[Postfixbuch-users] Backscatteranleitung

Uwe Driessen driessen at fblan.de
Mi Apr 18 11:26:36 CEST 2007 

Hallo Liste 
Wollte einen neuen Spoiler montieren und habe mich mal nach den letzen tagen gehäuft
auftretenden from: <> Mails daran gemacht und nach der Anleitung 

http://www.postfix.org/BACKSCATTER_README.html einen header und bodycheck gemacht 

die ganzen tage war nicht außergewöhnliches zu entdecken doch heute morgen fand ich
folgendes : 

Apr 18 10:57:00 fblan postfix/smtpd[24158]: connect from unknown[193.158.37.200]
Apr 18 10:57:00 fblan postfix/smtpd[24158]: B11224DC037: client=unknown[193.158.37.200],
sasl_method=LOGIN, sasl_username=xxxxxxxxxxx at fblan.de
Apr 18 10:57:00 fblan postfix/cleanup[24160]: B11224DC037: reject: header Message-ID:
<!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAH1pqUoHSwEuGwv8jLzwVfMKAAAAQAAAAfpkO7RIqbk
q2LZT48pJh2QEAAAAA at fblan.de> from unknown[193.158.37.200]; from=<xxxxxxxxxxxx at fblan.de>
to=<xxxxxxxxxxxxxxxxxxxx at rockenhausen.de> proto=ESMTP helo=<jo1>: 5.7.1 forged domain name
in Message-ID: header: fblan.de
Apr 18 10:57:00 fblan postfix/cleanup[24160]: B11224DC037:
message-id=<!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAAH1pqUoHSwEuGwv8jLzwVfMKAAAAQAAA
AfpkO7RIqbkq2LZT48pJh2QEAAAAA at fblan.de>
Apr 18 10:57:03 fblan postfix/smtpd[24158]: disconnect from unknown[193.158.37.200]
Apr 18 10:58:03 fblan postfix/anvil[24094]: statistics: max connection rate 1/60s for
(submission:193.158.37.200) at Apr 18 10:57:00
Apr 18 10:58:03 fblan postfix/anvil[24094]: statistics: max connection count 1 for
(submission:193.158.37.200) at Apr 18 10:57:00
Apr 18 10:58:03 fblan postfix/anvil[24094]: statistics: max message rate 1/60s for
(submission:193.158.37.200) at Apr 18 10:57:00
Apr 18 10:58:03 fblan postfix/anvil[24094]: statistics: max cache size 2 at Apr 18
10:57:00

Der User ist vorher noch nicht aufgefallen.

Im Header check habe ich drin stehen (ich gebe zu ich habs erst nur kopiert und den
Servernamen ersetzt)

if /^Received:/
/^Received: +from +(fblan\.de) +/
    reject forged client name in Received: header: $1
/^Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(fblan\.de)\)/
    reject forged client name in Received: header: $2
/^Received:.* +by +(fblan\.de)\b/
     reject forged mail server name in Received: header: $1
endif
/^Message-ID:.* <!&!/ DUNNO
/^Message-ID:.*@(fblan\.de)/
     reject forged domain name in Message-ID: header: $1


im Bodycheck

if /^[> ]*Received:/
/^[> ]*Received: +from +(fblan\.de) /
        reject forged client name in Received: header: $1
/^[> ]*Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(fblan\.de)\)/
        reject forged client name in Received: header: $2
/^[> ]*Received:.* +by +(fblan\.de)\b/
        reject forged mail server name in Received: header: $1
endif
/^[> ]*Message-ID:.* <!&!/ DUNNO
/^[> ]*Message-ID:.*@(fblan\.de)/
        reject forged domain name in Message-ID: header: $1

was hab ich denn da wieder falsch gemacht?

Besten dank 
 

Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045   Fax: 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users