Das ist ja irre - und man kann nichts dagegen machen :(

Rund um die Sicherheit des Systems und die Applikationen
tomm73
Posts: 11
Joined: 2003-08-05 17:40

Das ist ja irre - und man kann nichts dagegen machen :(

Post by tomm73 » 2003-08-09 17:33

Oder doch?

Zenario: ein Spammer versendet zehntausende Spammails und gibt beim HELO eine von mir registrierte Domain an. Die zu Recht erbosten User schicken zentausende von mails an abuse@meinedomain und mein Mailserver macht die Grätsche.

Oder ein Businesskonkurent mit krimineller Energie sucht sich in den für jedermann zugänglichen OR-Databases ein paar Server aus, macht wieder das HELO-Spielchen und ich bin nicht mehr fähig Emails zu empfangen.


siehe auch meien Frage bei (http://www.rootforum.org/forum/viewtopic.php?t=15227)

Und es gibt wirklich keine Möglichkeit sich zu wehren?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dodolin » 2003-08-09 17:53

Zenario: ein Spammer versendet zehntausende Spammails und gibt beim HELO eine von mir registrierte Domain an.
Beim HELO oder beim MAIL FROM (Envelope-From)?

http://home.snafu.de/laura/de.admin.net-abuse.mail.txt

Code: Select all

Frage 7:

* Hilfe! Meine Adresse oder meine Domain wird als Absender in Spam
  mißbraucht! Was kann ich tun?

tomm73
Posts: 11
Joined: 2003-08-05 17:40

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by tomm73 » 2003-08-09 18:14

Beim HELO oder beim MAIL FROM (Envelope-From)?
Kenn ich mich zuwenig damit aus um genau die Bedeutung unterscheiden zu können. Aber eigentlich doch bei beiden?
Ich hatte irgendwie gehofft mich getäuscht zu haben 8O Also ist die einzige Abwehr politisch aktiv zu werden :idea:

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dodolin » 2003-08-10 01:43

Wenn du alleiniger Benutzer des Servers bist, könntest du temporär Bounces (also alles mit leerem Envelope-From) blocken, bis der Spuk wieder vorbei ist. Oder wenn es auf eine ansonsten nicht benutzte Adresse bei dir geht, diese Empfänger-Adresse (= Envelope-To:) komplett blocken. Falls du Catch-All hast... -> abschalten.

Anhand der Bounces rausfinden, wer dahintersteckt und Abuse-Meldungen schreiben. Hinweis auf die Webseite stellen und auf alle Complaints einfach nur mit dem Link antworten, keine großen Erklärungen (außer auf der Webseite, natürlich), das kostet zuviel Zeit.

HTH.

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dea » 2003-08-10 10:31

Hmm - ich hab' ja jetzt nicht sooo den Peil von der Thematik. Aber wenn ein Spammer meine Domain beim HELO angibt und der Mailer "auf der anderen Seite" schlecht genug konfiguriert ist, dann bin ich doch tatsächlich gelackmeiert ... Oder irre ich da?

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dodolin » 2003-08-10 11:52

Aber wenn ein Spammer meine Domain beim HELO angibt
Dann passiert genau gar nichts.
Ihr verwechselt wohl alle beide den HELO mit dem Envelop-Sender (MAIL FROM).
und der Mailer "auf der anderen Seite" schlecht genug konfiguriert ist
Das hat nichts mit "schlecht konfiguriert" zu tun, das ist laut RFC sogar so vorgesehen: Bounces MÃ?SSEN zugestellt werden (wenn man die Mail zuerst angenommen hatte). Alles andere würde auch gegen Gesetze verstoßen...

Gefälsche HELO's sind nur dann ein Problem, wenn DAUs das nicht erkennen deshalb meinen, sich bei einem fälschlicherweise beschweren zu müssen. Auf technischer Ebene stellen sie kein Problem dar.

Ich empfehle ein paar RFCs zum Thema zu lesen, in einer ruhigen Minute. http://www.tin.org/docs.html ist ein guter Anfang...

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dea » 2003-08-10 12:55

dodolin wrote:Gefälsche HELO's sind nur dann ein Problem, wenn DAUs das nicht erkennen deshalb meinen, sich bei einem fälschlicherweise beschweren zu müssen. Auf technischer Ebene stellen sie kein Problem dar.
So in die Richtung wollte ich ... AFAIK kann ich meinen Mailserver wohl so konfigurieren, dass er einen Lookup auf die im HELO angegene Domain resp. den veröffentlichten MX macht und die Kommunikation ausschließlich bei einer Ã?bereinstimmung der Daten zulässt/weiterführt.

