AW: Phising-E-Mails mit bekannten Absendern

Daniel daniel at mail24.vip
Mi Sep 27 23:09:45 CEST 2017


Hi,

ich verwende auch "reject_unknown_hostname", kommt öfters vor, dass IP Adressen keinen Hostnamen haben dann aber Vorgeben Paypal zu sein oder "Bekannte/Freunde" (mit Yahoo, Live oder ähnlichem wo es wohl mal Lücken/Hacks gab ect.), und im helo hast irgendwas ausländischen dsl/calbe Anschluss oder so was absolut nicht passt.

Ist ja nicht so, dass große Firmen oder Banken ect. SPF einsetzen und DNSsec samt DANE ect. und lieber nur lapidar warnen, dass mal wieder Spam unterwegs ist, oder sogar noch Schritt weitergehen und man doch bitte deren Absender pauschalt in Whitelist nehmen möchte, damit bloß deren Mails mit ungültigen Hostnamen oder falschen SPF ect. durchkommen oder andere Versender für Newsletter ect. in derem Namen versenden, aber eben nicht berechtigt sind zu.

Ne IP Adresse die kein Hostnamen (PTR) hat, wird von mir gnadenlos abgelehnt, und da ich reject täglich im Script Auswerte überfliege ich so mal diese und schreib ggf. mal nen Webmaster an wenn was abgelehnt wird, was nicht so sein sollte. In seltenen Fällen Bedank sich Postmaster sogar, da man bei ner Umstellung einfach nen Eintrag im DNS vergessen hat oder so.

Beispiele wären da z.B.:
postfix/smtpd[32455]: NOQUEUE: reject: RCPT from unknown[124.150.134.59]: 450 4.7.25 Client host rejected: cannot find your hostname, [124.150.134.59]; from=<marketplace-messages at amazon.de> to=<X> proto=ESMTP helo=<mail.july.com.tw>
postfix/smtpd[26740]: NOQUEUE: reject: RCPT from unknown[1.54.116.178]: 450 4.7.25 Client host rejected: cannot find your hostname, [1.54.116.178]; from=<no-reply at dropbox.com> to=<X> proto=ESMTP helo=<[1.54.116.178]>
Server postfix/smtpd[16618]: NOQUEUE: reject: RCPT from unknown[115.118.240.252]: 450 4.7.25 Client host rejected: cannot find your hostname, [115.118.240.252]; from=<do_not_reply at eu.apple.com> to=<X> proto=ESMTP helo=<115.118.240.252.static-mumbai.vsnl.net.in>

Mancher Spam vor dem selbst hier in Liste mal gewarnt wurde, wurde so abgewiesen ohne dass ich noch spezielle reject Regeln schreiben musste.

Muss aber jeder selbst wissen, bei mir ist meiste eh Spam was so abgewiesen wird, eher Einzelfall dass Bekannter Server scheitert.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:postfixbuch-users-bounces at listen.jpberlin.de] Im Auftrag von Jürgen Gmach
Gesendet: Mittwoch, 27. September 2017 18:54
An: Diskussionen und Support rund um Postfix
Betreff: Re: Phising-E-Mails mit bekannten Absendern

> Also sowas wie:
> reject_unknown_hostname,
> 	reject_unknown_recipient_domain,
> 	reject_unknown_sender_domain,

Den ersten Eintrag haben wir nicht, die beiden anderen schon.

> Oder kommt Spam wirklich korrekt eingeliefert mit fraglichen Inhalt
> von Kundenaccount? Sprich von nem Botnet bzw. gehackten Account?

Das kann ich grad nicht sagen. Ich habe keine der fraglichen E-Mails im 
Moment vorliegen.

Mir gings erst einmal darum herauszufinden, wie diese passenden 
Sender/Empfänger-Kombinationen überhaupt zustandekommen können.

Der zweite Schritt wäre dann die Spam-E-Mails zu erkennen und zu 
verhindern.

Gruß,

-- 
Jürgen Gmach . juergen.gmach at apis.de . +49 9482 941545
APIS Informationstechnologien GmbH . http://www.apis.de
Gewerbepark A 13, 93086 Wörth/Donau . Deutschland
Sitz der GmbH: Wörth/Donau, Amtsgericht Regensburg (HRB 6684)
Geschäftsführer: Julia Anna Dietz, Jürgen Eilers, Peter Rosenbeck
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5586 bytes
Beschreibung: nicht verfügbar
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20170927/85c782ff/attachment.p7s>


Mehr Informationen über die Mailingliste Postfixbuch-users