[Postfixbuch-users] Rückgang der Spam-Mails
reiner otto
augustus_meyer at yahoo.de
Sa Feb 21 10:11:46 CET 2009
--- Jan P. Kessler <postfix at jpkessler.info> schrieb am Sa, 21.2.2009:
Von: Jan P. Kessler <postfix at jpkessler.info>
Betreff: Re: [Postfixbuch-users] Rückgang der Spam-Mails
An: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." <postfixbuch-users at listen.jpberlin.de>
Datum: Samstag, 21. Februar 2009, 2:15
> *
>
> Das kann durchaus sein. Habe so einen mail-server, der zeitweise
>
> als Open relay mißbraucht wurde. STRATO ist aber sehr zurückhaltend,
>
> etwas dagegen zu unternehmen. Die Tatsache,
>
> daß STRATO sich auf den Standpunkt stellt,
>
> daß sie gegen gespoofte IPs nichts zu unternehmen brauchen,
>
> ist da nicht gerade hilfreich.
>
> Offensichtlich ließ STRATO also gespoofte mails durch,
>
> welche die IP meines eigenen STRATO-servers als
> *
>
Ne sorry, aber das ist nicht richtig. Bei tcp ist IP-Spoofing quasi unmöglich
- es sei denn, man sitzt als MITM dazwischen. Da ist ja nicht nur der
3-way-handshake sondern auch jede Menge bidirektionale Kommunikation bis mal so
ein RCPT TO: erscheint. IP-Spoofing aus dem Internet gibt es in der Praxis nur
bei udp (z.b. dns). Bei Dir lag ein Konfigurationsfehler vor, der eingehende
Verbindungen hinter der loopback-Adresse maskiert hat. Das waren also ganz
normale Spams von ganz normalen Servern, die durch fehlerhafte IP Konfiguration
durchkamen - nicht mehr und nicht weniger.
OK, bin gerne bereit eine korrekte Erklärungzu akzeptieren, verstehe allerdings nicht gerade, was Du hiermit meinst:Bei Dir lag ein Konfigurationsfehler vor, der eingehende
Verbindungen hinter der loopback-Adresse maskiert hat. Das waren also ganz
normale Spams von ganz normalen Servern, die durch fehlerhafte IP Konfiguration
durchkamen - nicht mehr und nicht weniger.Ich nehme mal an, es hat hiermit zu tun:venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.255UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1RX packets:15689 errors:0 dropped:0 overruns:0 frame:0TX packets:19757 errors:0 dropped:0 overruns:0 carrier:0collisions:0 txqueuelen:0 RX bytes:1041833 (1017.4 Kb) TX bytes:16619859 (15.8 Mb)venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:85.214.72.27 P-t-P:85.214.72.27 Bcast:0.0.0.0 Mask:255.255.255.255UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1 Wenn ja, was kann ich dagegen tun ?Die config der interfaces ist nicht von mir; bekam ich fertig geliefert von STRATO, im Rahmenmeines fertigen V-Servers mit SuSE 10.3.Wenn da was falsch/unsauber ist, ändert es nichts daran, daß andere V-Server ebenfalls betroffen sind.
Und als Open Relays mißbraucht werden können. ifcfg-venet0:-----------------STARTMODE=onboot
BOOTPROTO=static
BROADCAST=0.0.0.0
NETMASK=255.255.255.255####Naechstes Zeile raus ???????
IPADDR=127.0.0.1
IPADDR_0=85.214.72.27
LABEL_0=0
---------------- Finde ich ja gut, daß wir so öffentlich über mögliche Lückenin den V-Servern von STRATO diskutieren müssen, um echte Abhilfeschaffen zu können :-)So lernen die "Bad Guys".
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20090221/0be06672/attachment.html>
Mehr Informationen über die Mailingliste Postfixbuch-users