Page 1 of 1
SPAM an accounting@domain.tld
Posted: 2006-03-11 20:42
by sligger
hab Postfix mit SASL und Cyrus laufen, soweit bin ich ganz zufrieden, nur bekomme ich immer Mails an die im Titel genannten Adresse.
Catchall ist nicht eingerichtet, der Account existiert auch nicht.
Wenn ich eine Mail von extern an diese Adresse schicke bekomme ich die Meldung
Code: Select all
Recipient address rejected: User unknown in local recipient table
so wie es sein soll.
Aber warum wird dann die SPAM zugestellt und wie kann ich das verhindern
Re: SPAM an accounting@domain.tld
Posted: 2006-03-11 20:49
by legato
Vergleich mal Delivered-To: und To: im Header der email.
To: müsste eben diese accounting adresse sein, Delivered-To: deine email adresse.
Re: SPAM an accounting@domain.tld
Posted: 2006-03-11 21:44
by sligger
steht nichts von "Delivered-To" in der Mail
Code: Select all
Return-Path: <timgreen@didamail.com>
Received: from mail.domain.tld ([unix socket])
by s14521478 (Cyrus v2.2.12) with LMTPA;
Fri, 10 Mar 2006 21:11:14 +0100
X-Sieve: CMU Sieve 2.2
Received: from localhost (s14521478.onlinehome-server.info [127.0.0.1])
by mail.domain.tld (Postfix) with ESMTP id BB4352A34012;
Fri, 10 Mar 2006 21:11:14 +0100 (CET)
Received: from mail.domain.tld ([127.0.0.1])
by localhost (s14521478 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id 04973-10; Fri, 10 Mar 2006 21:11:10 +0100 (CET)
Received: from 17C73C78 (adsl-216-101-133-160.dsl.frsn01.pacbell.net [216.101.133.160])
by mail.domain.tld (Postfix) with SMTP id C68B12A34011;
Fri, 10 Mar 2006 21:10:23 +0100 (CET)
Received: from kinki-kids.com (unknown [82.223.174.208])
by mamma.com with SMTP id MG2DRZHSD8
for <accounting@domain.tld>; Fri, 10 Mar 2006 12:10:00 -0600
From: "Kayla Battle" <stiveatkins@xsmail.com>
To: "Accounting" <accounting@domain.tld>
X-OriginalArrivalTime: Fri, 10 Mar 2006 12:10:00 -0600
Subject: About This accounting@domain.tld Email
[/quote]
Re: SPAM an accounting@domain.tld
Posted: 2006-03-14 15:32
by lord_pinhead
Und auf welchen Account kommt die rein? Wenn du jetzt sagst eine standard Mailadresse wie webmaster oder postmaster, dann wunder dich nicht. Nur wo ist der Rest vom Header geblieben? Da steht doch eigentlich noch drin an welchen echten Account die Mail ausgeliefert wurde:
Vergleich mal den Mailquelltext mit deinen, da fehlt ja die hälfte.
Re: SPAM an accounting@domain.tld
Posted: 2006-03-14 22:37
by adjustman
sligger wrote:Aber warum wird dann die SPAM zugestellt und wie kann ich das verhindern
ja, wie @Lord_Pinhead schon schrieb.
Guck mal in deinen Header. Das To: ist nicht so interessant.
Re: SPAM an accounting@domain.tld
Posted: 2006-03-18 00:47
by sligger
Das ist der komplette Header, da gibt es kein Delivered-To:
die Mail ging an die Adresse accounting@...
