RootForum Community

Hallo,

mir ist aufgefallen, dass Spammer gern im HELO die Domain des Mailempfängers angeben.

Hat jemand eine Idee, wie man im Postfix 2.x alle Mails blocken kann, die einen Hostnamen angeben, dessen MX-Record auf meine eigenen Server zeigt?

Idealerweise müsste man den Hostnamen im HELO mit der Domain des Mailempfängers vergleichen.

Nicht, dass ich mich jetzt mit Postfix auskennen würde, aber ich kann die Doku dazu lesen...

http://www.postfix.org/SMTPD_ACCESS_README.html
http://www.postfix.org/postconf.5.html# ... strictions

Das ginge auch noch, ist IMHO in diesem Fall aber überflüssig:
http://www.postfix.org/SMTPD_POLICY_README.html

Ich suche nach einer Bedingung wie

REJECT wenn Hostname im HELO = Name der Empfängerdomain

Dazu habe ich leider keinen Lösungsansatz in der Postfix-Doku oder im Heinlein gefunden.

mit der IP kann ich`s Dir sagen. In der main.cf
in helo_checks das sind regex, kann man sicher auch für`n Hostname einrichten

Beispiel:
Ich hoste eine-firma.de

Jetzt erhalte ich eine Mail vom Mailserver mit dem (angeblichen) Hostnamen <eine-firma.de> To: <Chef@eine-firma.de> mit Spam.

Nun müsste ich entweder innerhalb der Mail den Hostnamen mit der Zieldomain vergleichen oder den Hostnamen zu einer IP auflösen und diese mit meinen IPs vergleichen, um das zu erkennen. Andernfalls müsste ich ja sämtliche bei mir auf dem jeweiligen Server gehosteten Domains als Hostnamen (und evt. auch als Senderdomains) sperren, was etwas aufwändiger wäre.

Mit dieser Maßnahme ließe sich über die Hälfte der Spam-Mails blocken.

Nun, nicht dass ich wieder lästern will, aber mit Exim wäre das trivial. ;)
Sorry, von Postfix hab ich nicht so viel Ahnung, kann daher nicht viel mehr dazu sagen...

Die Links unten sind alle sehr lesenwert, aber was du brauchst ist:

smtpd_helo_restrictions = check_helo_access hash:/etc/postfix/helo_access

mit

/etc/postfix/helo_access
deinedomain.tld REJECT

GRuss



DIe Lösung um so etwas mit postfix zu erreichen sind "restriction classes". Klingt ein bissen kompliziert, kann aber interessante Sachen erzeugen.

Eine gute Idee findest du bei

Postfix smtpd_restriction_classes für Dummies Part I
Postfix smtpd_restriction_classes für Dummies Part II
Postfix smtpd_restriction_classes für Dummies Part III

und

Postfix Per-Client/User/etc. Access Control

und auch sehr gut

POSTFIX UNSOLICITED COMMERCIAL EMAIL / ANTI-SPAM GUIDE - CLASSES

Ich denke es sollte nicht schwer deine Idee umzusetzen, vielleicht finde ich ein bissen Zeit mir etwas zu überlegen, aber versuche es doch mal hinzubekommen.

viel Erfolg

Marc

P.S.: Da bin ich doch noch über etwas gestolpert, dass dein Problem viel simpler löst. Ich hätte da ja gleich mit Kanonen auf Spatzen geschossen :oops: .

ADDRESS_VERIFICATION_README.html <- Das sollte es für dich tun. Ist gut geschrieben, lese dir mal durch.

/etc/postfix/helo_access
deinedomain.tld REJECT

Soweit ich den OP richtig verstanden habe, ist das aber nicht genau das, was er möchte. Er möchte den HELO mit der Domain im RCPT TO vergleichen und nur rejecten, wenn diese identisch ist.

Dazu müsste man in der helo_access Table Zugriff auf den RCPT TO haben und außerdem hat man den RCPT TO erst später als den HELO, d.h. die helo_access Table dürfte erst NACH dem RCPT TO ausgeführt werden und nicht nach dem HELO schon.

Kann man das nun immer noch mit Postfix machen und wenn ja, wie?? ;)

@dodolin: Exakt das war meine Idee.

Vielleicht können wir hier auch andere sinnvolle Ideen sammeln und eine relativ SPAM-sichere Postfix-Konfiguration zusammenstellen, die wir am Ende zu einem HowTo verarbeiten.

Hier noch ein paar Denkansätze aus meinen Notizen:

• Mails aus typischen SPAM-Source-Gebieten, z.B. China sollten "strenger" geprüft werden, als deutsche Mails

• Nur kleine Mails müssen geprüft werden

• Auto-Whitelist für alle, die einmal Mail erhalten haben

• Spammer fragen häufig nicht die MX-Records ab, sondern liefern direkt bei Domain.tld oder mail.domain.tld ein. Daher Mailserver auf anderer IP als Webserver betreiben

• Auf Backup-Mailserver intensiver prüfen als auf primärem Mailserver

• Weblinks im Mailbody erkennen und über rhsbl-Server prüfen

• greylisting

• Unsichtbare Mail-Links für Spam-Spider auf Webseiten -> Auto-Blacklisting

• Evt. NS-Anfragen auswerten (lt. Doc Snyder)

• Erzeugung von Blockierungs-Listen für die Domaininhaber

Das ist nur mal eine (noch unfertige) Ideenliste zur Ergänzung.

Für Deine Wishlist ist allerdings zwingend Postfix >= 2.1 notwendig...