMTP Protokolls, dass man den Envelope-From beliebig fälschen kann.

Das einzige, was du machen könntest, ist, dass dein Postfix z.B. checkt, ob die Domain des Envelope-Froms im DNS existiert bzw. sinnige MX bzw. A Records hat.

In den neuesten Postfix-Snapshots soll er auch mit Callbacks den Localpart des Envelpe-Froms checken können, aber wenn man das tut, sollte man sehr genau wissen, was das für Auswirkungen hat (sind so einige, die nicht unbedingt auf den ersten Blick zu durchschauen sind...) und das im Blick behalten, um das gegebenenfalls feinzutunen (keine Ahnung, welche Möglichkeiten Postfix zum feintunen der Callbacks genau bietet...).

[adjustman]

ich hab jetzt mal den "Meister" :) gefragt. Geht doch!

Die Lösung:
http://www.stahl.bau.tu-bs.de/~hildeb/p ... 3_de.shtml

[tomm73]

Heidafez, das Konzept ist genial!!! Danke!!!
Nun muss nur noch jeder das implementieren :roll:

[adjustman]

Bedank Dich bei Ralf Hildebrandt. (Es hilft ungemein, die Postfixliste zu lesen, zu abonnieren)
http://listi.jpberlin.de/mailman/listin ... buch-users

[captaincrunch]

(Es hilft ungemein, die Postfixliste zu lesen, zu abonnieren)

Auch wenn's (teilweise) OT ist : es ist grundsätzlich eine gute Idee, die zuständigen Mailinglisten zu abonnieren, oder wenigstens mal die Archive derjenigen zu durchforsten ... ;)

[adjustman]

Genau. Meine Rede seit 45 :-D

[dodolin]

Ich will, dass Mail von außen NIE einen Absender innerhalb meiner Domain hat

Uahh, mutig, mutig. Da kann man sich schnell ins Knie schießen, aber ok, wer weiß, was er tut...

Nuja, hier mal eine Statistik, wieviel diese Methode bei mir jetzt genau geholfen hätte:

Code: Select all

dominik@trinity:~$ mailgrep "Return-path:.*@stud.uni-karlsruhe.de"
######################
#      Summary       #
######################
total amount of emails: 1473 = 100.00 %
spam mails:             976 =  66.25 % of all mails
ham  mails:             497 =  33.74 % of all mails

pattern in spam mails:  13 =  1.33 % of all spam mails
pattern in ham  mails:  0 =  0 % of all ham mails

Anmerkung: Das ist die Domain, auf der ich meinen meisten Spam erhalte.

Ok, bisher Null false Positives, das ist ok und man könnte es daher einsetzen. Aber die Trefferquote von 1.33 % ist jetzt nicht wirklich berauschend, oder?

Ganz anders sieht die Sache aus, wenn du Mailinglisten oder Mailverteiler nutzt, die die Mail mit deinem Absender wieder an dich ausliefern. -> Das ist das KO-Kriterium für diese Filtermethode. Beispiel gefällig?

Code: Select all

dominik@trinity:~$ mailgrep "Return-path:.*@dodolin.de"
######################
#      Summary       #
######################
total amount of emails: 1473 = 100.00 %
spam mails:             976 =  66.25 % of all mails
ham  mails:             497 =  33.74 % of all mails

pattern in spam mails:  0 =  0 % of all spam mails
pattern in ham  mails:  36 =  7.24 % of all ham mails

Anmerkung: Die Domain ist noch nicht groß verbrannt und erhält deshalb bisher noch keinen Spam.

Aber man sieht bereits hier, dass die false Positive Rate extrem viel zu hoch ist und man diese Art der Filterung nicht einsetzen kann/sollte.

und dass Mail von innen IMMER einen Absender innerhalb meiner Domain hat.

Das kann in manchen Szenarien (z.B. Firmennetze) ja recht sinnvoll sein, auf einem Rootserver halte ich das allerdings für eine unnötige und störende Beschränkung der User. Um den Absender von Mails zu identifizieren, die das eigene System verlassen gibt es sinnvollere Maßnahmen, IMHO.

PS: Gegen allgemeines Fälschen von Envelope-From hilft das genau Null, es bezieht sich ja nur auf Fälschungen innerhalb der eigenen Domain.

[adjustman]

na ja, Du kannst ja mal ne Disskussion in der Postfixliste "anzetteln". Evtl gibt es ja noch ne bessere Variante.

[dodolin]

na ja, Du kannst ja mal ne Disskussion in der Postfixliste "anzetteln".

Warum sollte ich?
a) Ich setze keinen Postfix ein (Exim-Fan) und kenne mich mit Postfix so gut wie gar nicht aus.
b) Sowas ist kein guter Stil, das gehört sich nicht.
c) Beim Für und Wider diverser Anti-Spam-Maßnahmen scheiden sich leider immer öfter die Geister und jeder hat seine eigene Meinung. Ich werde "meine" Meinung dazu bald mal öffentlich kundtun, aber auf einer ML sollte man das nicht unbedingt diskutieren, weil sich da oft nichts finden lässt, wo keiner mehr widerspricht.

Evtl gibt es ja noch ne bessere Variante.

Ich bin mit meiner bisherigen Lösung absolut zufrieden und bei Bedarf wird sie eben erweitert. :) Aber das basiert halt eh auf Exim...

[majortermi]

Ich bin mit meiner bisherigen Lösung absolut zufrieden und bei Bedarf wird sie eben erweitert. :) Aber das basiert halt eh auf Exim...

Gute Wahl! Ich benutze auch Exim als MTA, lasse SPAM-Mails mit SpamAssasin markieren und speichere sie dann mit Hilfe vom im Cyrus IMAP eingebauten Sieve alle als SPAM markierten Mails innerhalb eines speziellen Ordners in meinen Postfach. So komme ich ggf. auch sehr schnell an "false positives" (hatte ich bislang aber noch keine).

[Outlaw]

BTW: Mir fällt gerade auf, das ich seit Tagen beängstigend wenig SPAM erhalte ....

Liegt das daran, daß alle Spammer im Urlaub sind oder die jetzt in die Hose machen, weil sie reihenweise verklagt werden ??

Das soll jetzt kein Aufruf sein, SPAM an mich zu schicken, ich habe manchmal nur das Gefühl, meine MTAs funzen nicht mehr ....

Gruß Outi

[majortermi]

BTW: Mir fällt gerade auf, das ich seit Tagen beängstigend wenig SPAM erhalte ....

Liegt das daran, daß alle Spammer im Urlaub sind oder die jetzt in die Hose machen, weil sie reihenweise verklagt werden ??

Stimmt, ich habe in den letzten Tagen auch erstaunlich wenig SPAM erhalten (nur so 1-2 Mails / Tag, sonst sind es 5-10). Ich glaube, das liegt weniger daran, dass die Spammer Urlaub machen, als daran, dass sich für die Spammer der Versand momentan nicht lohnt da viele Urlaub machen und die Mails damit sowieso nicht lesen.

[dodolin]

Also meine Spamquote ist unverändert, aber ich glaube, es bringt jetzt nicht wirklich viel, wenn jeder darüber berichtet, oder? ;)