Code: Select all
Return-Path: <timgreen@didamail.com>
Received: from mail.domain.tld ([unix socket])
by s15202501 (Cyrus v2.2.12) with LMTPA;
Fri, 10 Mar 2006 21:11:14 +0100
X-Sieve: CMU Sieve 2.2
Received: from localhost (s14521478.onlinehome-server.info [127.0.0.1])
by mail.domain.tld (Postfix) with ESMTP id BB4352A34012;
Fri, 10 Mar 2006 21:11:14 +0100 (CET)
Received: from mail.domain.tld ([127.0.0.1])
by localhost (s14521478 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id 04973-10; Fri, 10 Mar 2006 21:11:10 +0100 (CET)
Received: from 17C73C78 (adsl-216-101-133-160.dsl.frsn01.pacbell.net [216.101.133.160])
by mail.domain.tld (Postfix) with SMTP id C68B12A34011;
Fri, 10 Mar 2006 21:10:23 +0100 (CET)
Received: from kinki-kids.com (unknown [82.223.174.208])
by mamma.com with SMTP id MG2DRZHSD8
for <accounting@domain.tld>; Fri, 10 Mar 2006 12:10:00 -0600
From: "Kayla Battle" <stiveatkins@xsmail.com>
To: "Accounting" <accounting@domain.tld>
X-OriginalArrivalTime: Fri, 10 Mar 2006 12:10:00 -0600
Subject: About This accounting@domain.tld Email
User-Agent: Internet Mail Service (5.5.2650.21)
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
Message-Id: <20060310201023.C68B12A34011@mail.domain.tld>
Date: Fri, 10 Mar 2006 21:10:23 +0100 (CET)
X-Virus-Scanned: amavisd-new at onlinehome-server.info
Re: SPAM an accounting@domain.tld
Posted: 2006-03-21 00:55
by hornox
Der Mailserver leitet die Mail an die Addresse weiter die ihm per smtp bzw "RCPT TO:" übergeben wurde, das hat nichts mit dem "To:" vom E-Mailheader zu tun, der ist bereits Teil der Daten. Ansonsten würde z.B. Mails mit blind carbon copy Empfängern gar nicht funktionieren.
Zwar schreiben viele Mailserver ein Delivered-To, Envelope-to oder Apparently-To in den Header und ermöglichen so dem Empfänger zu überprüfen für welche Addresse die Mail bestimmt ist aber es ist keine Pflicht. Schau mal ob es bei dir z.b.
so deaktiviert ist.
Re: SPAM an accounting@domain.tld
Posted: 2006-03-21 11:01
by lord_pinhead
Das würde aber vorraussetzen das es accounting@ gibt, in seinen ersten Post sehe ich eigentlich das es sie nicht gibt :) Selbst eine BCC müsst einen eintrag haben zum echten Acccount, und wenn es keinen solchen gibt, dann ist es wirklich eigenartig den der Mailserver muss sogar bei BCC´s irgendwo ein echten Account eingetragen haben für den Zielmailserver, oder habe ich gerade ein denkfehler
Re: SPAM an accounting@domain.tld
Posted: 2006-03-21 12:43
by hornox
Eine Mail mit "To:
test@meine.domain"(Empfänger gibts nicht) und "BCC:
hornox@meine.domain" (Empfänger bin ich) erzeugt folgenden Header:
Code: Select all
Envelope-to: hornox@meine.domain
Delivery-date: Tue, 21 Mar 2006 12:24:52 +0100
Received: from web36512.mail.mud.yahoo.com ([209.191.85.12])
by with smtp (Exim 4.50)
id 1FLeyq-0002md-6q
for hornox@meine.domain; Tue, 21 Mar 2006 12:24:52 +0100
Received: (qmail 21324 invoked by uid 60001); 21 Mar 2006 11:21:43 -0000
Received: from [84.163.211.129] by web36512.mail.mud.yahoo.com via HTTP; Tue, 21 Mar 2006 12:21:42 CET
Date: Tue, 21 Mar 2006 12:21:42 +0100 (CET)
From: <famhorn@yahoo.com>
Subject: hfhgfhgfhgf
To: test@meine.domain
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Das "Envelope-to: [...]" und das "Received:[...] for [...]" erstellt mein Exim, Postfix erzeugt normalerweise ein "Delivered-To:", nur daran kann man erkennen für wen sie bestimmt war als der Mailserver die Mail angenommen hat. Diese Zeilen kann man deaktivieren (wie es bei sligger anscheiend der Fall ist) und dann kann man gar nicht mehr nachfollziehen was per smtp/"rcpt to:" übermittelt wurde.
