[Postfixbuch-users] Gefälschte Mail From: mit existierender Adresse

Uwe Driessen driessen at fblan.de
Mi Okt 6 19:26:37 CEST 2010 


On Behalf Of Jörg Reisslein
> 
> Return-Path: <existente_adresse at meinserver.de>
> From: existente_adresse at meinserver.de
> Message-ID: <20101006104405.7CA5E201B73 at meinserver.de>
> Subject: existente_adresse at meinserver.de V|AGRA R Official 
> Site 17% 0FF The
> message has been quarantined as: spam-48VtkmOzwcg7.gz
> 
> The message WAS NOT relayed to:
> < existente_adresse at meinserver.de >:
>    250 2.7.0 Ok, discarded, id=29530-15 - SPAM
> 

Zeig mal da ganze log

> 
> Was könnte ich noch verändern oder ergänzen? So wie es 
> aussieht kennen die
> Spammer eine ganze Stange von reellen Email Adressen aus
> unserem System, denn ich schätze mal so 80% der gefilterten 
> Nachrichten
> haben existierende Adressen im Return-Path, die sich aber oft
> wiederholen.

Welche Postfixversion hast du denn? Kennt die überhaupt schon die genannten Optionen?
Wie wäre es denn mit einem postconf -n und master.cf ohne Kommentare

> 
> BTW: Muss mich das beunruhigen?

Nö es gibt für alles eine Begründung die muß man nur finden.


Was hängt hinter dem permit_tls_clientcerts? Kommen diese Spamer evtl. mit einem geklauten
zertifikat?


> 
> 
> Meine smtpd_recipient_restrictions schaut jetzt aktuell so aus:
> --------------------------------------------------------------
> --------------
> -------
> smtpd_recipient_restrictions =  check_sender_access 
> ldap:ldapchecksender
>                                 reject_non_fqdn_sender
>                                 reject_non_fqdn_recipient
>                                 reject_unknown_recipient_domain
>                                 permit_mynetworks
>                                 permit_tls_clientcerts
>                                 permit_sasl_authenticated
>                                 reject_unknown_sender_domain
>                                 reject_unauth_destination
>                                 
> reject_unauthenticated_sender_login_mismatch
>                                 check_client_access 
> hash:/etc/postfix/access
>                                 check_sender_access
> hash:/etc/postfix/blocked_senders
>                                 reject_unlisted_recipient
>                                 check_sender_mx_access
> cidr:/etc/postfix/bogus_mx
>                                 reject_unauth_pipelining
>                                 reject_rbl_client cbl.abuseat.org
>                                 reject_rbl_client 
> abuse.rfc-ignorant.org
>                                 reject_rbl_client ix.dnsbl.manitu.net
>                                 reject_rbl_client combined.njabl.org
>                                 reject_rbl_client zen.spamhaus.org
>                                 reject_rbl_client bl.spamcop.net
>                                 check_policy_service 
> inet:127.0.0.1:999
>                                 check_policy_service 
> inet:127.0.0.1:12525
> --------------------------------------------------------------
> --------------
> ------
> 
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users