[Postfixbuch-users] Rückgang der Spam-Mails
Jan P. Kessler
postfix at jpkessler.info
Sa Feb 21 13:54:09 CET 2009
Bitte versuche doch wenigstens mal so zu zitieren, dass man das auch
lesen (sprich: dass man Deinen Text von dem der anderen auf den ersten
Blick unterscheiden) kann. Ein Link dazu wurde doch bereits gepostet.
Was für ein Mailclient ist denn das?
reiner otto schrieb:
> *
>
> OK, bin gerne bereit eine korrekte Erklärung
>
> zu akzeptieren, verstehe allerdings nicht gerade, was Du
>
> hiermit meinst:
>
> Bei Dir lag ein Konfigurationsfehler vor, der eingehende
> Verbindungen hinter der loopback-Adresse maskiert hat. Das waren also ganz
> normale Spams von ganz normalen Servern, die durch fehlerhafte IP Konfiguration
> durchkamen - nicht mehr und nicht weniger.
>
> Ich nehme mal an, es hat hiermit zu tun:
>
> *
>
Hier steckt die Info:
> Feb 14 06:28:22 h123456 postfix/smtpd[1463]: NOQUEUE: reject: RCPT
> from h123456.stratoserver.net[127.0.0.1]: 554 5.7.1 <dpggy1 at XXXX.TLD>:
> Relay access denied; from=<jennifer_joan at msn.com> to=<dpggy1 at XXXX.TLD>
> proto=SMTP helo=<ppp-217-77-221-14.wildpark.net>
Also ganz konkret "from h123456.stratoserver.net[127.0.0.1]". Man kann
die Loopback-Adresse 127.0.0.1 bei tcp nicht sinnvoll spoofen. Der Spaß
wäre bereits beim Syn-ACK vorbei und davon nimmt postfix noch gar keine
Notiz. Die Applikation kommt bei TCP erst nach dem Handshake ins Spiel.
Mehr dazu:
[1] http://de.wikipedia.org/wiki/Loopback
[2] http://de.wikipedia.org/wiki/Transmission_Control_Protocol
Im Klartext heißt das also, dass irgendetwas die tatsächlichen
Remote-IP-Adressen der eingehenden Verbindungen hinter der Loopback
Adresse verbirgt. So etwas gibt es nur bei Fehlern in der
IP-Konfiguration oder bei schlecht konfigurierten Firewalls.
Normalerweise sieht so etwas so aus:
> Feb 12 16:54:51 mail postfix/smtpd[27137]: NOQUEUE: reject: RCPT
> from 118-168-98-231.dynamic.hinet.net[118.168.98.231]: 554 5.7.1
> <vjd39hww at yahoo.com.tw>: Relay access denied;
> from=<ttc585ttc585 at yahoo.com.tw> to=<vjd39hww at yahoo.com.tw>
> proto=SMTP helo=<81.169.140.46>
Der kleine, aber entscheidende Unterschied ist folgender: "from
118-168-98-231.dynamic.hinet.net[118.168.98.231]" (genau, die IP in den
eckigen Klammern).
> *
>
> Finde ich ja gut, daß wir so öffentlich über mögliche Lücken
> in den V-Servern von STRATO diskutieren müssen, um echte Abhilfe
> schaffen zu können :-)
> So lernen die "Bad Guys".
>
> *
>
Worauf ich hinaus wollte: Das waren ganz normale Open Relay Probes - ein
Phänomen, dass man inzwischen seit Jahrzehnten kennt und das selbst bei
out-of-the-box postfix Konfigurationen auch nicht mehr als ein müdes
Gähnen beim reject hervorruft. Der einzige, der hier einen Lerneffekt zu
verbuchen hatte, ist (hoffentlich) derjenige, der die
IP/FW-Konfiguration versemmelt hat.
Mehr Informationen über die Mailingliste Postfixbuch-users