[Postfixbuch-users] Spamproblem mit dyn DNS

Uwe Driessen driessen at fblan.de
Fr Jan 12 17:13:54 CET 2007


Hallo Liste 

Wie bekomme ich mit Postfix das Spamproblem von dyn DNS Anbietern welche in
der Zwischenzeit auch MX records bei der Abfrage liefern in den Griff?

Ich möchte eigentlich diesen Spam gar nicht erst annehmen. Es geht aktuell
wie ich schon mal geschrieben habe um den Anbieter bei dem kommt man immer
auf folgende Seite. 
Evtl. hat die ja schon mal jemand gesehen 
 
coffeehousearoma.com (keine Ahnung ob man da noch hinkommt in den nächsten
30 min da verschiedene Adressen schon dahingelaufen sind)

---------------------------------------------------------------------------
In the booming work from home trend, the use of independent telemarketers is
especially hot. Increasingly, companies and call centers are outsourcing
their sales and service responsibilities to individuals who want to work
from home as independent telemarkters. 

This movement is being driven by the desire to work from home, avoid long
commutes, spend more time with family and loved ones, and to work more
flexible schedules that fit their lifestyles. These new work styles are
being made possible by advances in workplace technology. 

In setting up your independent telemarketing business, there are a few
simple steps you can take to improve your work environment. These easy steps
will improve your organization, comfort and productivity. 

Anne Smith contracts as an independent telemarketer for the
telecommunications industry from her own home office in Dayton, OH. She says
first you have to know what the companies expect from you.  
----------------------------------------------------------------------------

Da auf diese Art und weise auf meinen klitze kleinen Mailserver am Tag so um
die 5 -10 Mails kommen die alle auf diese Seite verweisen macht mich das
schon stutzig  

Greylist alleine verhindert leider nicht immer die Annahme dieser Mails da
einige dieser Spamer so wie es ausschaut echte Mailserver mit error handling
aufgesetzt haben und immer den kompletten IP-Bereich der Maschinen die
dahinter stehen zu sperren und von der Annahme auszugrenzen macht auf die
Dauer einsam da ich nicht beurteilen kann welche Netzwerkbereiche dieser
ISP's für Einwahl und welche für Server genommen werden.

Die RBLS sind in dem Fall auch keine Hilfe da bevor die dort landen die
Server aus einem anderen Einwahlbereich und mit anderen Helo's kommen, aber
ich könnte wetten es ist immer der gleiche der dahinter steht 

Wie schon im Buch steht möchte ich gerne das der Absender die Verantwortung
trägt und nicht ich den ich muß eigentlich jede Mail zustellen die
angenommen wurde.

Auszug aus der Mail.log

Jan 12 14:25:54 fblan postfix/smtpd[4523]: connect from
204.coffeehousearoma.com[216.74.65.204]
Jan 12 14:25:55 fblan postfix/smtpd[4523]: AE7234DC172:
client=204.coffeehousearoma.com[216.74.65.204]
Jan 12 14:25:55 fblan postfix/cleanup[4527]: AE7234DC172:
message-id=<20070112132555.AE7234DC172 at mail.fblan.de>
Jan 12 14:25:55 fblan postfix/qmgr[966]: AE7234DC172:
from=<NewPhones at coffeehousearoma.com>, size=2746, nrcpt=1 (queue active)
Jan 12 14:25:55 fblan amavis[1595]: (01595-08) ESMTP::10024
/var/lib/amavis/amavis-20070112T123213-01595:
<NewPhones at coffeehousearoma.com> -> <xxxxxxxx@       amazonas-tours.de>
SIZE=2746 BODY=8BITMIME ENVID=19464 Received: from mail.fblan.de
([127.0.0.1]) by localhost (fblan.de [127.0.0.1]) (amavisd-new, port
10024) with ESMTP for <xxxxxxxx at amazonas-tours.de>; Fri, 12 Jan 2007
14:25:55 +0100 (CET)
Jan 12 14:25:55 fblan amavis[1595]: (01595-08) Checking: x8GRVlnkehAw
<NewPhones at coffeehousearoma.com> -> <xxxxxxxx at amazonas-tours.de>
Jan 12 14:25:55 fblan amavis[1595]: (01595-08) p001 1 Content-Type:
text/html, size: 1391 B, name:
Jan 12 14:25:56 fblan postfix/smtpd[4523]: disconnect from
204.coffeehousearoma.com[216.74.65.204]
Jan 12 14:25:58 fblan amavis[1595]: (01595-08) skip local delivery(3):
<NewPhones at coffeehousearoma.com> -> <spam-quarantine>
Jan 12 14:25:58 fblan amavis[1595]: (01595-08) SPAM,
<NewPhones at coffeehousearoma.com> -> <xxxxxxxx at amazonas-tours.de>, Yes,
score=6.571 tag=2 tag2=6.31 kill=6.52 tests=[HTML_IMAGE_ONLY_16=0.627,
HTML_IMAGE_RATIO_02=0.192, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.512,
HTML_SHORT_LINK_IMG_2=0.951, MIME_HTML_ONLY=0.001, MSGID_FROM_MTA_ID=0.927,
URIBL_JP_SURBL=3.36], autolearn=no, quarantine x8GRVlnkehAw
(spam-quarantine)
Jan 12 14:25:58 fblan amavis[1595]: (01595-08) DSN: NOTIFICATION:
Action:failed, LOCAL 554 Spam, <NewPhones at coffeehousearoma.com> ->
<xxxxxxxx at amazonas-tours. de>
Jan 12 14:25:59 fblan postfix/smtpd[4531]: connect from
localhost.localdomain[127.0.0.1]
Jan 12 14:25:59 fblan postfix/smtpd[4531]: 0AE704DC79C:
client=localhost.localdomain[127.0.0.1]
Jan 12 14:25:59 fblan postfix/cleanup[4527]: 0AE704DC79C:
message-id=<SSx8GRVlnkehAw at fblan.de>
Jan 12 14:25:59 fblan postfix/qmgr[966]: 0AE704DC79C: from=<>, size=4062,
nrcpt=1 (queue active)
Jan 12 14:25:59 fblan postfix/smtpd[4531]: disconnect from
localhost.localdomain[127.0.0.1]
Jan 12 14:25:59 fblan amavis[1595]: (01595-08) SEND via SMTP: <> ->
<NewPhones at coffeehousearoma.com>, ENVID=AM..20070112T132559Z at fblan.de 250
2.6.0 Ok,       id=01595-08, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok:
queued as 0AE704DC79C
Jan 12 14:25:59 fblan amavis[1595]: (01595-08) Not-Delivered,
<NewPhones at coffeehousearoma.com> -> <xxxxxxxx at amazonas-tours.de>, quarantine
x8GRVlnkehAw,       Message-ID: <20070112132555.AE7234DC172 at mail.fblan.de>,
Hits: 6.571
Jan 12 14:25:59 fblan amavis[1595]: (01595-08) TIMING [total 3257 ms] - SMTP
EHLO: 8 (0%)0, SMTP pre-MAIL: 1 (0%)0, SMTP pre-DATA-flush: 8 (0%)1, SMTP
DATA:  39 (1%)2, body_digest: 4 (0%)2, gen_mail_id: 1 (0%)2, mime_decode: 24
(1%)3, get-file-type1: 31 (1%)4, decompose_part: 2 (0%)4, parts_decode: 0
(0%)4, AV-    scan-1: 36 (1%)5, spam-wb-list: 8 (0%)5, SA msg read: 2 (0%)5,
SA parse: 7 (0%)5, SA check: 2737 (84%)89, SA finish: 9 (0%)90,
update_cache: 4 (0%)90,        decide_mail_destiny: 4 (0%)90,
save-to-local-mailbox: 17 (1%)90, prepare-dsn: 194 (6%)96, fwd-connect: 8
(0%)97, fwd-mail-from: 2 (0%)97, fwd-rcpt-to: 5      (0%)97, fwd-data-cmd: 1
(0%)97, write-header: 3 (0%)97, fwd-data-contents: 28 (1%)98, fwd-data-end:
56 (2%)99, fwd-rundown: 4 (0%)100, main_log_entry: 7      (0%)100,
update_snmp: 5 (0%)100, unlink-1-files: 3 (0%)100, rundown: 1 (0%)100

