[Postfixbuch-users] Backscatteranleitung

[Sandy Drobic]

Uwe Driessen wrote:
> Hallo Liste 
> Wollte einen neuen Spoiler montieren und habe mich mal nach den letzen tagen gehäuft
> auftretenden from: <> Mails daran gemacht und nach der Anleitung 
> 
> http://www.postfix.org/BACKSCATTER_README.html einen header und bodycheck gemacht 
> 
> die ganzen tage war nicht außergewöhnliches zu entdecken doch heute morgen fand ich
> folgendes : 


> im Bodycheck
> 
> if /^[> ]*Received:/
> /^[> ]*Received: +from +(fblan\.de) /
>         reject forged client name in Received: header: $1
> /^[> ]*Received: +from +[^ ]+ +\(([^ ]+ +[he]+lo=|[he]+lo +)(fblan\.de)\)/
>         reject forged client name in Received: header: $2
> /^[> ]*Received:.* +by +(fblan\.de)\b/
>         reject forged mail server name in Received: header: $1
> endif
> /^[> ]*Message-ID:.* <!&!/ DUNNO
> /^[> ]*Message-ID:.*@(fblan\.de)/
>         reject forged domain name in Message-ID: header: $1
> 
> was hab ich denn da wieder falsch gemacht?

Grins!! Das tückische an diesen Checks ist, dass sie für alle Mails
gelten, die den gleichen cleanup-Prozess verwenden. Ich habe auch viel
Mühe gehabt, sicherzustellen, dass meine Backscatter-Checks nicht die
gewünschten Mails abwürgen.

Wenn du nur einen Mailserver hast, ist die Sache noch recht übersichtlich,
aber mit jedem Mailserver mehr in der eigenen Infrastruktur, vor allem,
wenn es verschiedene Systeme sind, wächst die Gefahr, dass einer dieser
Server doch die Received-Zeilen/Message-IDs erzeugt, welche man eigentlich
als gefälscht ansehen möchte.

Du musst zuerst die Recherchearbeit hinter dich bringen, wie die
Received-Zeilen|message-ids aller deiner Server aussehen. Du kannst z.B.
ein Script schreiben, welches die Message-IDs deiner ausgehenden mails
herausfischt und in eine Datenbank packt. Dann prüfe, wie genau die
Message-ID aufgebaut ist.

Wenn dich wirklich die Wut packt, dann schreibe einen Policy-Daemon, der
dies mit der Datenbank abgleicht. (^-^)

Bei mir ist es z.B. so, dass in der Message-ID immer der hostname drin
ist, nie nur die Domain einzeln. Wenn also eine Received-Zeile behaupted
"Received from example.com...", dann weiss ich, dass es eine Fälschung ist.

Body-Checks sind dabei meist kritischer als die Header-Checks.

Wenn du im Augenblick unter Backscatter leidest, dann teste zuerst, ob die
Mails wirklich von Servern kommen oder doch von Zombies, die nur die leere
Adresse einfach verwenden. Nur im letzten Fall ist es sinnvoll, die leere
Absenderadresse ins Greylisting aufzunehmen. Bei echten aber kaputt
eingerichteten Servern funktioniert dies natürlich nicht.


-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com