Missbrauch der Server-Domain bei SPAM-Mail

[lesswire]

Hallo zusammen,

folgendes Szenario:

- Spammail geht an gibtesnicht@xyz.tld, als replyto ist meine Adresse eingetragen

- folglich erhalte ich die Fehlermeldung (nicht zustellbar)

Klar, man schaut sich die Header an, wie denn der eigene Mailserver dort aufgeführt ist:

Received: from meinedomain.de (bzq-219-123-222.static.bezeqint.net [62.219.123.222])
by relay2.fastweb.it (Postfix)

62.219.123.222 ist nicht meine IP (glücklicherweise).

Trotzdem frage ich mich, wie man meine Domain unter dieser IP so einfach auflisten kann ?

Danke für Erklärungen, L.W.

[hornox]

http://de.wikipedia.org/wiki/Smtp#Das_Protokoll
Wenn der Spammer deinen Domainnamen beim SMTP-HELO angibt taucht der so in den Log Dateien und im eMailheader auf. Da es bekannt ist das das SMTP-HELO leicht fälschbar und nicht vertrauenswürdig ist sollte das kein Problem sein.

[sledge0303]

Du könntest z.B. einen SPF Eintrag für deine Domain erstellen. Damit können Mailserver, wenn entsprechend eingerichtet, erkennen, ob die Mail von deiner Domain kommt oder gefakt wurde.

[lesswire]

SPF ist schon ein Schritt in die richtige Richtung, obwohl wohl viele Server noch nicht entsprechend konfiguriert sein werden.

Prügelt mich nicht, wenn ich mich jetzt nicht gleich in die umfangreichen Regularien tiefgehend eingelesen habe.

Was mich in meinem Beispiel irritiert, ist die gleichzeitige, nicht zusammenpassende Angabe von Domain und IP beim HELO. Normalerweise meldet sich doch ein Server per HELO entweder mit Domain oder IP an. Mein Server prüft grundsätzlich die Gültigkeit der Domain, es wäre also leicht feststellbar, ob die IP (wo immer sie auch herkommen mag) gültig ist oder nicht.

Mal unabhängig vom obigen Beispiel, sehe ich das für meine Serverkonfiguration so richtig ?

vg, L.W.

[aubergine]

Was mich in meinem Beispiel irritiert, ist die gleichzeitige, nicht zusammenpassende Angabe von Domain und IP beim HELO.

Die Domain im HELO sollte immer auf die connect IP zeigen und gleich der Reverse DNS sein. Jedoch wird das als zusammenhängende Regel von den wenigsten Mailservern geprüft.
Gängig sind eher simple "Vorhanden: Ja/Nein - Checks"

Normalerweise meldet sich doch ein Server per HELO entweder mit Domain oder IP an. Mein Server prüft grundsätzlich die Gültigkeit der Domain, es wäre also leicht feststellbar, ob die IP (wo immer sie auch herkommen mag) gültig ist oder nicht.

Mal unabhängig vom obigen Beispiel, sehe ich das für meine Serverkonfiguration so richtig ?

Hier muss man differenzieren was Gültigkeit bedeutet.
Check auf vorhandenen A-Record woimmer der auch hinzeigt oder Check auf A-Record und test ob connect IP und IP im A-Record gleich sind?

[lesswire]

Die Domain im HELO sollte immer auf die connect IP zeigen und gleich der Reverse DNS sein. Jedoch wird das als zusammenhängende Regel von den wenigsten Mailservern geprüft.
Gängig sind eher simple "Vorhanden: Ja/Nein - Checks"

So habe ich es mir auch vorgestellt. Ob's Postfix mit aktiviertem HELO_CHECK auch so macht - keine Ahnung.

Hier muss man differenzieren was Gültigkeit bedeutet.
Check auf vorhandenen A-Record woimmer der auch hinzeigt oder Check auf A-Record und test ob connect IP und IP im A-Record gleich sind?

Ok, danke.

L.W.