Wiederum AFAIK (und ich hab' nun wirklich wenig Ahnung von dem Thema *g*) ist dies aber keine Standardeinstellung. Dies meinte ich dann mit "falsch konfiguriertem Mailserver".

Ich hoffe, ich nerve hier keinen mit meinen Posts, aber mich interessiert das Thema durchaus. Aber wg. mangelnder Kenntnis hab' ich meinem rootie mailtechnisch auch das Mailen abgewöhnt (bevor ich Mist baue)...
Ich empfehle ein paar RFCs zum Thema zu lesen, in einer ruhigen Minute. http://www.tin.org/docs.html ist ein guter Anfang...
Danke für den Link (und Dank an all' die anderen Link-Poster) - hast Du vll. noch 'n Link für "ruhige Minute" ? *seufz* ;)

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dodolin » 2003-08-10 13:33

So in die Richtung wollte ich ... AFAIK kann ich meinen Mailserver wohl so konfigurieren, dass er einen Lookup auf die im HELO angegene Domain resp. den veröffentlichten MX macht und die Kommunikation ausschließlich bei einer Ã?bereinstimmung der Daten zulässt/weiterführt.
Jepp, dieses Feature bieten die meisten MTAs inzwischen an, ja. Es ist aber ganz und gar nicht empfehlenswert, sowas einzuschalten, weil die false Postitive Rate viiieeel zu hoch ist. Es gibt einfach viel zu viele falsch konfigurierte MTAs da draußen, die halt nichts Böses im Schilde führen. Diese dann zu blocken ist IMHO der falsche Weg. Ich nutze diese Ã?berprüfung bei mir allerdings, um einen X-Broken-HELO: Header in die Mails einzufügen. Das kann ich vertreten.
Wiederum AFAIK (und ich hab' nun wirklich wenig Ahnung von dem Thema *g*) ist dies aber keine Standardeinstellung.
Jepp. Aus gutem Grund (siehe oben).
Dies meinte ich dann mit "falsch konfiguriertem Mailserver".
Ich würde denjenigen Mailserver als falsch konfiguriert bezeichnen, der Mails wegen dem HELO ablehnt. Das ist laut RFC ein MUST NOT!!!
Ich hoffe, ich nerve hier keinen mit meinen Posts, aber mich interessiert das Thema durchaus. Aber wg. mangelnder Kenntnis hab' ich meinem rootie mailtechnisch auch das Mailen abgewöhnt (bevor ich Mist baue)...
Eine sehr weise Entscheidung. Administration von MTAs ist IMHO absolut eine Sache, die man Leuten überlassen sollte, die wissen was sie tun. Ich wünschte, noch mehr Leute würden deine Erkenntnis gewinnen und so viel Einsicht zeigen... *seufz*

Nee, also mich zumindest nervst du nicht. Ich teile ja gerne mein Wissen: Jeder hat ja andere Wissensgebiete, wo er sich besser oder schlechter auskennt und bestimmt werde ich dich nächstes Mal auch wieder was fragen... :)
hast Du vll. noch 'n Link für "ruhige Minute" ?
Kommt drauf an, was dich interessiert... ;) Aber ich glaube, bis du das alles durchhast, wirst du erst mal "ein paar" ruhige Minuten sitzen können... ;)

Die neueste c't hat wohl (mal wieder, wie so oft in letzter Zeit... :) ) einige Artikel zum Thema Spam drin. Ausschnitte gibt es auch online: http://www.heise.de/ct/03/17/134/

majortermi
Userprojekt
Userprojekt
Posts: 916
Joined: 2002-06-17 16:09

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by majortermi » 2003-08-10 13:57

dea wrote:
dodolin wrote:Gefälsche HELO's sind nur dann ein Problem, wenn DAUs das nicht erkennen deshalb meinen, sich bei einem fälschlicherweise beschweren zu müssen. Auf technischer Ebene stellen sie kein Problem dar.
So in die Richtung wollte ich ... AFAIK kann ich meinen Mailserver wohl so konfigurieren, dass er einen Lookup auf die im HELO angegene Domain resp. den veröffentlichten MX macht und die Kommunikation ausschließlich bei einer Ã?bereinstimmung der Daten zulässt/weiterführt.
Ich weiß nicht, ob das so eine gute Idee ist. Gerade bei großen Providern kann es vorkommen, dass für den Mailversand nach außen andere Mail-Server zuständig sind, als für die eingehende, oder das die Mails sogar zunächst mehrmals intern weitergeleitet werden, bevor sie nach außen gehen. In diesen Fällen würde eine solche Konfiguration wahrscheinlich erwünschte Mails auch ablehnen.
Erst nachlesen, dann nachdenken, dann nachfragen... :)
Warum man sich an diese Reihenfolge halten sollte...

