Ausgehende Mails kontrollieren

Rund um die Sicherheit des Systems und die Applikationen
ohgott
Posts: 28
Joined: 2006-03-21 16:21

Ausgehende Mails kontrollieren

Post by ohgott » 2006-10-07 12:45

Hallo,
seit einiger Zeit bekomme ich vermehrt "Undelivered Mail Returned to Sender" Nachrichten von Postfächern, die ich nicht angemailt habe. Nun frage ich mich, ob diese wirklich von meinem Server abgeschickt wurden. In den mail-log Dateien ist nichts zu finden, chkroot findet auch nichts besonderes.
Ich habe eine Domain, die alle eMails per catchall abfängt. Als Absender dieser obskuren Mails ist immer eine nicht existenter Benutzername von dieser Domain angegeben. Es wäre ja auch möglich, das nur dieser als FROM angegeben wurde, die Spam-Mails aber nicht von meinem Server geschickt wurden.
Hat jemand eine Idee, wie ich das herrausfinde?

THX

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ausgehende Mails kontrollieren

Post by Joe User » 2006-10-07 12:51

Unverfälschten Mailheader und die IP sowie den Hostnamen Deines Mailservers posten, nur dann lässt sich Deine letzte Vermutung prüfen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Ausgehende Mails kontrollieren

Post by Roger Wilco » 2006-10-07 12:51

Such in deinen Mail Logs nach den Message-IDs, welche in den Bounces stehen. Wenn du die nicht findest, ist es wahrscheinlich ein Joe Job gewesen.

ohgott
Posts: 28
Joined: 2006-03-21 16:21

Re: Ausgehende Mails kontrollieren

Post by ohgott » 2006-10-07 17:43

In den Maillogs habe ich gar nichts in diese Richtung finden können, auch die Message-IDs nicht.

Hier mal eine Header:

Code: Select all

Received: from smtp-gw.widesoft.com.br (localhost [127.0.0.1])
	by smtp-gw.widesoft.com.br (Postfix) with ESMTP id 2199714F0F
	for <faustocontab@widesoft.com.br>; Sat,  7 Oct 2006 03:56:37 -0300 (BRT)
Authentication-Results: smtp-gw.widesoft.com.br from=zel@meinedomain.de; domainkey=neutral (no signature; no policy for meinedomain.de)
X-Greylist: delayed 303 seconds by postgrey-1.24 at smtp-gw.widesoft.com.br; Sat, 07 Oct 2006 03:56:36 BRT
Received: from oqze (unknown [210.203.157.65])
	by smtp-gw.widesoft.com.br (Postfix) with SMTP
	for <faustocontab@widesoft.com.br>; Sat,  7 Oct 2006 03:56:36 -0300 (BRT)
Received: from 202.28.67.87 ([202.28.67.87]) by oqze with Microsoft SMTPSVC(6.0.3790.1830); Sat, 7 Oct 2006 14:04:01 +0700
Message-ID: <45275014.7080003@mattsdigitaldesigns.com>
Date: Sat, 7 Oct 2006 13:58:28 +0700
From: Rosa Ewing <zel@meinedomain.de>
User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)
MIME-Version: 1.0
To: faustocontab@widesoft.com.br
Subject: bridge crystal
Content-Type: multipart/related;
 boundary="------------040808080307060903040405"


User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ausgehende Mails kontrollieren

Post by Joe User » 2006-10-07 18:56

Eindeutig Spam der nicht von Deinem Server stammt, es sei denn Dein Server steht in einer thailändischen Universität/Schule ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

theomega
Userprojekt
Userprojekt
Posts: 696
Joined: 2003-01-27 14:36

Re: Ausgehende Mails kontrollieren

Post by theomega » 2006-10-07 19:27

Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Ausgehende Mails kontrollieren

Post by sledge0303 » 2006-10-07 19:44

theomega wrote:Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?
Scheint sich zu seiner Art "Volkssport" zu entwickeln... :(
Mir ist das bis jetzt noch nicht vorgekommen, aber was noch nicht ist kann ja (leider) noch werden.

