Return Path lookup

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
markus niewerth
Posts: 54
Joined: 2002-10-20 18:39
Location: Bocholt

Return Path lookup

Post by markus niewerth » 2003-02-09 23:49

Wer kennt das Problem nicht!

Skript Kiddys senden schon mal gerne über Ihren Rechner gefakte Retrun Path Mails mit Vieren-Inhalt. Oder es gibt auch die Sorte, die sich einen Fremden Rechner für diese Art Angriff suchen. Auf jeden Fall ist meist der Return Path nicht gleich mit dem Versender.

Wie kann man das Prüfen? Hier ein Beispiel, man erkennt direkt das es ein Skript Kiddy ist.

Code: Select all

Return-Path: <big@boss.com> 
Received: from SPARKY (p5085B79C.dip.t-dialin.net [80.133.183.156]) 
     by p763826487.pureserver.info (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) 
Ich will sowas nicht auf meinem Mailserver. Kann man sendmail nicht dazu veranlassen einen lookup auf beides auszuführen und dann zu Prüfen und abzuwägen ob die Mail in Ordnung ist?!


Ich hoffe sowas geht, ich mag diese Art Vierenverbreitung nicht.

Gruß Markus

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: Return Path lookup

Post by [tom] » 2003-02-10 01:41

Markus Niewerth wrote: Wie kann man das Prüfen? Hier ein Beispiel, man erkennt direkt das es ein Skript Kiddy ist.

Code: Select all

Return-Path: <big@boss.com> 
Received: from SPARKY (p5085B79C.dip.t-dialin.net [80.133.183.156]) 
     by p763826487.pureserver.info (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) 
Das erkennst Du aber auch nur an der Adresse. Ansonsten hat ein "Return-Path" ja schon seine Daseinsberechtigung. ;-)

Ich würd das z. B. mit Spamassasin nach /dev/null "aussortieren" (Adressabhängig).

[TOM]

markus niewerth
Posts: 54
Joined: 2002-10-20 18:39
Location: Bocholt

Re: Return Path lookup

Post by markus niewerth » 2003-02-10 03:41

Na für was der Return Path steht weiß ich scho ;), war auch nicht meine Frage, danke für den Hint. Spamassasin kenn ich nicht, wo bekomme ich das her? Und wo ist die Herstellerseite zu finden?

Gruß Markus

EDIT:

HABS GEFUNDEN !!! :)

[tom]
RSAC
Posts: 671
Joined: 2003-01-08 20:10
Location: Berlin

Re: Return Path lookup

Post by [tom] » 2003-02-10 03:48

Markus Niewerth wrote: HABS GEFUNDEN !!! :)
Dann brauch ich ja nicht mehr antworten. :-)

[TOM]

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Return Path lookup

Post by dodolin » 2003-02-10 13:35

Servus, bei Exim gibts dafür z.B. sender_verify_callback, siehe http://www.exim.org/exim-html-3.30/doc/ ... tml#SEC818. Ob es das auch bei Sendmail gibt und wie das geht, weiss ich aber nicht. Ansonsten könnte man besonders hartnäckige Fälle per sender_reject händisch erden. Bei mir haben sich da z.B. sämtliche Return-Path: der Domain artmarket.com einen Ehrenplatz verdient...

markus niewerth
Posts: 54
Joined: 2002-10-20 18:39
Location: Bocholt

Re: Return Path lookup

Post by markus niewerth » 2003-02-13 16:38

Huhu,

sender_recect bringt ja auch nicht viel. Angenommen ich würde den Spamm versenden wollen und Fake den Header. Dann kann sender_reject garnichts mehr machen. Ich fake einfach munter weiter den Header, immer wieder so wie ich es brauche. Die Mails gehen immer durch, zumindest bei dem doofen sendmail.

Darum war meine Idee, Versender zu kontrollieren und den Return-Path. Allerdings gibt es aber auch viele die nen anderen Return Path wählen, weil Sie zb. auf ein Sammelpostfach leiten wollen. Naja in dem Fall, wäre meine Idee nicht zu gebrauchen. Ich brauch also eine bessere Lösung.

Die bessere Lösung liegt im Forum vor:

http://www.rootforum.org/forum/viewtopi ... highlight=

Allerdings benötigt das Einrichten ein bischen Zeit. Und es klappt nicht bei jedem auf anhieb. Derzeit probiere ich seit einer Woche an dem Scanner, also nicht erschrecken b:

Gruß Markus