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dodolin » 2003-08-10 17:14

Noch mehr Links: Alles auf http://www.th-h.de/faq/danam-intro.php3 .
Ebenso empfehlenswert ist es, die entsprechende Newsgruppe zu abonnieren und erst mal lesend zu verfolgen. Aktuell wird zum Beispiel unter dem Subject "Fake Bounce produzieren?" gerade darüber diskutiert, wie sich ein Mailserver verhalten sollte, wenn der Empfänger nicht existiert (Reject im SMTP-Dialog versus Mail annehmen und später Bounce-Mail generieren). Wie man an der Diskussion sieht, ist das Thema Anti-Spam halt so komplex, dass es nicht "die" Lösung gibt, sondern je nach Einsatzumgebung andere Strategien gefahren werden müssen. Um das entscheiden zu können ist viiieeel Erfahrung auf diesem Gebiet nötig.

EDIT: Nochwas zum Thema: http://homepages.tesco.net/~J.deBoynePo ... wrong.html

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dea » 2003-08-10 18:24

dodolin wrote:
hast Du vll. noch 'n Link für "ruhige Minute" ?
Kommt drauf an, was dich interessiert... ;) Aber ich glaube, bis du das alles durchhast, wirst du erst mal "ein paar" ruhige Minuten sitzen können... ;)
*g* Mich interessiert wo ich die ruhige Minute herbekomme - mit zwei Kindern und div. privaten Projekten ist das nicht immer einfach ;)

Ansonsten Dake für Deine/Eure Ausführungen. Interessante Sichtweisen, die mir so noch garnicht in den Sinn gekommen sind. Mir ist zwar generell nicht wohl bei dem Gedanken aus Rücksicht auf falsch konfigurierte Dienste (mal ganz abstrakt) simpelste Mechanismen zur Absicherung meiner Dienste sausen zu lassen, aber andererseits dürfte im Falle der Mailer die normative Kraft des Faktischen mal wieder stärker als mein Idealismus sein ... *sniffz*

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by nyxus » 2003-08-10 22:34

dea wrote:hast Du vll. noch 'n Link für "ruhige Minute" ? *seufz* ;)
Da könnte ich aus dem Suse-Press-Verlag das Postfix-Buch empfehlen, gerade wenn man sich mit Mail-Servern noch nicht so auskennt. Ist weniger ein Buch, in dem es "so richtig" um Postfix geht, eher um den Betrieb eines Mailservers am Beispiel Postfix mit einer Menge drum rum. Allerdings ist es auch ein Buch, das nach dem ersten Lesen schnell bei eBay landet. Denn danach ist es bereits zu flach.

dea
Posts: 532
Joined: 2002-08-13 12:05

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by dea » 2003-08-10 23:14

Nyxus wrote:
dea wrote:hast Du vll. noch 'n Link für "ruhige Minute" ? *seufz* ;)
Da könnte ich aus dem Suse-Press-Verlag [SNIP] ...
1. SuSE: Fass' ich nicht an
2. Noch so'n Post und ich zitier meine Bücherregale ... :roll: Ich wollte von dodolin nur'n Link haben wo ich eine freie und ruhige Minute herbekomme! ;)

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Das ist ja irre - und man kann nichts dagegen machen :(

Post by nyxus » 2003-08-11 00:03

dea wrote:1. SuSE: Fass' ich nicht an
Das Ding ist nicht sehr Suse-typisch.
2. Noch so'n Post und ich zitier meine Bücherregale ... :roll:
oh, die neue Form von "Wer hat den Längsten ... ;-)" Halte ich gegen; alleine letztes Jahr ca. 1000 EUR bei Amazon (darf man eigentlich nicht drüber nachdenken).
Ich wollte von dodolin nur'n Link haben wo ich eine freie und ruhige Minute herbekomme! ;)
Ahhh, jetzt ja! Wenn Du zwei findest, dann gib mir eine ab.