Missbrauch der Server-Domain bei SPAM-Mail

User avatar
lesswire
Posts: 33
Joined: 2005-04-28 03:45

Missbrauch der Server-Domain bei SPAM-Mail

Post by lesswire »

Hallo zusammen,

folgendes Szenario:

- Spammail geht an gibtesnicht@xyz.tld, als replyto ist meine Adresse eingetragen

- folglich erhalte ich die Fehlermeldung (nicht zustellbar)

Klar, man schaut sich die Header an, wie denn der eigene Mailserver dort aufgeführt ist:
Received: from meinedomain.de (bzq-219-123-222.static.bezeqint.net [62.219.123.222])
by relay2.fastweb.it (Postfix)


62.219.123.222 ist nicht meine IP (glücklicherweise).

Trotzdem frage ich mich, wie man meine Domain unter dieser IP so einfach auflisten kann ?

Danke für Erklärungen, L.W.
Top

hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: Missbrauch der Server-Domain bei SPAM-Mail

Post by hornox »

http://de.wikipedia.org/wiki/Smtp#Das_Protokoll
Wenn der Spammer deinen Domainnamen beim SMTP-HELO angibt taucht der so in den Log Dateien und im eMailheader auf. Da es bekannt ist das das SMTP-HELO leicht fälschbar und nicht vertrauenswürdig ist sollte das kein Problem sein.
Top

sledge0303
RSAC
Posts: 767
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: Missbrauch der Server-Domain bei SPAM-Mail

Post by sledge0303 »

Du könntest z.B. einen SPF Eintrag für deine Domain erstellen. Damit können Mailserver, wenn entsprechend eingerichtet, erkennen, ob die Mail von deiner Domain kommt oder gefakt wurde.
Top

User avatar
lesswire
Posts: 33
Joined: 2005-04-28 03:45

Re: Missbrauch der Server-Domain bei SPAM-Mail

Post by lesswire »

SPF ist schon ein Schritt in die richtige Richtung, obwohl wohl viele Server noch nicht entsprechend konfiguriert sein werden.

Prügelt mich nicht, wenn ich mich jetzt nicht gleich in die umfangreichen Regularien tiefgehend eingelesen habe.

Was mich in meinem Beispiel irritiert, ist die gleichzeitige, nicht zusammenpassende Angabe von Domain und IP beim HELO. Normalerweise meldet sich doch ein Server per HELO entweder mit Domain oder IP an. Mein Server prüft grundsätzlich die Gültigkeit der Domain, es wäre also leicht feststellbar, ob die IP (wo immer sie auch herkommen mag) gültig ist oder nicht.

Mal unabhängig vom obigen Beispiel, sehe ich das für meine Serverkonfiguration so richtig ?

vg, L.W.
Top

aubergine
RSAC
Posts: 475
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: Missbrauch der Server-Domain bei SPAM-Mail

Post by aubergine »

LessWire wrote:Was mich in meinem Beispiel irritiert, ist die gleichzeitige, nicht zusammenpassende Angabe von Domain und IP beim HELO.


Die Domain im HELO sollte immer auf die connect IP zeigen und gleich der Reverse DNS sein. Jedoch wird das als zusammenhängende Regel von den wenigsten Mailservern geprüft.
Gängig sind eher simple "Vorhanden: Ja/Nein - Checks"

LessWire wrote:Normalerweise meldet sich doch ein Server per HELO entweder mit Domain oder IP an. Mein Server prüft grundsätzlich die Gültigkeit der Domain, es wäre also leicht feststellbar, ob die IP (wo immer sie auch herkommen mag) gültig ist oder nicht.

Mal unabhängig vom obigen Beispiel, sehe ich das für meine Serverkonfiguration so richtig ?



Hier muss man differenzieren was Gültigkeit bedeutet.
Check auf vorhandenen A-Record woimmer der auch hinzeigt oder Check auf A-Record und test ob connect IP und IP im A-Record gleich sind?
Top

User avatar
lesswire
Posts: 33
Joined: 2005-04-28 03:45

Re: Missbrauch der Server-Domain bei SPAM-Mail

Post by lesswire »

aubergine wrote:Die Domain im HELO sollte immer auf die connect IP zeigen und gleich der Reverse DNS sein. Jedoch wird das als zusammenhängende Regel von den wenigsten Mailservern geprüft.
Gängig sind eher simple "Vorhanden: Ja/Nein - Checks"

So habe ich es mir auch vorgestellt. Ob's Postfix mit aktiviertem HELO_CHECK auch so macht - keine Ahnung.

aubergine wrote:Hier muss man differenzieren was Gültigkeit bedeutet.
Check auf vorhandenen A-Record woimmer der auch hinzeigt oder Check auf A-Record und test ob connect IP und IP im A-Record gleich sind?

Ok, danke.

L.W.
Top