Probleme mit Spammails (scheinbar über meinen mx)

[boemm]

Hallo,

ich habe ein nicht grade kleines Problem mit meinem Mailserver und versendeten Spammails ...

Seit Montag früh (so etwa gegen 10) werde ich massiv mit Antworten auf Mails (mit einer Absende-eMail-Adresse meiner Domain) zugebombt.

Das gabs zwar früher genauso, aber dieses mal ist es ein wenig unklarer und wesentlich massiver:

Ich schreibe hier mal die Fakten in Kurzform:

1. Es wird immer der gleiche Absender als Versender benutzt, was ich schonmal komisch finde.

2. Die Header der Mails (der Weg, welcher von der Mail genommen wurde :-) ) sind immer folgender Art:

Code: Select all

Received: from [90.196.107.205] (HELO 5ac46bcd.bb.sky.com)
  by mx.radiant.net (CommuniGate Pro SMTP 4.1.8)
  with ESMTP id 7905153; Mon, 02 Apr 2007 10:55:58 -0700
Return-Path: <lazboemmsen@boemm.de>
Received: from 80.86.187.171 (HELO mx0.boemm.de)
     by clarkdale.com with esmtp (/0).9AJV( 5.)E)
     id O,M4>(-/?'?6A-/1
     for ron@clarkdale.com; Mon, 2 Apr 2007 17:55:54 +0000
Date:	Mon, 2 Apr 2007 17:55:54 +0000
From:	"Mauro Woodson" <lazboemmsen@boemm.de>
X-Mailer: The Bat! (v3.0.1.33) Professional
X-Priority: 3 (Normal)
Message-ID: <700660853.46094662318752@thhebat.net>
To: ron@clarkdale.com

Dabei ist die IP meines Servers und auch der meines MX (der gleiche Server halt) die 80.86.187.171.
Der Name meines MX ist der im ersten helo stehende mx0.boemm.de.

3. Aber: In meinen Mail-Logs ist kein Eintrag zu einer einzigen der versendeten Mails zu finden, nicht die Mail-IDs, nicht die Empfänger-Adressen, gar nichts ...!
Mein Mailgraph zeigt auch kaum gesendete Mails, dafür halt massenhaft empfangene ... die die als unzustellbat zurück kommen ...
Das heisst in meinen Augen wird der postfix nicht direkt als OpenRelay mißbraucht, oder?

Ich kann nicht so richtig nachvollziehen, woher die Mails kommen.
Hatte im Vorfeld zumindest mehrfach mein System darauf hin untersucht, obs ein OpenRelay ist und es hat immer bestanden.
Das keine Einträge in den Logs sind, spricht ja auch dafür ...
Dann habe ich auf den Apache getippt und den abgeschaltet ... ohne Effekt.
Ich kriege immer noch Antworten auf Mails mit dem oben geschriebenen Headern ...

Vielleicht interpretiere ich die ja auch falsch, aber das

Code: Select all

Received: from 80.86.187.171 (HELO mx0.boemm.de)
     by clarkdale.com with esmtp (/0).9AJV( 5.)E)
     id O,M4>(-/?'?6A-/1
     for ron@clarkdale.com; Mon, 2 Apr 2007 17:55:54 +0000

welches dort als erster involvierter Servereintrag steht, zeigt doch, dass angeblich mein Server initial die Mail an den Server clarkdale.com ausgeliefert hat, oder?
Die Mail kommt aber wie gesagt nicht von meinem Server ... zumindest nach meinen bisherigen Forschungen.

Nun habe ich erstmal über Nacht meinen Server ganz runtergefahren, um morgen früh mal anhand der Zeitangaben in den nächsten mich erreichenden Mails zu schauen, ob während der Downtime immer noch Mails verschickt worden sind.

Ist es denn möglich diese Header-Einträge derart zu manipulieren, dass tatsächlich meine IP und mein MX (als helo-Eintrag) von einer anderen Kiste verwendet wird?

Ich bin im Moment echt ratlos, ob und wie ich diesem Problem begegnen kann ...

Ich wäre für Tips sehr dankbar!

