[Postfixbuch-users] Spamversender

Mo Nov 16 14:23:05 CET 2009

Hallo Holm,

Holm Kapschitzki schrieb am 16.11.2009 08:43:
> Das einzige was ich unter xs4all.nl finde ist:
> 
> Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL
> [127.0.1.50] [127.0.1.50] <cheyenne.getrouw at xs4all.nl> ->
> <cmaples at uswan.com>, Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>,
> mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms

greppe mal nach BCAE11D28556.

> Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit
> dieser Absenderadresse/Empfänger zu tun?

So spontan würde ich sagen, du wurdest Opfer eines Spoofing-Angriffes 
und jemand hat mit der Adresse 127.0.1.50 den Mail-Versand initiiert. 
Vermuten würde ich weiterhin, dass er das über den Amavis-Port gemacht 
hat, sonst stünde dort ja nichts. Amavis schiebt weiterhin üblicherweise 
an Postfix zurück, insofern muss auch da ein Log vorliegen.

Ich denke, der Angriffspunkt bei Amavis ist begehrt, da auf dem Rückweg 
die Restriktionen meist stark gelockert werden ("kann ja nur noch von 
mir sein, da kann ich ja alles erlauben"). Außerdem steht als Standard 
in der amavisd.conf:
# @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
#                   10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );
Insofern wurde die Mail als lokal angesehen (zumindest von Amavis).

Prüf doch mal bitte deine smtpd_recipient_restrictions auf dem 
rückläufigen Port, insbesondere auch so Sachen wie permit_mynetworks und 
mynetworks.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws