Page 1 of 1
Ausgehende Mails kontrollieren
Posted: 2006-10-07 12:45
by ohgott
Hallo,
seit einiger Zeit bekomme ich vermehrt "Undelivered Mail Returned to Sender" Nachrichten von Postfächern, die ich nicht angemailt habe. Nun frage ich mich, ob diese wirklich von meinem Server abgeschickt wurden. In den mail-log Dateien ist nichts zu finden, chkroot findet auch nichts besonderes.
Ich habe eine Domain, die alle eMails per catchall abfängt. Als Absender dieser obskuren Mails ist immer eine nicht existenter Benutzername von dieser Domain angegeben. Es wäre ja auch möglich, das nur dieser als FROM angegeben wurde, die Spam-Mails aber nicht von meinem Server geschickt wurden.
Hat jemand eine Idee, wie ich das herrausfinde?
THX
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 12:51
by Joe User
Unverfälschten Mailheader und die IP sowie den Hostnamen Deines Mailservers posten, nur dann lässt sich Deine letzte Vermutung prüfen.
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 12:51
by Roger Wilco
Such in deinen Mail Logs nach den Message-IDs, welche in den Bounces stehen. Wenn du die nicht findest, ist es wahrscheinlich ein Joe Job gewesen.
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 17:43
by ohgott
In den Maillogs habe ich gar nichts in diese Richtung finden können, auch die Message-IDs nicht.
Hier mal eine Header:
Code: Select all
Received: from smtp-gw.widesoft.com.br (localhost [127.0.0.1])
by smtp-gw.widesoft.com.br (Postfix) with ESMTP id 2199714F0F
for <faustocontab@widesoft.com.br>; Sat, 7 Oct 2006 03:56:37 -0300 (BRT)
Authentication-Results: smtp-gw.widesoft.com.br from=zel@meinedomain.de; domainkey=neutral (no signature; no policy for meinedomain.de)
X-Greylist: delayed 303 seconds by postgrey-1.24 at smtp-gw.widesoft.com.br; Sat, 07 Oct 2006 03:56:36 BRT
Received: from oqze (unknown [210.203.157.65])
by smtp-gw.widesoft.com.br (Postfix) with SMTP
for <faustocontab@widesoft.com.br>; Sat, 7 Oct 2006 03:56:36 -0300 (BRT)
Received: from 202.28.67.87 ([202.28.67.87]) by oqze with Microsoft SMTPSVC(6.0.3790.1830); Sat, 7 Oct 2006 14:04:01 +0700
Message-ID: <45275014.7080003@mattsdigitaldesigns.com>
Date: Sat, 7 Oct 2006 13:58:28 +0700
From: Rosa Ewing <zel@meinedomain.de>
User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)
MIME-Version: 1.0
To: faustocontab@widesoft.com.br
Subject: bridge crystal
Content-Type: multipart/related;
boundary="------------040808080307060903040405"
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 18:56
by Joe User
Eindeutig Spam der nicht von Deinem Server stammt, es sei denn Dein Server steht in einer thailändischen Universität/Schule ;)
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 19:27
by theomega
Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 19:44
by sledge0303
theomega wrote:Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?
Scheint sich zu seiner Art "Volkssport" zu entwickeln... :(
Mir ist das bis jetzt noch nicht vorgekommen, aber was noch nicht ist kann ja (leider) noch werden.
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 20:00
by Roger Wilco
theomega wrote:Kann man gegen sowas eigentlich irgendwas tun? Ich "verschicke" im Moment wohl tausende Mails (den Bounces nach zu urteilen), wenn das an einen meiner Geschäftspartner gerät (nur duch zufall), wäre das Peinlich, was kann man tun, nichts oder?
Um die eigenen Postfächer zu schonen den Catchall abschalten. Ansonsten so etwas wie SPF einsetzen. Wenn die entsprechenden Spamfilter dann nicht passende SPF-Records entsprechend bewerten, könnten diese Mails gleich ausgefiltert werden. Intelligenterweise gleich während des SMTP-Dialogs.
Leider bringen Verfahren wie SPF andere Nachteile.
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 20:17
by Joe User
Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 21:27
by adjustman
Joe User wrote:Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).
doch, ein wenig - bis sehr viel - schon
http://www.policyd-weight.org/
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-07 23:35
by Joe User
Wenn ich eMails über meinen Mailserver mit Deiner eMail-Adresse im From verschicke, kann Dein policyd-weight dies nicht verhindern
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-08 12:41
by ohgott
Danke jedenfalls.
Wenigstens weiss ich jetzt, das so was JoeJob heisst...
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-08 12:44
by Roger Wilco
Joe User wrote:Gegen Joejobs hilft nichts (auch SPF nicht, da From/To != Envelope-From/To).
Es trägt aber zu eindeutigen Erkennung bei. In den SPF-Records werden alle Hosts angegeben, die für die betreffende Domain Mails verschicken dürfen. Wenn nun eine Mail von einem Host kommt, der nicht in meinem SPF-Record steht (wie es bei Joe Jobs der Fall ist), merkt der empfangende MTA, dass die Mails nicht von einem legitimen Mailhost für diese Domain kommt (sofern er natürlich die SPF-Records prüft und bewertet). Eine gute SPF-Implementation/ein guter MTA prüfen das im SMTP-Dialog und lehnen den weiteren Empfang nach dem MAIL FROM ab. Und selbst wenn die falsche E-Mail-Adresse nur in den Mailheadern steht, kann ein nachgeschalteter Spamfilter (etwa SpamAssassin) einen entsprechend höheren Score geben.
Beispiel GMX:
Code: Select all
; <<>> DiG 9.3.2 <<>> gmx.net txt
[...]
;; ANSWER SECTION:
gmx.net. 25 IN TXT "v=spf1 ip4:213.165.64.0/23 -all"
;; MSG SIZE rcvd: 69
Nach dem SPF-Record dürfen Mails, die von GMX kommen, nur über einen Host aus 213.165.64.0/23 verschickt werden. Alle anderen lügen, wenn Sie Mails für *@gmx.net ausliefern.
Re: Ausgehende Mails kontrollieren
Posted: 2006-10-08 15:07
by rofel
Joe User wrote:Wenn ich eMails über meinen Mailserver mit Deiner eMail-Adresse im From verschicke, kann Dein policyd-weight dies nicht verhindern
Ich gehe davon aus, dass adjustMAN meinte, dass der Einsatz von Tools die Faelschungen erkennen dazu beitraegt, dass weniger Server fuer JoeJobs misbraucht werden koennen - aehnlich, wie SPF dazu beitraegt. Wobei SPF halt kritisch fuer ISP/ESP ist, die Forwarding anbieten - die muessen dann halt misbrauchbares SRS machen.
Backscatter/JoeJobs vor DATA als Ziel-Opfer zu erkennen ist quasi unmoeglich, als relay/abuse-Opfer hingegen schon.