[Postfixbuch-users] hab ich bei dieser Art von Spam eine Chance?
Sven Schumacher
schumacher at iw.uni-hannover.de
Mi Mär 19 18:02:30 CET 2008
Hallo zusammen,
ich bekomm leider durch unser Rechenzentrum alle Mails nur über einen
Transport zugestellt, damit das Rechenzentrum alle Mails vorher auf Spam
und Viren prüfen kann. Dennoch kommt noch so einiges an Spam durch.
Heute war mal wieder ein besonders schönes Beispiel für einen Versuch
eines Skriptkiddies dabei. Daher bringt mir Postgrey auch leider nichts :(
Gibt es eine Möglichkeit mittels policy-Daemon zu prüfen, welches der
einliefernde Server vor Annahme durch mrelay*.uni-hannover.de war? Dann
könnte ich ggf. dann die Dialin-Adressen und dergleichen gleich rejecten
bzw. nach /dev/null schieben.
Die Jungs versuchen ja echt einiges, um durch die Virenscanner zu kommen...
Entscheidend für mich dabei ist: vxdqb at iw.uni-hannover.de gibt es auf
meinem Server nicht... Kann ich außerdem Postfix beibringen, dass er nur
Mails annimmt, wenn Return-Path oder From vorgeben aus der eigenen
Domain zu kommen UND die E-Mail-Adresse wirklich lokal existiert (was im
u.g. Fall nicht der Fall ist - ich hab keinen User mit "vxdqb"? Plus
natürlich alles was von extern von angeblichen externen E-Mailadressen
kommt. Das würde bei mir schon einiges an Spam wegfiltern. Da immer
häufiger die Dr*ckskerle versuchen mit scheinbaren E-Mailadressen aus
der eigenen Domain zu spammen.
Hier mal die Mail mit kompletten Headern. Die "X-PMS"-Header stammen vom
Uni-eigenen Spam/Viren-Scanner (Sophos Pure-Message). Da die Mail nur
eins meiner Mailaliase nutzt, habe ich mir mal die Mühe gespart, die
Mailadressen, die verwendet wurden unkenntlich zu machen.
From - Wed Mar 19 17:04:54 2008
Return-Path: <vxdqb at iw.uni-hannover.de>
Received: from hermes.iw.uni-hannover.de ([unix socket])
by hermes (Cyrus v2.2.13-Debian-2.2.13-13) with LMTPA;
Wed, 19 Mar 2008 16:56:45 +0100
X-Sieve: CMU Sieve 2.2
Received: from localhost (localhost.localdomain [127.0.0.1])
by hermes.iw.uni-hannover.de (Postfix) with ESMTP id CC30A583
for <bscw_adm at iw.uni-hannover.de>; Wed, 19 Mar 2008 16:56:45 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at hermes.iw.uni-hannover.de
Received: from hermes.iw.uni-hannover.de ([127.0.0.1])
by localhost (hermes.iw.uni-hannover.de [127.0.0.1]) (amavisd-new, port
10024)
with ESMTP id 8CnGxdkgkMXQ for <bscw_adm at iw.uni-hannover.de>;
Wed, 19 Mar 2008 16:56:45 +0100 (CET)
Received: from mrelay12.uni-hannover.de (mrelay12.uni-hannover.de
[130.75.2.100])
by hermes.iw.uni-hannover.de (Postfix) with SMTP id AD242580
for <bscw_adm at iw.uni-hannover.de>; Wed, 19 Mar 2008 16:56:45 +0100 (CET)
Received: from g227083005.adsl.alicedsl.de (g227083005.adsl.alicedsl.de
[92.227.83.5] (may be forged))
by mrelay12.uni-hannover.de (8.13.8/8.13.8) with SMTP id m2JG46UJ005270
for <bscw_adm at iw.uni-hannover.de>; Wed, 19 Mar 2008 17:04:12 +0100
(envelope-from vxdqb at iw.uni-hannover.de)
Date: Wed, 19 Mar 2008 17:04:06 +0100
From: vxdqb at iw.uni-hannover.de
Message-Id: <200803191604.m2JG46UJ005270 at mrelay12.uni-hannover.de>
X-PMX-Version: 5.4.1.325704, Antispam-Engine: 2.6.0.325393,
Antispam-Data: 2008.3.19.84340
X-PMX-NS: (No Spam) Gauge=XXIIIIII, Spam-Probability=26%,
Report='RELAY_IN_PBL_11 2.5, SXL_IP_DYNAMIC 0.5, BODY_SIZE_100_199 0,
RELAY_IN_PBL 0, SMALL_BODY 0, __MIME_TEXT_ONLY 0, __SUBJ_MISSING 0,
__UNUSABLE_MSGID 0'
To: undisclosed-recipients:;
%RANDFILE[./bodies/tb/tb_plain.txt,./bodies/tb/tb_html.txt,./bodies/ol/ol_html.txt]
X-Antivirus: avast! (VPS 080319-0, 19.03.2008), Outbound message
X-Antivirus-Status: Clean
--
Institut für Werkstoffkunde Telefon +49(0)511/762-4322
z.Hd. Sven Schumacher Mobil +49(0)176/23951713
An der Universität 2 E-Mail schumacher at iw.uni-hannover.de
30823 Garbsen Telefax +49(0)511/762-5245
Mehr Informationen über die Mailingliste Postfixbuch-users