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Ausgehende Mails kontrollieren

Post by Roger Wilco » 2006-10-07 20:00

theomega wrote:Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?
Um die eigenen Postfächer zu schonen den Catchall abschalten. Ansonsten so etwas wie SPF einsetzen. Wenn die entsprechenden Spamfilter dann nicht passende SPF-Records entsprechend bewerten, könnten diese Mails gleich ausgefiltert werden. Intelligenterweise gleich während des SMTP-Dialogs.
Leider bringen Verfahren wie SPF andere Nachteile.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ausgehende Mails kontrollieren

Post by Joe User » 2006-10-07 20:17

Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Ausgehende Mails kontrollieren

Post by adjustman » 2006-10-07 21:27

Joe User wrote:Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).
doch, ein wenig - bis sehr viel - schon
http://www.policyd-weight.org/

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ausgehende Mails kontrollieren

Post by Joe User » 2006-10-07 23:35

Wenn ich eMails über meinen Mailserver mit Deiner eMail-Adresse im From verschicke, kann Dein policyd-weight dies nicht verhindern
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

ohgott
Posts: 28
Joined: 2006-03-21 16:21

Re: Ausgehende Mails kontrollieren

Post by ohgott » 2006-10-08 12:41

Danke jedenfalls.
Wenigstens weiss ich jetzt, das so was JoeJob heisst...

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Ausgehende Mails kontrollieren

Post by Roger Wilco » 2006-10-08 12:44

Joe User wrote:Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).
Es trägt aber zu eindeutigen Erkennung bei. In den SPF-Records werden alle Hosts angegeben, die für die betreffende Domain Mails verschicken dürfen. Wenn nun eine Mail von einem Host kommt, der nicht in meinem SPF-Record steht (wie es bei Joe Jobs der Fall ist), merkt der empfangende MTA, dass die Mails nicht von einem legitimen Mailhost für diese Domain kommt (sofern er natürlich die SPF-Records prüft und bewertet). Eine gute SPF-Implementation/ein guter MTA prüfen das im SMTP-Dialog und lehnen den weiteren Empfang nach dem MAIL FROM ab. Und selbst wenn die falsche E-Mail-Adresse nur in den Mailheadern steht, kann ein nachgeschalteter Spamfilter (etwa SpamAssassin) einen entsprechend höheren Score geben.

Beispiel GMX:

Code: Select all

; <<>> DiG 9.3.2 <<>> gmx.net txt
[...]
;; ANSWER SECTION:
gmx.net.                25      IN      TXT     "v=spf1 ip4:213.165.64.0/23 -all"
;; MSG SIZE  rcvd: 69
Nach dem SPF-Record dürfen Mails, die von GMX kommen, nur über einen Host aus 213.165.64.0/23 verschickt werden. Alle anderen lügen, wenn Sie Mails für *@gmx.net ausliefern.

rofel
Posts: 10
Joined: 2005-09-23 08:14
Location: Muenchen

Re: Ausgehende Mails kontrollieren

Post by rofel » 2006-10-08 15:07

Joe User wrote:Wenn ich eMails über meinen Mailserver mit Deiner eMail-Adresse im From verschicke, kann Dein policyd-weight dies nicht verhindern
Ich gehe davon aus, dass adjustMAN meinte, dass der Einsatz von Tools die Faelschungen erkennen dazu beitraegt, dass weniger Server fuer JoeJobs misbraucht werden koennen - aehnlich, wie SPF dazu beitraegt. Wobei SPF halt kritisch fuer ISP/ESP ist, die Forwarding anbieten - die muessen dann halt misbrauchbares SRS machen.

Backscatter/JoeJobs vor DATA als Ziel-Opfer zu erkennen ist quasi unmoeglich, als relay/abuse-Opfer hingegen schon.