[Postfixbuch-users] Rückgang der Spam-Mails

Jan P. Kessler postfix at jpkessler.info
Sa Feb 21 13:54:09 CET 2009


Bitte versuche doch wenigstens mal so zu zitieren, dass man das auch 
lesen (sprich: dass man Deinen Text von dem der anderen auf den ersten 
Blick unterscheiden) kann. Ein Link dazu wurde doch bereits gepostet. 
Was für ein Mailclient ist denn das?

reiner otto schrieb:
> *
>
>     OK, bin gerne bereit eine korrekte Erklärung
>
>     zu akzeptieren, verstehe allerdings nicht gerade, was Du
>
>      hiermit meinst:
>
>     Bei Dir lag ein Konfigurationsfehler vor, der eingehende
>     Verbindungen hinter der loopback-Adresse maskiert hat. Das waren also ganz
>     normale Spams von ganz normalen Servern, die durch fehlerhafte IP Konfiguration
>     durchkamen - nicht mehr und nicht weniger.
>
>     Ich nehme mal an, es hat hiermit zu tun:
>
> *
>

Hier steckt die Info:

 > Feb 14 06:28:22 h123456 postfix/smtpd[1463]: NOQUEUE: reject: RCPT
 > from h123456.stratoserver.net[127.0.0.1]: 554 5.7.1 <dpggy1 at XXXX.TLD>:
 > Relay access denied; from=<jennifer_joan at msn.com> to=<dpggy1 at XXXX.TLD>
 > proto=SMTP helo=<ppp-217-77-221-14.wildpark.net>

Also ganz konkret "from h123456.stratoserver.net[127.0.0.1]". Man kann 
die Loopback-Adresse 127.0.0.1 bei tcp nicht sinnvoll spoofen. Der Spaß 
wäre bereits beim Syn-ACK vorbei und davon nimmt postfix noch gar keine 
Notiz. Die Applikation kommt bei TCP erst nach dem Handshake ins Spiel.

Mehr dazu:

[1] http://de.wikipedia.org/wiki/Loopback
[2] http://de.wikipedia.org/wiki/Transmission_Control_Protocol

Im Klartext heißt das also, dass irgendetwas die tatsächlichen 
Remote-IP-Adressen der eingehenden Verbindungen hinter der Loopback 
Adresse verbirgt. So etwas gibt es nur bei Fehlern in der 
IP-Konfiguration oder bei schlecht konfigurierten Firewalls.

Normalerweise sieht so etwas so aus:

 > Feb 12 16:54:51 mail postfix/smtpd[27137]: NOQUEUE: reject: RCPT
 > from 118-168-98-231.dynamic.hinet.net[118.168.98.231]: 554 5.7.1
 > <vjd39hww at yahoo.com.tw>: Relay access denied;
 > from=<ttc585ttc585 at yahoo.com.tw> to=<vjd39hww at yahoo.com.tw>
 > proto=SMTP helo=<81.169.140.46>

Der kleine, aber entscheidende Unterschied ist folgender: "from 
118-168-98-231.dynamic.hinet.net[118.168.98.231]" (genau, die IP in den 
eckigen Klammern).

> *
>
>     Finde ich ja gut, daß wir so öffentlich über mögliche Lücken
>     in den V-Servern von STRATO diskutieren müssen, um echte Abhilfe
>     schaffen zu können :-)
>     So lernen die "Bad Guys".
>
> *
>

Worauf ich hinaus wollte: Das waren ganz normale Open Relay Probes - ein 
Phänomen, dass man inzwischen seit Jahrzehnten kennt und das selbst bei 
out-of-the-box postfix Konfigurationen auch nicht mehr als ein müdes 
Gähnen beim reject hervorruft. Der einzige, der hier einen Lerneffekt zu 
verbuchen hatte, ist (hoffentlich) derjenige, der die 
IP/FW-Konfiguration versemmelt hat.




Mehr Informationen über die Mailingliste Postfixbuch-users