[Postfixbuch-users] hab ich bei dieser Art von Spam eine Chance?

Sven Schumacher schumacher at iw.uni-hannover.de
Mi Mär 19 18:02:30 CET 2008


Hallo zusammen,

ich bekomm leider durch unser Rechenzentrum alle Mails nur über einen 
Transport zugestellt, damit das Rechenzentrum alle Mails vorher auf Spam 
und Viren prüfen kann. Dennoch kommt noch so einiges an Spam durch.
Heute war mal wieder ein besonders schönes Beispiel für einen Versuch 
eines Skriptkiddies dabei. Daher bringt mir Postgrey auch leider nichts :(

Gibt es eine Möglichkeit mittels policy-Daemon zu prüfen, welches der 
einliefernde Server vor Annahme durch mrelay*.uni-hannover.de war? Dann 
könnte ich ggf. dann die Dialin-Adressen und dergleichen gleich rejecten 
bzw. nach /dev/null schieben.

Die Jungs versuchen ja echt einiges, um durch die Virenscanner zu kommen...
Entscheidend für mich dabei ist: vxdqb at iw.uni-hannover.de gibt es auf 
meinem Server nicht... Kann ich außerdem Postfix beibringen, dass er nur 
Mails annimmt, wenn Return-Path oder From vorgeben aus der eigenen 
Domain zu kommen UND die E-Mail-Adresse wirklich lokal existiert (was im 
u.g. Fall nicht der Fall ist - ich hab keinen User mit "vxdqb"? Plus 
natürlich alles was von extern von angeblichen externen E-Mailadressen 
kommt. Das würde bei mir schon einiges an Spam wegfiltern. Da immer 
häufiger die Dr*ckskerle versuchen mit scheinbaren E-Mailadressen aus 
der eigenen Domain zu spammen.

Hier mal die Mail mit kompletten Headern. Die "X-PMS"-Header stammen vom 
Uni-eigenen Spam/Viren-Scanner (Sophos Pure-Message). Da die Mail nur 
eins meiner Mailaliase nutzt, habe ich mir mal die Mühe gespart, die 
Mailadressen, die verwendet wurden unkenntlich zu machen.

 From - Wed Mar 19 17:04:54 2008
Return-Path: <vxdqb at iw.uni-hannover.de>
Received: from hermes.iw.uni-hannover.de ([unix socket])
	 by hermes (Cyrus v2.2.13-Debian-2.2.13-13) with LMTPA;
	 Wed, 19 Mar 2008 16:56:45 +0100
X-Sieve: CMU Sieve 2.2
Received: from localhost (localhost.localdomain [127.0.0.1])
	by hermes.iw.uni-hannover.de (Postfix) with ESMTP id CC30A583
	for <bscw_adm at iw.uni-hannover.de>; Wed, 19 Mar 2008 16:56:45 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at hermes.iw.uni-hannover.de
Received: from hermes.iw.uni-hannover.de ([127.0.0.1])
	by localhost (hermes.iw.uni-hannover.de [127.0.0.1]) (amavisd-new, port 
10024)
	with ESMTP id 8CnGxdkgkMXQ for <bscw_adm at iw.uni-hannover.de>;
	Wed, 19 Mar 2008 16:56:45 +0100 (CET)
Received: from mrelay12.uni-hannover.de (mrelay12.uni-hannover.de 
[130.75.2.100])
	by hermes.iw.uni-hannover.de (Postfix) with SMTP id AD242580
	for <bscw_adm at iw.uni-hannover.de>; Wed, 19 Mar 2008 16:56:45 +0100 (CET)
Received: from g227083005.adsl.alicedsl.de (g227083005.adsl.alicedsl.de 
[92.227.83.5] (may be forged))
	by mrelay12.uni-hannover.de (8.13.8/8.13.8) with SMTP id m2JG46UJ005270
	for <bscw_adm at iw.uni-hannover.de>; Wed, 19 Mar 2008 17:04:12 +0100
	(envelope-from vxdqb at iw.uni-hannover.de)
Date: Wed, 19 Mar 2008 17:04:06 +0100
From: vxdqb at iw.uni-hannover.de
Message-Id: <200803191604.m2JG46UJ005270 at mrelay12.uni-hannover.de>
X-PMX-Version: 5.4.1.325704, Antispam-Engine: 2.6.0.325393, 
Antispam-Data: 2008.3.19.84340
X-PMX-NS: (No Spam) Gauge=XXIIIIII, Spam-Probability=26%, 
Report='RELAY_IN_PBL_11 2.5, SXL_IP_DYNAMIC 0.5, BODY_SIZE_100_199 0, 
RELAY_IN_PBL 0, SMALL_BODY 0, __MIME_TEXT_ONLY 0, __SUBJ_MISSING 0, 
__UNUSABLE_MSGID 0'
To: undisclosed-recipients:;

%RANDFILE[./bodies/tb/tb_plain.txt,./bodies/tb/tb_html.txt,./bodies/ol/ol_html.txt]
X-Antivirus: avast! (VPS 080319-0, 19.03.2008), Outbound message
X-Antivirus-Status: Clean

-- 
Institut für Werkstoffkunde  Telefon  +49(0)511/762-4322
z.Hd. Sven Schumacher        Mobil    +49(0)176/23951713
An der Universität 2         E-Mail   schumacher at iw.uni-hannover.de
30823 Garbsen                Telefax  +49(0)511/762-5245



Mehr Informationen über die Mailingliste Postfixbuch-users