Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by mathiasr » 2004-07-13 22:37

Hallo,

mir ist aufgefallen, dass Spammer gern im HELO die Domain des Mailempfängers angeben.

Hat jemand eine Idee, wie man im Postfix 2.x alle Mails blocken kann, die einen Hostnamen angeben, dessen MX-Record auf meine eigenen Server zeigt?

Idealerweise müsste man den Hostnamen im HELO mit der Domain des Mailempfängers vergleichen.
Last edited by mathiasr on 2004-07-14 18:00, edited 1 time in total.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by dodolin » 2004-07-14 12:50

Nicht, dass ich mich jetzt mit Postfix auskennen würde, aber ich kann die Doku dazu lesen...

http://www.postfix.org/SMTPD_ACCESS_README.html
http://www.postfix.org/postconf.5.html# ... strictions

Das ginge auch noch, ist IMHO in diesem Fall aber überflüssig:
http://www.postfix.org/SMTPD_POLICY_README.html

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by mathiasr » 2004-07-14 17:43

Ich suche nach einer Bedingung wie

REJECT wenn Hostname im HELO = Name der Empfängerdomain

Dazu habe ich leider keinen Lösungsansatz in der Postfix-Doku oder im Heinlein gefunden.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by adjustman » 2004-07-14 20:59

mit der IP kann ich`s Dir sagen. In der main.cf

Code: Select all

smtpd_recipient_restrictions =
   .....
   check_helo_access hash:/etc/postfix/helo_checks
   ...
in helo_checks

Code: Select all

/^XXX.XXX.XXX.XXX$/        550 Don't use my own IP 
/^[XXX.XXX.XXX.XXX]$/    550 Don't use my own IP
das sind regex, kann man sicher auch für`n Hostname einrichten

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by mathiasr » 2004-07-15 01:00

Beispiel:
Ich hoste eine-firma.de

Jetzt erhalte ich eine Mail vom Mailserver mit dem (angeblichen) Hostnamen <eine-firma.de> To: <Chef@eine-firma.de> mit Spam.

Nun müsste ich entweder innerhalb der Mail den Hostnamen mit der Zieldomain vergleichen oder den Hostnamen zu einer IP auflösen und diese mit meinen IPs vergleichen, um das zu erkennen. Andernfalls müsste ich ja sämtliche bei mir auf dem jeweiligen Server gehosteten Domains als Hostnamen (und evt. auch als Senderdomains) sperren, was etwas aufwändiger wäre.

Mit dieser Maßnahme ließe sich über die Hälfte der Spam-Mails blocken.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by dodolin » 2004-07-15 09:16

Nun, nicht dass ich wieder lästern will, aber mit Exim wäre das trivial. ;)
Sorry, von Postfix hab ich nicht so viel Ahnung, kann daher nicht viel mehr dazu sagen...

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by squize » 2004-07-16 01:40

Die Links unten sind alle sehr lesenwert, aber was du brauchst ist:
smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access
mit
/etc/postfix/helo_access
deinedomain.tld REJECT
GRuss



DIe Lösung um so etwas mit postfix zu erreichen sind "restriction classes". Klingt ein bissen kompliziert, kann aber interessante Sachen erzeugen.

Eine gute Idee findest du bei

Postfix smtpd_restriction_classes für Dummies Part I
Postfix smtpd_restriction_classes für Dummies Part II
Postfix smtpd_restriction_classes für Dummies Part III

und

Postfix Per-Client/User/etc. Access Control

und auch sehr gut

POSTFIX UNSOLICITED COMMERCIAL EMAIL / ANTI-SPAM GUIDE - CLASSES

Ich denke es sollte nicht schwer deine Idee umzusetzen, vielleicht finde ich ein bissen Zeit mir etwas zu überlegen, aber versuche es doch mal hinzubekommen.

viel Erfolg

Marc

P.S.: Da bin ich doch noch über etwas gestolpert, dass dein Problem viel simpler löst. Ich hätte da ja gleich mit Kanonen auf Spatzen geschossen :oops: .

ADDRESS_VERIFICATION_README.html <- Das sollte es für dich tun. Ist gut geschrieben, lese dir mal durch.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by dodolin » 2004-07-16 13:34

/etc/postfix/helo_access
deinedomain.tld REJECT
Soweit ich den OP richtig verstanden habe, ist das aber nicht genau das, was er möchte. Er möchte den HELO mit der Domain im RCPT TO vergleichen und nur rejecten, wenn diese identisch ist.

Dazu müsste man in der helo_access Table Zugriff auf den RCPT TO haben und außerdem hat man den RCPT TO erst später als den HELO, d.h. die helo_access Table dürfte erst NACH dem RCPT TO ausgeführt werden und nicht nach dem HELO schon.

Kann man das nun immer noch mit Postfix machen und wenn ja, wie?? ;)

mathiasr
Posts: 85
Joined: 2003-04-30 08:26
Location: Freiburg

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by mathiasr » 2004-07-16 20:43

@dodolin: Exakt das war meine Idee.

Vielleicht können wir hier auch andere sinnvolle Ideen sammeln und eine relativ SPAM-sichere Postfix-Konfiguration zusammenstellen, die wir am Ende zu einem HowTo verarbeiten.

Hier noch ein paar Denkansätze aus meinen Notizen:
    Mails aus typischen SPAM-Source-Gebieten, z.B. China sollten "strenger" geprüft werden, als deutsche Mails
    Nur kleine Mails müssen geprüft werden
    Auto-Whitelist für alle, die einmal Mail erhalten haben
    Spammer fragen häufig nicht die MX-Records ab, sondern liefern direkt bei Domain.tld oder mail.domain.tld ein. Daher Mailserver auf anderer IP als Webserver betreiben
    Auf Backup-Mailserver intensiver prüfen als auf primärem Mailserver
    Weblinks im Mailbody erkennen und über rhsbl-Server prüfen
    greylisting
    Unsichtbare Mail-Links für Spam-Spider auf Webseiten -> Auto-Blacklisting
    Evt. NS-Anfragen auswerten (lt. Doc Snyder)
    Erzeugung von Blockierungs-Listen für die Domaininhaber
Das ist nur mal eine (noch unfertige) Ideenliste zur Ergänzung.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Postfix HELO checks - REJECT wenn Hostname = Empfängerdomain

Post by Joe User » 2004-07-16 20:58

Für Deine Wishlist ist allerdings zwingend Postfix >= 2.1 notwendig...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.