Ich bekomme in letzter Zeit auch einige Mails an generische E-Mailaddressen,
Code: Select all
2006-03-21 11:45:48 no host name found for IP address 218.234.232.13
2006-03-21 11:45:51 H=(33F61A18) [218.234.232.13] Warning: 218.234.232.13 is listed at dnsbl.sorbs.net (127.0.0.7: Exploitable Server See: http://www.sorbs.net/lookup.shtml?218.234.232.13)
2006-03-21 11:45:51 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <accounting@meine.domain>:
2006-03-21 11:45:51 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <accounts@meine.domain>:
2006-03-21 11:45:53 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <administrator@meine.domain>:
2006-03-21 11:45:54 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <admin@meine.domain>:
2006-03-21 11:45:56 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <advertising@meine.domain>:
2006-03-21 11:45:57 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <billing@meine.domain>:
2006-03-21 11:45:59 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <contact@meine.domain>:
2006-03-21 11:46:02 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <guest@meine.domain>:
2006-03-21 11:46:04 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <help@meine.domain>:
2006-03-21 11:46:05 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <home@meine.domain>:
2006-03-21 11:46:05 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <info@meine.domain>:
2006-03-21 11:46:09 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <mail@meine.domain>:
2006-03-21 11:46:10 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <majordomo@meine.domain>:
2006-03-21 11:46:13 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <sales@meine.domain>:
2006-03-21 11:46:15 H=(33F61A18) [218.234.232.13] F=<monksj@fastermail.com> rejected RCPT <service@meine.domain>:
2006-03-21 11:46:18 1FLeNU-0002iQ-6p <= monksj@fastermail.com H=(33F61A18) [218.234.232.13] P=smtp S=2492
2006-03-21 11:46:18 1FLeNU-0002iQ-6p => hornox <root@meine.domain> R=local_user T=mail_spool
2006-03-21 11:46:18 1FLeNU-0002iQ-6p Completed
Das meiste gibts bei mir eh nicht aber postmaster und root werden weitergeleitet :( Mails an
root@meine.domain werde ich deshalb irgendwann gar nicht mehr annehmen und für
postmaster@meine.domain werde ich einige sehr kritische RBL Filter verwenden und Mails dann auch hart ablehnen, siehe
http://www.rfc-ignorant.org/policy-postmaster.php
Re: SPAM an accounting@domain.tld
Posted: 2006-03-25 22:43
by sligger
in der main.cf steht der Parameter "prepend_delivered_header" auf der default Einstellung, dann muss Postfix doch eigentlich "Delivered-To" anzeigen, woran könnte es denn noch liegen?
Code: Select all
prepend_delivered_header = command, file, forward
Re: SPAM an accounting@domain.tld
Posted: 2006-03-26 13:27
by rootsvr
Ich hatte heute das gleiche Problem..
Code: Select all
Mar 26 09:21:29 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <accounting@winw-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<accounting@eine-domain-bei-mir.de> proto=SMTP he
lo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:34 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <accounts@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<accounts@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:34 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <administrator@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<administrator@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:35 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <admin@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<admin@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:35 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <advertising@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<advertising@eine-domain-bei-mir.de> proto=SMTPhelo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:35 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <billing@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<billing@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:38 meinMailerServer cyrus/master[595]: process 9441 exited, status 0
Mar 26 09:21:41 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <contact@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<contact@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:41 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <guest@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<guest@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:41 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <help@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<help@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:41 meinMailerServer postfix/smtpd[9402]: NOQUEUE: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <home@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<home@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:21:43 meinMailerServer postfix/smtp[9442]: connect to my.love.mebelspb.net[194.67.27.125]: Connection timed out (port 25)
Mar 26 09:21:47 meinMailerServer postfix/smtpd[9402]: 1BC99F380AD: client=h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]
Mar 26 09:21:56 meinMailerServer postfix/smtpd[9402]: 1BC99F380AD: reject: RCPT from h-67-100-133-115.phlapafg.dynamic.covad.net[67.100.133.115]: 550 <majordomo@eine-domain-bei-mir.de>: Recipient address rejected: User unknown in local recipient table; from=<MyrtleDaley52@quepasa.com> to=<majordomo@eine-domain-bei-mir.de> proto=SMTP helo=<h-67-100-133-115.phlapafg.dynamic.covad.net>
Mar 26 09:22:11 meinMailerServer postfix/cleanup[9456]: 1BC99F380AD: message-id=<08367376608.X247@freemail.globalsite.com.br>
Mar 26 09:22:11 meinMailerServer postfix/qmgr[5791]: 1BC99F380AD: from=<MyrtleDaley52@quepasa.com>, size=2019, nrcpt=4 (queue active)
Mar 26 09:22:11 meinMailerServer amavis[8672]: (08672-06) ESMTP::10026 /var/ram_amavis/amavis-20060326T084310-08672: <MyrtleDaley52@quepasa.com> -> <info@eine-domain-bei-mir.de>,<mail@eine-domain-bei-mir.de>,<postmaster@eine-domain-bei-mir.de>,<root@eine-domain-bei-mir.de> Received: SIZE=2019 from meinMailerServer.de ([127.0.0.1]) by localhost (meinMailerServer.de [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id 08672-06; Sun, 26 Mar 2006 09:22:11 +0200 (CEST)
Mar 26 09:22:11 meinMailerServer amavis[8672]: (08672-06) Checking: <MyrtleDaley52@quepasa.com> -> <info@eine-domain-bei-mir.de>,<mail@eine-domain-bei-mir.de>,<postmaster@eine-domain-bei-mir.de>,<root@eine-domain-bei-mir.de>
..
