Spam von mir oder doch nicht?

special_k
Posts: 12
Joined: 2008-12-08 12:19

Spam von mir oder doch nicht?

Post by special_k »

Hallo!
Ich habe postfix und spamassassin laufen. SA überprüft auch alle ausgehenden Mails auf Spam. Seit einiger Zeit bekomme ich nun "Undelivered Mail returned to Sender"-Mails, welche angeblich von mir kommen, an mich selbst adressiert sind und, da sie Spam enthalten, auch als Spam erkannt werden:

Code: Select all

<meineemail@meinedomain.de>: host 127.0.0.1[127.0.0.1] said: 550 5.7.1 Looks like spam
    to me. (in reply to end of DATA command)

Reporting-MTA: dns; meinedomain.de
X-Postfix-Queue-ID: EFE75E124018
X-Postfix-Sender: rfc822; meineemail@meinedomain.de
Arrival-Date: Thu, 18 Dec 2008 14:47:31 +0100 (CET)

Final-Recipient: rfc822; meineemail@meinedomain.de
Original-Recipient: rfc822;meineemail@meinedomain.de
Action: failed
Status: 5.7.1
Remote-MTA: dns; 127.0.0.1
Diagnostic-Code: smtp; 550 5.7.1 Looks like spam to me.

Ich dachte nun, dass ausgehende Emails von mir also als Spam identifiziert worden, d.h. jemand auf demServer eingebrochen ist... Ich habe schon Passwörter geändert, rkhunter laufen lassen und logs durchsucht, aber ich konnte keinen Hinweis drauf finden, dass mein Server geknackt wurde... Verhält es sich so, dass Sender und Empfänger gefälscht sind und der Mailserver dann einfach stupide an den Sender, also mich, die "Undelivered Mail" Nachricht schickt? Lässt sich das für diesen spezifischen Fall ausstellen?
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Spam von mir oder doch nicht?

Post by daemotron »

Da fehlen noch ein paar Header (zum Beispiel, von welchem Server aus die Mails bei Dir eingeliefert wurden). Wahrscheinlich ist das einfach nur Backscatter, aber um sicher zu gehen, solltest Du den kompletten Header mal posten.
Top

special_k
Posts: 12
Joined: 2008-12-08 12:19

Re: Spam von mir oder doch nicht?

Post by special_k »

Ok, wenn ich das richtig interpretiert habe, kommt die hier von "alk.com":

Code: Select all

--DFDA9E124025.1229619000/meinedomain.de
Content-Description: Undelivered Message
Content-Type: message/rfc822

Received: from alk.com (unknown [91.82.85.88])
   by meinedomain.de (Postfix) with SMTP id DFDA9E124025
   for <ich@meinedomain.de>; Thu, 18 Dec 2008 17:49:57 +0100 (CET)
To: <ich@meinedomain.de>
Subject: RE: Your inquiry
From: <ich@meinedomain.de>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: <20081218164957.DFDA9E124025@meinedomain.de>
Date: Thu, 18 Dec 2008 17:49:57 +0100 (CET)

... hier kommt der Spam ...


Wie kann ich das nun ausschalten?
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spam von mir oder doch nicht?

Post by Joe User »

Das ist aber nicht der vollständige originale Mail-Header?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Spam von mir oder doch nicht?

Post by daemotron »

Die Mail kommt (wahrscheinlich) von einem Dial-Up-Anschluss in Ungarn (siehe http://www.db.ripe.net/whois?form_type= ... earch+Form) => SPAM
Nutze in Postfix folgende Einträge:

Code: Select all

smtpd_client_restrictions =
  ...
  reject_unknown_reverse_client_hostname,
  ...
smtpd_helo_required = yes
smtpd_helo_restrictions =
  ...
  reject_invalid_helo_hostname,
  reject_non_fqdn_helo_hostname,
  ...
smtpd_recipient_restrictions =
  ...
  reject_invalid_hostname,
  reject_non_fqdn_hostname,
  reject_non_fqdn_recipient,
und die Wahrscheinlichkeit, dass noch mal was von Dial-Up-Kisten durchkommt, wird deutlich sinken.
Top

special_k
Posts: 12
Joined: 2008-12-08 12:19

Re: Spam von mir oder doch nicht?

Post by special_k »

Ok, vielen Dank für die Hilfe! Die main.cf sieht jetzt so aus:

Code: Select all

...

smtpd_sasl_auth_enable       = yes
smtpd_sasl2_auth_enable      = yes
smtpd_sasl_security_options  = noanonymous
smtpd_sasl_local_domain      =
broken_sasl_auth_clients     = yes
smtpd_client_restrictions    = reject_unknown_reverse_client_hostname
smtpd_helo_required          = yes
smtpd_helo_restrictions     = reject_invalid_helo_hostname,
          reject_non_fqdn_helo_hostname
smtpd_sender_restrictions    = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination
smtpd_recipient_restrictions = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_unauth_destination,
      reject_invalid_hostname,
      reject_non_fqdn_hostname,
      reject_non_fqdn_recipient

...


Ich werd das mal nen paar Tage beobachten.
Top

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Spam von mir oder doch nicht?

Post by daemotron »

Im Wiki hat Joe User eine recht paranoide Konfiguration hinterlegt - da kommt wirklich nicht mehr viel durch... Wenn Du also weitere Anregungen suchst, schau mal dort vorbei :wink:
Top