[Postfixbuch-users] Spamversender

Kai Fürstenberg kai_postfix at fuerstenberg.ws
Mo Nov 16 16:59:34 CET 2009


Holm Kapschitzki schrieb am 16.11.2009 16:08:
>> greppe mal nach BCAE11D28556.
> 
> xxx ->  meine serverdomain
> 
> Nov 14 22:09:36 s01 postfix/smtpd[8761]: BCAE11D28556:
> client=localhost.localdomain[127.0.0.1]
> Nov 14 22:09:36 s01 postfix/cleanup[8714]: BCAE11D28556:
> message-id=<01ca656e.4bf237f2 at s01.xxx.de>
> Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556:
> from=<cheyenne.getrouw at xs4all.nl>, size=1062, nrcpt=1 (queue active)
> Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL
> [127.0.1.50] [127.0.1.50] <cheyenne.getrouw at xs4all.nl> ->
> <cmaples at uswan.com>, Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>,
> mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms
> Nov 14 22:09:36 s01 postfix/smtp[7802]: 8A2001D28505:
> to=<cmaples at uswan.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.29,
> delays=0.14/0/0/0.14, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=08343-06,
> from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as BCAE11D28556)
> Nov 14 22:09:36 s01 postfix/smtp[8064]: BCAE11D28556:
> to=<cmaples at uswan.com>, relay=127.0.1.50[127.0.1.50]:25, delay=0.06,
> delays=0.05/0/0.01/0, dsn=5.4.6, status=bounced (mail for uswan.com
> loops back to myself)
> Nov 14 22:09:36 s01 postfix/bounce[8723]: BCAE11D28556: sender
> non-delivery notification: D08051D28559
> Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556: removed
> 
> 
>> 
>>> Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit
>>> dieser Absenderadresse/Empfänger zu tun?

Die Antwort steht hier:
$ dig MX uswan.com

; <<>> DiG 9.5.1-P3 <<>> MX uswan.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60739
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 4, ADDITIONAL: 4

;; QUESTION SECTION:
;uswan.com.                     IN      MX

;; ANSWER SECTION:
uswan.com.              86400   IN      MX      0 127.0.1.50.

Insofern handelt dein Server völlig korrekt, da er versucht die lokal 
eingelieferte Mail, welche durch "permit_mynetworks" anscheinend erlaubt 
wurde, zuzustellen, nämlich über den eingetragenen MX 127.0.1.50.
Darauf bin ich gekommen, da Postfix versuchte an "relay" 127.0.1.50 zu 
senden. Das hat mich stutzig gemacht.

In der Folge wird ein Bounce an den vermeintlichen Absender geschickt:
 > Nov 14 22:09:36 s01 postfix/smtp[8064]: BCAE11D28556:
 > to=<cmaples at uswan.com>, relay=127.0.1.50[127.0.1.50]:25, delay=0.06,
 > delays=0.05/0/0.01/0, dsn=5.4.6, status=bounced (mail for uswan.com
 > loops back to myself)

und der beschwert sich dann bei Spamcop und deine IP kommt in die Liste.
Merkwürdigerweise (oder absichtlich? Ich weiß es nicht) steht bei 
Spamcop aber eine ganz normale Mail (die Spam-Mail eben), keine 
Mitteilung "Die Mail konnte leider nicht zugestellt werden". Außerdem 
behaupte ich, dass da (mindestens) eine Headerzeile fehlt.

>> So spontan würde ich sagen, du wurdest Opfer eines Spoofing-Angriffes
>> und jemand hat mit der Adresse 127.0.1.50 den Mail-Versand initiiert.
>> Vermuten würde ich weiterhin, dass er das über den Amavis-Port gemacht
>> hat, sonst stünde dort ja nichts. Amavis schiebt weiterhin üblicherweise
>> an Postfix zurück, insofern muss auch da ein Log vorliegen.

Das vergessen wir dann mal, das hat sich ja nun zerschlagen.

>> Ich denke, der Angriffspunkt bei Amavis ist begehrt, da auf dem Rückweg
>> die Restriktionen meist stark gelockert werden ("kann ja nur noch von
>> mir sein, da kann ich ja alles erlauben"). Außerdem steht als Standard
>> in der amavisd.conf:
>> # @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
>> #                   10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );
>> Insofern wurde die Mail als lokal angesehen (zumindest von Amavis).
>> 
>> Prüf doch mal bitte deine smtpd_recipient_restrictions auf dem
>> rückläufigen Port, insbesondere auch so Sachen wie permit_mynetworks und
>> mynetworks.
>> 
> 
> Das ist interessant. Auf diesem Server ist das so konfiguriert:
> 
> master.cf:
> 127.0.0.1:10025 inet n    -    n    -    -    smtpd
>     -o smtpd_recipient_restrictions=permit_mynetworks,reject

Das ist in ordnung so. Wichtig ist nur, dass du in der main.cf nicht 
stehen hast:
mynetworks = 127.0.0.0/8

> Wie kann ich das jetzt stoppen? Ist es besser den amavis nicht in der
> main.cf zu deklarieren, sondern direkt in der master.cf?
> 
> Soll ich bei mynetworks nur 127.0.0.1 reinschreiben?

Welches mynetworks meinst du? Das in der main.cf oder das @mynetworks in 
amavisd.conf? Wie wäre es mit beiden?

Denn: Mal angenommen, jemand schafft es tatsächlich mittels IP-spoofing 
eine Verbindung aufzubauen, dann wäre zumindest der Punkt 
permit_mynetworks abgesichert. Darauf wollte ich hinaus. Aber ich bin ja 
auch von IP-Spoofing ausgegangen.

-- 
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws




Mehr Informationen über die Mailingliste Postfixbuch-users