Steffen

[danu]

Received: from [90.196.107.205] (HELO 5ac46bcd.bb.sky.com)

Das ist der Server des Absenders.

Return-Path: <lazboemmsen@boemm.de>
From: "Mauro Woodson" <lazboemmsen@boemm.de>

Nein, das ist keine Kunst, den Mailheader so zu gestalten.

To: ron@clarkdale.com

Bei ungültigen Adressen werden die Mails an den Return-Path zurück gesendet.

[boemm]

Received: from [90.196.107.205] (HELO 5ac46bcd.bb.sky.com)

Das ist der Server des Absenders.

Ist die Reihenfolge des Durchgangs durch die Server nicht von unten nach oben in den Header-Einträgen!?
Wenn ich mal ne Testmail schicke, steht immer der erste (sendende) Server ganz unten in der Liste und der letzte (empfangende) ganz oben ...

Also in diesem Fall:
1. 80.86.187.171 übergibt an clarkdale.com per smtp
2. 90.196.107.205 übergibt an mx.radiant.net per smtp

So habe ich das zumindest immer interpretiert ...

Die RFC 2821 bestätigt das auch, so wie ich das interpretiere:

4.4 Trace Information

When an SMTP server receives a message for delivery or further
processing, it MUST insert trace ("time stamp" or "Received")
information at the beginning of the message content, as discussed in
section 4.1.1.4.

und

4.1.1.4 DATA (DATA)
...
When the SMTP server accepts a message either for relaying or for
final delivery, it inserts a trace record (also referred to
interchangeably as a "time stamp line" or "Received" line) at the top
of the mail data.
...

Demnach müsste schon die 80.86.187.171 der erste (sendende) Server sein ...

Return-Path: <lazboemmsen@boemm.de>
From: "Mauro Woodson" <lazboemmsen@boemm.de>

Nein, das ist keine Kunst, den Mailheader so zu gestalten.

Das ist klar, die From- und Return-Pfad-Header so zu ändern ist kein Thema ...
Meine Frage war, ob das:

Code: Select all

Received: from [90.196.107.205] (HELO 5ac46bcd.bb.sky.com)
  by mx.radiant.net (CommuniGate Pro SMTP 4.1.8)
  with ESMTP id 7905153; Mon, 02 Apr 2007 10:55:58 -0700
Return-Path: <lazboemmsen@boemm.de>
Received: from 80.86.187.171 (HELO mx0.boemm.de)
     by clarkdale.com with esmtp (/0).9AJV( 5.)E)
     id O,M4>(-/?'?6A-/1
     for ron@clarkdale.com; Mon, 2 Apr 2007 17:55:54 +0000 

vom Spam-Versender gefakt werden kann, so dass mein eigener Server als erster (sendender) Server in der Liste auftaucht ...
Das ist mir nämlich bislang so noch nicht untergekommen ...

[danu]

Demnach müsste schon die 80.86.187.171 der erste (sendende) Server sein ...

Der Witz am ganzen ist, ich kann meinen Spam mit folgendem Headerinhalt senden:

Return-Path: <lazboemmsen@boemm.de>
From: "Mauro Woodson" <lazboemmsen@boemm.de>

dann landen alle unzustellbaren Mails auf dem Server boemm.de und diese Tatsache steht nicht im geringsten Widerspruch zu RFC 2821.

EDIT:

at the top
of the mail data.

= Header

[boemm]

Das man die Absenderadresse ohne Probleme mit nem 2-Zeilen php-Skript oder auf der Kommandozeile beliebig setzen kann ist mir klar!
Das die nicht zustellbare Mail immer zurück an den (gefakten) Absender geht und damit wieder bei mir landet, ist mir auch klar ... das ist aber beides nicht das eigentliche Problem!

Das Problem ist, dass mein Server da als initialer Versender drinne steht, obwohl er es nicht ist!

