Postfix HELO fakes erkennen lassen

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
tomm73
Posts: 11
Joined: 2003-08-05 17:40

Postfix HELO fakes erkennen lassen

Post by tomm73 » 2003-08-09 15:05

Hallo,

ich arbeite mich gerade etwas in Postfix ein und habe mir dafür im Lokalen net Debian mit Postfix 1.1.11-0.woody3 installiert.

Postfix akzeptiert nur mails an die eigen domain, das klappt soweit.
ESMTP mit SASL klappt auch (gegen eine MySQL DB)

Allerdings kann ich immer noch meine Absender-Adresse faken. Ist das überhaupt zu verhindern?
Mein Debian System heisst hier mail.example.com
Das System das versucht den HELO zu faken ist system01
Hier ein Log:


Eingabe:
-------------------------------------------------------------------------------
[root@system01 root]# telnet mail.example.com 25
Trying 123.456.789.000...
Connected to mail.example.com (123.456.789.000).
Escape character is '^]'.
220 mail.example.com ESMTP Postfix
HELO happyhacker.org
250 mail.example.com
MAIL FROM:root@happyhacker.org
250 Ok
RCPT TO:root@example.com
250 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
sowas!
.
250 Ok: queued as C72003B8
QUIT
221 Bye
Connection closed by foreign host.
-------------------------------------------------------------------------------


Email die ankommt:
-------------------------------------------------------------------------------
Return-Path: <root@happyhacker.org>
Delivered-To: root@example.com
Received: from happyhacker.org (system01 [111.11.111.111])
by mail.example.com (Postfix) with SMTP id C72003B8
for <root@example.com>; Sat, 9 Aug 2003 14:52:28 +0200 (CEST)
Message-Id: <20030809125228.C72003B8@mail.example.com>
Date: Sat, 9 Aug 2003 14:52:28 +0200 (CEST)
From: root@happyhacker.org
To: undisclosed-recipients:;
-------------------------------------------------------------------------------


Postfix erkennt zwar, das ich nicht root@happyhacker.org bin sondern system 01, lässt die Mail aber trotzdem an mich durch. wie kann ich das stoppen??

Danke.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO fakes erkennen lassen

Post by dodolin » 2003-08-09 16:18

wie kann ich das stoppen??
Gar nicht. :)

Es liegt in der Sache der Natur des SMTP Protokolls, dass man den Envelope-From beliebig fälschen kann.

Das einzige, was du machen könntest, ist, dass dein Postfix z.B. checkt, ob die Domain des Envelope-Froms im DNS existiert bzw. sinnige MX bzw. A Records hat.

In den neuesten Postfix-Snapshots soll er auch mit Callbacks den Localpart des Envelpe-Froms checken können, aber wenn man das tut, sollte man sehr genau wissen, was das für Auswirkungen hat (sind so einige, die nicht unbedingt auf den ersten Blick zu durchschauen sind...) und das im Blick behalten, um das gegebenenfalls feinzutunen (keine Ahnung, welche Möglichkeiten Postfix zum feintunen der Callbacks genau bietet...).

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Postfix HELO fakes erkennen lassen

Post by adjustman » 2003-08-09 20:31

ich hab jetzt mal den "Meister" :) gefragt. Geht doch!

Die Lösung:
http://www.stahl.bau.tu-bs.de/~hildeb/p ... 3_de.shtml

tomm73
Posts: 11
Joined: 2003-08-05 17:40

Re: Postfix HELO fakes erkennen lassen

Post by tomm73 » 2003-08-09 20:42

Heidafez, das Konzept ist genial!!! Danke!!!
Nun muss nur noch jeder das implementieren :roll:

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Postfix HELO fakes erkennen lassen

Post by adjustman » 2003-08-09 20:51

Bedank Dich bei Ralf Hildebrandt. :wink: (Es hilft ungemein, die Postfixliste zu lesen, zu abonnieren)
http://listi.jpberlin.de/mailman/listin ... buch-users

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Postfix HELO fakes erkennen lassen

Post by captaincrunch » 2003-08-09 23:21

(Es hilft ungemein, die Postfixliste zu lesen, zu abonnieren)
Auch wenn's (teilweise) OT ist : es ist grundsätzlich eine gute Idee, die zuständigen Mailinglisten zu abonnieren, oder wenigstens mal die Archive derjenigen zu durchforsten ... ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Postfix HELO fakes erkennen lassen

Post by adjustman » 2003-08-09 23:33

Genau. Meine Rede seit 45 :-D :wink:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO fakes erkennen lassen

Post by dodolin » 2003-08-10 02:25

Ich will, dass Mail von außen NIE einen Absender innerhalb meiner Domain hat
Uahh, mutig, mutig. Da kann man sich schnell ins Knie schießen, aber ok, wer weiß, was er tut...

Nuja, hier mal eine Statistik, wieviel diese Methode bei mir jetzt genau geholfen hätte:

Code: Select all

dominik@trinity:~$ mailgrep "Return-path:.*@stud.uni-karlsruhe.de"
######################
#      Summary       #
######################
total amount of emails: 1473 = 100.00 %
spam mails:             976 =  66.25 % of all mails
ham  mails:             497 =  33.74 % of all mails

pattern in spam mails:  13 =  1.33 % of all spam mails
pattern in ham  mails:  0 =  0 % of all ham mails

Anmerkung: Das ist die Domain, auf der ich meinen meisten Spam erhalte.