 
Evtl hat das ja schon mal jemand gelöst.

Die smtpd_sender_restrictions =permit_mynetworks,
                           permit_tls_clientcerts,
                           permit_sasl_authenticated,
                           check_sender_access pcre:/etc/postfix/apostroph
                           check_sender_mx_access cidr:/etc/postfix/bogus_mx
                           reject_non_fqdn_recipient,
                           reject_unknown_client_hostname
                           reject_unknown_recipient_domain
                           reject_unknown_sender_domain,
                           reject_non_fqdn_sender,
                           reject_unauth_pipelining,
                           reject_sender_login_mismatch,
                           reject_unauthenticated_sender_login_mismatch
                           reject_unauth_destination,
                           check_policy_service inet:127.0.0.1:60000
                           reject_rhsbl_client rhsbl.sorbs.net,
                           reject_rbl_client dynablock.njabl.org,
                           reject_rbl_client dialup.blacklist.jippg.org,
                           reject_rbl_client multihop.dsbl.org,
                           reject_rhsbl_sender rhsbl.sorbs.net,
                           reject_rbl_client zen.spamhaus.org,
                           reject_rbl_client proxies.blackholes.wirehub.net
                           reject_rbl_client list.dsbl.org,
                           reject_rbl_client unconfirmed.dsbl.org,
                           reject_rbl_client list.dsbl.org,
                           reject_rbl_client dynablock.njabl.org,
                           reject_rbl_client dialup.blacklist.jippg.org,
                           reject_rbl_client multihop.dsbl.org

evtl. weis ja auch jemand eine RBL die genau diesen fall abfängt 

abfrage des MX

dig coffeehousearoma.com mx

; <<>> DiG 9.3.2-P1 <<>> coffeehousearoma.com mx
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22923
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 5

;; QUESTION SECTION:
;coffeehousearoma.com.          IN      MX

;; ANSWER SECTION:
coffeehousearoma.com.   1800    IN      MX      10 coffeehousearoma.com.

;; AUTHORITY SECTION:
coffeehousearoma.com.   1014    IN      NS      dns1.name-services.com.
coffeehousearoma.com.   1014    IN      NS      dns2.name-services.com.
coffeehousearoma.com.   1014    IN      NS      dns3.name-services.com.
coffeehousearoma.com.   1014    IN      NS      dns4.name-services.com.
coffeehousearoma.com.   1014    IN      NS      dns5.name-services.com.

;; ADDITIONAL SECTION:
dns1.name-services.com. 29714   IN      A       69.25.142.1
dns2.name-services.com. 29714   IN      A       216.52.184.230
dns3.name-services.com. 29714   IN      A       63.251.92.193
dns4.name-services.com. 29714   IN      A       64.74.96.242
dns5.name-services.com. 29714   IN      A       70.42.37.1

;; Query time: 110 msec
;; SERVER: 193.158.36.23#53(193.158.36.23)
;; WHEN: Fri Jan 12 17:02:19 2007
;; MSG SIZE  rcvd: 243

Besten dank 

Gruß Uwe



Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: 06708 / 660045
Fax: 06708 / 661397






Mehr Informationen über die Mailingliste Postfixbuch-users