RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

ACL Frage: Sender/Callout verify nur für eigene Domain

https://www.rootforum.org/forum/viewtopic.php?t=49605

Page 1 of 1

ACL Frage: Sender/Callout verify nur für eigene Domain

Posted: 2008-10-30 09:32
by nn4l
Exim4 kann ja prüfen, ob der Absender einer Email wirklich existiert (http://www.exim.org/exim-html-4.00/doc/ ... #SECT37.10). SPAM-Emails haben meistens keine korrekte Absenderadresse, so könnte man sie rausfiltern.

In der Praxis ist dies aber problematisch, da es doch jede Menge legitime Emails gibt, zu denen es nicht unbedingt einen Account gibt, z.B. Mailinglisten, noreply@... usw.

Nun bekomme ich zahlreiche Spams, die angeblich aus meiner eigenen Domain stammen. Hier ist es jedoch ganz sicher, dass es Spam ist.

Die Frage ist also, wie formuliere ich eine ACL, so dass das sender/callout verify ausschließlich auf meine eigenen Domains angewendet wird?

Re: ACL Frage: Sender/Callout verify nur für eigene Domain

Posted: 2008-10-31 18:37
by Roger Wilco
Zunächst mal: http://www.exim.org/exim-html-current/d ... index.html ist glaube ich die bessere Variante für die Exim Spezifikation. So rein übersichtsweise. ;)

Zum eigentlichen Problem: Mit der ACL condition sender_domains kannst du einfach angeben, welche Domains geprüft werden sollen. I.d.R. weißt du ja, für welche Domains dein MTA zuständig ist. ;)

Sender callout verification auf fremde Domains ist übrigens böse und sollte vermieden werden. Das generiert nur Ärger bei Joe Jobs.

Re: ACL Frage: Sender/Callout verify nur für eigene Domain

Posted: 2009-05-16 19:36
by pzystorm
Warum schmeißt du nicht einfach weg, wenn jemand ne Mail einwirft und eine DEINER Domains als MAIL FROM benutzt:

Code: Select all

  accept authenticated = *
  drop condition   = ${if match_domain{$sender_address_domain}{+local_domains}{yes}{no}}
       message     = MAIL FROM is invalid
       log_message = $sender_host_address uses one of my local domains in MAIL FROM ($sender_address_domain)
       delay       = 20s
Da wären wir genau bei meiner Frage: Wie ändere ich das obige so ab, dass es auch für Subdomains gilt?
Sprich:
MAIL FROM: foo@subdomain.asdf.de
In der Liste local_domains steht jedoch nur asdf.de
Natürlich kann diese Mail auch weg. Zur Zeit nimmt er sie an.

Re: ACL Frage: Sender/Callout verify nur für eigene Domain

Posted: 2009-05-16 20:42
by Roger Wilco
pzYsTorM wrote:Da wären wir genau bei meiner Frage: Wie ändere ich das obige so ab, dass es auch für Subdomains gilt?
Prinzipiell geht das mit einem partiellen Lookup (http://www.exim.org/exim-html-current/d ... tiallookup).

Allerdings stellt sich mir die Frage, warum du das willst. Wenn E-Mails an die Subdomain möglich sein sollen, steht sie sowieso in deiner local_domains, wenn nicht lehnt Exim die Annahme ab. Natürlich ist das von deinen Routern abhängig, aber üblicherweise läuft das so.

Wenn dein Exim solche E-Mails annimmt, ist etwas an deiner Router-Konfiguration kaputt. Poste den Router-Abschnitt deiner exim.conf (ohne irrelevante Kommentare).

Re: ACL Frage: Sender/Callout verify nur für eigene Domain

Posted: 2009-05-17 00:31
by pzystorm
Ah, cool, ok, werd ich mal reinlesen.

Aber: Es geht ja nicht um die Möglichkeit, dass jemand von außen nicht an diese Domain zustellen soll. Sondern um den Missbruch des MAIL FROM.
Das heißt: Mein Server ist für Domain xyz.de verantwortlich. So stehts auch in der local_domains drin.
Nun verhindert obige ACL immerhin, dass man eine Mail mit MAIL FROM: abc@xyz.de einwerfen kann.
Aber MAIL FROM: abc@asdf.xyz.de ist weiterhin möglich. Das ist genauso Quatsch und kann unterbunden werden.

Klar, ein RCPT TO oder To: abc@asdf.xyz.de würde natürlich der Router verhindern, wenn asdf.xyz.de nicht in den local_domains drin steht.
All times are UTC+01:00
Page 1 of 1