..
Scheint also ne Mail an viele rcpt to: zu sein und nur die Postmaster wird bei mir (RFC XYZ) zugestellt.. im HEader steht aber nur die Accounting mail.. warum auch immer..
Der scheint jedenfalls sorgen zu haben das seine Spams nicht ankommen..
Re: SPAM an accounting@domain.tld
Posted: 2006-03-26 15:02
by lord_pinhead
Man bräuchte eine möglichkeit soche Bruteforce Spammer automatisch nach der dritten Adresse die falsch ist zu sperren. Perl wäre viel zu aufwendig dafür und keiner der Postfix Entwickler wird sich dafür freiwillig melden, von daher postmaster, webmaster etc. einfach nicht anlegen und auch bei Postfix mit den header checks explizit sagen das diese Accounts ein Fehlermeldung zurückbekommen sollen. Spamassassin hin oder her, das braucht einfach nur viel Last und der Nutzen ist nicht gerade sehr hoch. Selbst mit SA gingen einige Mails durch, deswegen flog er auch runter. 1200 Spammails müssen reichen damit er eingelernt ist.
Re: SPAM an accounting@domain.tld
Posted: 2006-03-26 15:31
by captaincrunch
von daher postmaster, webmaster etc. einfach nicht anlegen und auch bei Postfix mit den header checks explizit sagen das diese Accounts ein Fehlermeldung zurückbekommen sollen.
Es soll ja sogar Leute geben, die andere wegen eines fehlendes Postmaster-Postfachs auf die entsprechende DNBSL setzen... ;)
Re: SPAM an accounting@domain.tld
Posted: 2006-03-26 16:27
by rootsvr
Laut RFC2142 muß man mails an Abuse und postmaster annehmen, an und für sich ja auch ne gute idee, weil wenn mal wer vom eigenen Server spammt gehen beschwerden immer an abuse..
Mich stört es nicht, werden getaggt in nen Ordner verschoben und nach 2 Tagen gelöscht. Aber auf der RFC_ignorant dbl mag ich halt nicht landen..
Und zum SA kann ich mich nicht beschweren.. Erkennungsraten von über 95% und keine FPs.. ok.. hin und wieder sind mal Ausreisser in der Laufzeit vom SA drinnen, da braucht er statt 2 Sekunden dann 19, aber auch das geht problemlos.
Re: SPAM an accounting@domain.tld
Posted: 2006-03-26 16:51
by lord_pinhead
CaptainCrunch wrote:von daher postmaster, webmaster etc. einfach nicht anlegen und auch bei Postfix mit den header checks explizit sagen das diese Accounts ein Fehlermeldung zurückbekommen sollen.
Es soll ja sogar Leute geben, die andere wegen eines fehlendes Postmaster-Postfachs auf die entsprechende DNBSL setzen... ;)
Dafür habe ich meine Ruhe ;) Bei 50 Spammails am Tag bringt das sowisso nichts mehr weil ich eh nur noch abrufe und lösche. Abuse bleibt ja auch offen, da kommt ja nichts. Welcher Spammer sendet auch an abuse@domain, wäre leicht bescheuert sich selbst auf die Blacklist zu katapultieren.