Ausgehende Mails kontrollieren

[ohgott]

Hallo,
seit einiger Zeit bekomme ich vermehrt "Undelivered Mail Returned to Sender" Nachrichten von Postfächern, die ich nicht angemailt habe. Nun frage ich mich, ob diese wirklich von meinem Server abgeschickt wurden. In den mail-log Dateien ist nichts zu finden, chkroot findet auch nichts besonderes.
Ich habe eine Domain, die alle eMails per catchall abfängt. Als Absender dieser obskuren Mails ist immer eine nicht existenter Benutzername von dieser Domain angegeben. Es wäre ja auch möglich, das nur dieser als FROM angegeben wurde, die Spam-Mails aber nicht von meinem Server geschickt wurden.
Hat jemand eine Idee, wie ich das herrausfinde?

THX

[Joe User]

Unverfälschten Mailheader und die IP sowie den Hostnamen Deines Mailservers posten, nur dann lässt sich Deine letzte Vermutung prüfen.

[Roger Wilco]

Such in deinen Mail Logs nach den Message-IDs, welche in den Bounces stehen. Wenn du die nicht findest, ist es wahrscheinlich ein Joe Job gewesen.

[ohgott]

In den Maillogs habe ich gar nichts in diese Richtung finden können, auch die Message-IDs nicht.

Hier mal eine Header:

Code: Select all

Received: from smtp-gw.widesoft.com.br (localhost [127.0.0.1])
	by smtp-gw.widesoft.com.br (Postfix) with ESMTP id 2199714F0F
	for <faustocontab@widesoft.com.br>; Sat,  7 Oct 2006 03:56:37 -0300 (BRT)
Authentication-Results: smtp-gw.widesoft.com.br from=zel@meinedomain.de; domainkey=neutral (no signature; no policy for meinedomain.de)
X-Greylist: delayed 303 seconds by postgrey-1.24 at smtp-gw.widesoft.com.br; Sat, 07 Oct 2006 03:56:36 BRT
Received: from oqze (unknown [210.203.157.65])
	by smtp-gw.widesoft.com.br (Postfix) with SMTP
	for <faustocontab@widesoft.com.br>; Sat,  7 Oct 2006 03:56:36 -0300 (BRT)
Received: from 202.28.67.87 ([202.28.67.87]) by oqze with Microsoft SMTPSVC(6.0.3790.1830); Sat, 7 Oct 2006 14:04:01 +0700
Message-ID: <45275014.7080003@mattsdigitaldesigns.com>
Date: Sat, 7 Oct 2006 13:58:28 +0700
From: Rosa Ewing <zel@meinedomain.de>
User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)
MIME-Version: 1.0
To: faustocontab@widesoft.com.br
Subject: bridge crystal
Content-Type: multipart/related;
 boundary="------------040808080307060903040405"

[Joe User]

Eindeutig Spam der nicht von Deinem Server stammt, es sei denn Dein Server steht in einer thailändischen Universität/Schule ;)

[theomega]

Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?

[sledge0303]

Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?

Scheint sich zu seiner Art "Volkssport" zu entwickeln... :(
Mir ist das bis jetzt noch nicht vorgekommen, aber was noch nicht ist kann ja (leider) noch werden.

[Roger Wilco]

Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?

Um die eigenen Postfächer zu schonen den Catchall abschalten. Ansonsten so etwas wie SPF einsetzen. Wenn die entsprechenden Spamfilter dann nicht passende SPF-Records entsprechend bewerten, könnten diese Mails gleich ausgefiltert werden. Intelligenterweise gleich während des SMTP-Dialogs.
Leider bringen Verfahren wie SPF andere Nachteile.

[Joe User]

Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).

[adjustman]

Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).

doch, ein wenig - bis sehr viel - schon
http://www.policyd-weight.org/

[Joe User]

Wenn ich eMails über meinen Mailserver mit Deiner eMail-Adresse im From verschicke, kann Dein policyd-weight dies nicht verhindern

[ohgott]

Danke jedenfalls.
Wenigstens weiss ich jetzt, das so was JoeJob heisst...

[Roger Wilco]

Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).

Es trägt aber zu eindeutigen Erkennung bei. In den SPF-Records werden alle Hosts angegeben, die für die betreffende Domain Mails verschicken dürfen. Wenn nun eine Mail von einem Host kommt, der nicht in meinem SPF-Record steht (wie es bei Joe Jobs der Fall ist), merkt der empfangende MTA, dass die Mails nicht von einem legitimen Mailhost für diese Domain kommt (sofern er natürlich die SPF-Records prüft und bewertet). Eine gute SPF-Implementation/ein guter MTA prüfen das im SMTP-Dialog und lehnen den weiteren Empfang nach dem MAIL FROM ab. Und selbst wenn die falsche E-Mail-Adresse nur in den Mailheadern steht, kann ein nachgeschalteter Spamfilter (etwa SpamAssassin) einen entsprechend höheren Score geben.

Beispiel GMX:

Code: Select all

; <<>> DiG 9.3.2 <<>> gmx.net txt
[...]
;; ANSWER SECTION:
gmx.net.                25      IN      TXT     "v=spf1 ip4:213.165.64.0/23 -all"
;; MSG SIZE  rcvd: 69

Nach dem SPF-Record dürfen Mails, die von GMX kommen, nur über einen Host aus 213.165.64.0/23 verschickt werden. Alle anderen lügen, wenn Sie Mails für *@gmx.net ausliefern.

[rofel]

Wenn ich eMails über meinen Mailserver mit Deiner eMail-Adresse im From verschicke, kann Dein policyd-weight dies nicht verhindern

Ich gehe davon aus, dass adjustMAN meinte, dass der Einsatz von Tools die Faelschungen erkennen dazu beitraegt, dass weniger Server fuer JoeJobs misbraucht werden koennen - aehnlich, wie SPF dazu beitraegt. Wobei SPF halt kritisch fuer ISP/ESP ist, die Forwarding anbieten - die muessen dann halt misbrauchbares SRS machen.

Backscatter/JoeJobs vor DATA als Ziel-Opfer zu erkennen ist quasi unmoeglich, als relay/abuse-Opfer hingegen schon.