[Postfixbuch-users] Mal wieder Spam....

Mo Okt 16 16:15:20 CEST 2006

Thomas Klein wrote:
>>> Servus,
> 
>> Hallo Thomas!
> 
> Hallo Matthias,
> 
>>> ich bekomme (eigentlich schon seit längerem) von moutng.kundenserver.de
>>> Massen von Spam zugestellt, welcher sich auch mit den bisher (vielleicht
>>> einfachen, aber bisher effektiven) implementierten Spamabwehrmechanismen
>>   ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>>> nicht abfangen lässt.
> 
>> Die da wären?
> 
> ich habe im Moment im Einsatz: postgrey, diverse rbls, und amavisd-new in 
> Filter-Grundbestückung und clamav
> 
>>> Ich vermute, daß ein dort existierender Mailaccount verwendet wird, um 
>>> mit
>>> einer gefälschten Absenderadresse den Müll zu verteilen.
> 
>> Hmm. Auf Vermutungen würde ich mich nicht verlassen ... Wie hast du das
>> festgestellt? Logs dazu?
> 
> Praktisch alle Spam-Mails, die noch die verschiedenen Filter gelangen, 
> kommen von moutng.kundenserver.de (laut mail.log). Hier ist das greylisting 
> wirkungslos, da der Schlund/1und1 Mailserver noch ein zweites mal (oder noch 
> öfter wenn nötig) versucht, die Mail zuzustellen. moutng.kundenserver.de 
> steht auch auf keiner Blacklist (wäre ja auch nicht ganz so gut, es gibt 
> auch jede Menge ham-Mails welche von diesem Server an uns zugestellt 
> werden). Da die Schlund-Server meines Wissens kein Relay ohne 
> Authentifizierung zulassen, vermute ich eben, daß jemand einen existierenden 
> Account für SMTP AUTH benutzt und eine gefälschte Mailadresse angibt.
> 
>>> Ich schätze mal, die einzige Möglichkeit, mir den Kram vom Hals zu 
>>> schaffen
>>> wäre eine Überprüfung des Hostnamens mit dem MX-Record der angegebenen
>>> Absenderdomain - wobei das schon bei einer 1und1-gehosteten Domain nach
>>> hinten losgehen würde, da im MX mx00.kundenserver.de drin steht und die
>>> Mails von moutng.kundenserver.de zugestellt werden.
>>>
>>> Habe zwar eine Anfrage bei 1und1 am laufen, glaube aber nicht, daß da
>>> wirklich was produktives rauskommt.
> 
>> abuse?
> 
> Habe ich schon informiert, aber noch keine Rückmeldung.
> 
>>> Ich möchte eigentlich den Inhalt der Mails nicht näher prüfen; eine
>>> Überprüfung, ob der Zustellungsweg konform ist (der ist es ja 
>>> schliesslich
>>> nicht so, wie er korrekterweise sein sollte) wäre mir lieber.
> 
>> Logs?
> 
> Ich könnte einen Mailheader anbieten:
> 
> Received: from smtp.domain.de [192.9.224.4] by david.domain.local with DvISE 
> PostMan (0232.44484B4B45474948504A);
>  16 Oct 2006 09:28:39 UT
> Received: from localhost (localhost.localdomain [127.0.0.1])
>  by smtp.domain.de (Postfix) with ESMTP id 43285D53A8
>  for <info at domain.de>; Mon, 16 Oct 2006 11:28:33 +0200 (CEST)
> Received: from smtp.domain.de ([127.0.0.1])
>  by localhost (localhost [127.0.0.1]) (amavisd-new, port 10024)
>  with ESMTP id 01835-04 for <info at domain.de>;
>  Mon, 16 Oct 2006 11:28:01 +0200 (CEST)
> Received: from moutng.kundenserver.de (moutng.kundenserver.de 
> [212.227.126.171])
>  by smtp.domain.de (Postfix) with ESMTP id 14BF5D53A1
>  for <info at domain.de>; Mon, 16 Oct 2006 11:27:57 +0200 (CEST)
> Received-SPF: none (mxeu7: 88.242.80.113 is neither permitted nor denied by 
> domain of binaryit.com) client-ip=88.242.80.113; 
> envelope-from=xrf at binaryit.com; helo=peker;
> Received: from [88.242.80.113] (helo=peker)
>  by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
>  id 0MKsxo-1GZOlZ2ie4-0006Mz for info at domain.de; Mon, 16 Oct 2006 11:28:17 
> +0200

Das ist die Zeile, für die eine Filterung vielleicht lohnen würde. Suche 
doch mal, von welcher IP moutng.kundenserver.de die Mails annimmt. Wenn 
das immer die gleiche IP ist, dann baue einen header_check, der diese 
Received-Zeile REJECTed.

Ich hatte mal ein ähnliches Problem mit einem portugiesischem Zombie-PC 
der Massen an Viren direkt und über seinen Provider schickte.

Sandy

-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com