Ok, bisher Null false Positives, das ist ok und man könnte es daher einsetzen. Aber die Trefferquote von 1.33 % ist jetzt nicht wirklich berauschend, oder?

Ganz anders sieht die Sache aus, wenn du Mailinglisten oder Mailverteiler nutzt, die die Mail mit deinem Absender wieder an dich ausliefern. -> Das ist das KO-Kriterium für diese Filtermethode. Beispiel gefällig?

Code: Select all

dominik@trinity:~$ mailgrep "Return-path:.*@dodolin.de"
######################
#      Summary       #
######################
total amount of emails: 1473 = 100.00 %
spam mails:             976 =  66.25 % of all mails
ham  mails:             497 =  33.74 % of all mails

pattern in spam mails:  0 =  0 % of all spam mails
pattern in ham  mails:  36 =  7.24 % of all ham mails
Anmerkung: Die Domain ist noch nicht groß verbrannt und erhält deshalb bisher noch keinen Spam.

Aber man sieht bereits hier, dass die false Positive Rate extrem viel zu hoch ist und man diese Art der Filterung nicht einsetzen kann/sollte.
und dass Mail von innen IMMER einen Absender innerhalb meiner Domain hat.
Das kann in manchen Szenarien (z.B. Firmennetze) ja recht sinnvoll sein, auf einem Rootserver halte ich das allerdings für eine unnötige und störende Beschränkung der User. Um den Absender von Mails zu identifizieren, die das eigene System verlassen gibt es sinnvollere Maßnahmen, IMHO.

PS: Gegen allgemeines Fälschen von Envelope-From hilft das genau Null, es bezieht sich ja nur auf Fälschungen innerhalb der eigenen Domain.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Postfix HELO fakes erkennen lassen

Post by adjustman » 2003-08-10 03:50

na ja, Du kannst ja mal ne Disskussion in der Postfixliste "anzetteln". :wink: Evtl gibt es ja noch ne bessere Variante.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO fakes erkennen lassen

Post by dodolin » 2003-08-10 09:57

na ja, Du kannst ja mal ne Disskussion in der Postfixliste "anzetteln".
Warum sollte ich?
a) Ich setze keinen Postfix ein (Exim-Fan) und kenne mich mit Postfix so gut wie gar nicht aus.
b) Sowas ist kein guter Stil, das gehört sich nicht.
c) Beim Für und Wider diverser Anti-Spam-Maßnahmen scheiden sich leider immer öfter die Geister und jeder hat seine eigene Meinung. Ich werde "meine" Meinung dazu bald mal öffentlich kundtun, aber auf einer ML sollte man das nicht unbedingt diskutieren, weil sich da oft nichts finden lässt, wo keiner mehr widerspricht.
Evtl gibt es ja noch ne bessere Variante.
Ich bin mit meiner bisherigen Lösung absolut zufrieden und bei Bedarf wird sie eben erweitert. :) Aber das basiert halt eh auf Exim...

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Postfix HELO fakes erkennen lassen

Post by majortermi » 2003-08-10 13:46

dodolin wrote:Ich bin mit meiner bisherigen Lösung absolut zufrieden und bei Bedarf wird sie eben erweitert. :) Aber das basiert halt eh auf Exim...
Gute Wahl! Ich benutze auch Exim als MTA, lasse SPAM-Mails mit SpamAssasin markieren und speichere sie dann mit Hilfe vom im Cyrus IMAP eingebauten Sieve alle als SPAM markierten Mails innerhalb eines speziellen Ordners in meinen Postfach. So komme ich ggf. auch sehr schnell an "false positives" (hatte ich bislang aber noch keine).
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Postfix HELO fakes erkennen lassen

Post by Outlaw » 2003-08-10 14:51

BTW: Mir fällt gerade auf, das ich seit Tagen beängstigend wenig SPAM erhalte ....

Liegt das daran, daß alle Spammer im Urlaub sind oder die jetzt in die Hose machen, weil sie reihenweise verklagt werden ??

Das soll jetzt kein Aufruf sein, SPAM an mich zu schicken, ich habe manchmal nur das Gefühl, meine MTAs funzen nicht mehr ....

Gruß Outi
:D Gruß Outi :D

majortermi
Userprojekt
Userprojekt
Posts: 930
Joined: 2002-06-17 16:09

Re: Postfix HELO fakes erkennen lassen

Post by majortermi » 2003-08-10 15:17

Outlaw wrote:BTW: Mir fällt gerade auf, das ich seit Tagen beängstigend wenig SPAM erhalte ....

Liegt das daran, daß alle Spammer im Urlaub sind oder die jetzt in die Hose machen, weil sie reihenweise verklagt werden ??
Stimmt, ich habe in den letzten Tagen auch erstaunlich wenig SPAM erhalten (nur so 1-2 Mails / Tag, sonst sind es 5-10). Ich glaube, das liegt weniger daran, dass die Spammer Urlaub machen, als daran, dass sich für die Spammer der Versand momentan nicht lohnt da viele Urlaub machen und die Mails damit sowieso nicht lesen.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO fakes erkennen lassen

Post by dodolin » 2003-08-10 15:32

Also meine Spamquote ist unverändert, aber ich glaube, es bringt jetzt nicht wirklich viel, wenn jeder darüber berichtet, oder? ;)