[Postfixbuch-users] Massenweise mails an unbekannten Empfänger

Markus Schönhaber mailing-postfixbuch at schoenhaber.de
Mo Aug 6 12:05:23 CEST 2007 

Erhard Gruber schrieb:

> hätte mal wieder eine Frage. Wir haben seit einiger Zeit massenhaft Zustellversuche von mails an 
> einen bei uns nicht existierenden Empfänger (hyram.daker at pi-linz.ac.at). Manchmal sogar einige 
> zigtausend Versuche/Tag. Die mails kommen von verschiedensten IPs und mit verschiedenen helos herein 
> (siehe unten). Postfix hat die mails bis jetzt mit 450 zurückgewiesen, was ja bedeutet, dass die 
> Zustellung (möglicherweise) nochmal versucht wird. Einige User bei uns haben sich jetzt schon 
> beklagt, dass das Senden von mails manchmal sehr lange dauert. Weiß zwar noch nicht, ob da ein 
> Zusammenhang besteht, habe jetzt aber mal die o.a. Adresse per check_recipient_access rejected. Ist 
> das sinnvoll oder könnte man noch was besseres machen?

Wie Ralf schon sagte: Mit 550 Mails an nicht vorhandene Empfänger ablehnen.

> Aug  5 04:16:11 mail postfix/smtpd[14494]: NOQUEUE: reject: RCPT from smtp.aic.fr[195.13.32.109]: 
> 450 <hyram.daker at pi-linz.ac.at>: Recipient address rejected: User unknown in local recipient table; 
> from=<> to=<hyram.daker at pi-linz.ac.at> proto=ESMTP helo=<fallback-out.aic.fr>
> Aug  5 04:16:25 mail postfix/smtpd[14495]: NOQUEUE: reject: RCPT from 
> mail.netvista.net[208.96.29.235]: 450 <hyram.daker at pi-linz.ac.at>: Recipient address rejected: User 
> unknown in local recipient table; from=<> to=<hyram.daker at pi-linz.ac.at> proto=ESMTP 
> helo=<mail.netvista.net>
> Aug  5 04:17:34 mail postfix/smtpd[14133]: NOQUEUE: reject: RCPT from 
> vimgw2.varianinc.com[4.22.69.6]: 450 <hyram.daker at pi-linz.ac.at>: Recipient address rejected: User 
> unknown in local recipient table; from=<> to=<hyram.daker at pi-linz.ac.at> proto=ESMTP 
> helo=<vimgw2.varianinc.com>
[...]

Die "from=<>" deuten für mich darauf hin, daß es sich um Bounces von
Mailservern handelt, die Mail annehmen, obwohl sie sie dann gar nicht
zustellen können - und deswegen eben Bounces generieren. Daß so viele
dieser Bounces ankommen interpretiere ich als Hinweis darauf, daß jemand
massenhaft Mail (im Zweifel SPAM) versendet und dabei hyram.daker at ...
als Absenderadresse verwendet.
Frage an die Allgemeinheit: Ist diese Interpretation schlüssig?

Gruß
  mks

Mehr Informationen über die Mailingliste Postfixbuch-users