Wenn ich eine Testmail von meinem Server (IP: ) an einen Account bei Web.de schicke, dann habe ich folgende Received-Header:

Code: Select all

Received: from [80.86.187.171] (helo=server187171.xantronnet.de)
    by mx29.web.de with esmtp (WEB.DE 4.107 #114)
    id 1HYkap-000692-00
    for ***@web.de; Tue, 03 Apr 2007 17:06:43 +0200
Received: from localhost (localhost.localdomain [127.0.0.1])
    by server187171.xantronnet.de (Postfix) with ESMTP id AA3EC4392E6
    for <***@web.de>; Tue, 3 Apr 2007 17:06:07 +0200 (CEST)
    X-Virus-Scanned: Debian amavisd-new at server187171.xantronnet.de
Received: from server187171.xantronnet.de ([127.0.0.1])
    by localhost (server187171.xantronnet.de [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id OqhKiW3d7C2V for <***@web.de>;
    Tue, 3 Apr 2007 17:06:07 +0200 (CEST)
Received: from [10.10.1.183] (energie.sprd.net [145.253.135.218])
    (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by server187171.xantronnet.de (Postfix) with ESMTP id 18DFE4392E5
    for <***@web.de>; Tue, 3 Apr 2007 17:06:07 +0200 (CEST)
Message-ID: <46126D5A.5020705@boemm.de>

Da steht der Sender ganz unten und der Empfänger ganz oben, denn:
aus meinem Intranet, wo mein Rechner die IP 10.10.1.183 hat, wurde die Mail an den MTA meines Servers mit IP 80.86.187.171 übergeben, dort intern durch Amavis geschleift und dann zum Schluss (und das steht ganz oben) an den Web.de-MX ausgeliefert ...

Also steht meiner Ansicht nach der Sender ganz unten, der Empfänger oben ...

In dem zitierten Text wird auch nirgens erwähnt, dass mail data den Header nicht mit einschliesst ...

Weiter unten in der RFC steht dann noch:

An Internet mail program MUST NOT change a Received: line that was
previously added to the message header. SMTP servers MUST prepend
Received lines to messages; they MUST NOT change the order of
existing lines or insert Received lines in any other location.

Also das "prepend Received lines to messages;" heisst ja wohl, dass er diese Zeilen voranstellen soll ...
Nun kann man wieder drüber uneins sein, was genau die "messages" sind ... ob alles, oder nur der Inhalt exclusive Header ...
Aber an meiner Testmail sieht man ja recht eindeutig, dass der initiale Sender unten steht und alle weiteren SMTP-Server sich darüber verewigen ...

Oder sehe ich schlecht, dass nur ich das so sehe und interpretiere?

Und ich wollte ja "nur" wissen, ob jemanden diese Art der (Server-)Absender-Fälschung schon mal untergekommen ist ... und was man dagegen tun kann ... wahrscheinlich eher nichts, was ganz großer Mist ist ... da ich die Befürchtung habe, dass mein Server so über kurz oder lang auf Blacklists landet!

Gruß
Steffen

[kenzo]

Und ich wollte ja "nur" wissen, ob jemanden diese Art der (Server-)Absender-Fälschung schon mal untergekommen ist ...

Das ist völlig normal und kommt in dieser oder ähnlicher Form ständig vor - siehe auch http://www.th-h.de/faq/headerfaq.php#received (Punkt c).

[boemm]

Hi,

danke erstmal für die Antwort und den hilfreichen Link :-).
Das man natürlich als direkter Versender einfach dem eigenen (ersten) Eintrag noch einen voranstellen kann, um diesen als Sender erscheinen zu lassen ... daran habe ich gar nicht gedacht ...
Das ist ja leichter zu machen, als ich dachte!

Ich habe nochmal einige der Header durchforstet und die dort verwendeten Server nach dem Eintrag mit meinem Server sprechen auch dafür, dass der unterste Eintrag einfach zusätzlich eingefügt ist ...

Sehr oft sind die folgenden Server irgendwelche DSL-Einwahl-Punkte ... und ich bezweifle ganz stark, dass solche Punkte auf dem Weg zum Empfänger als Zwischenstation benutzt werden ...

Damit habe ich zumindest erstmal eine Erklärung gefunden :-) ...

Gruß
Steffen