Spam über CC-Listen

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Do Nov 1 12:59:38 CET 2018 

* Peter Buettner <buettnerp at web.de>:
> Hallo zusammen!
> 
> Ich habe eher ungewöhnliche Fragen, die ein wenig über das Thema postfix
> hinausgehen.
> 
> Ein Endanwender sendet E-Mails  mit langen CC-Listen und großen
> Anhängen.

Vorsicht: Lange Cc: Listen könnten abmahnbar sein:
https://www.e-recht24.de/news/datenschutz/7652-cc-an-alle-e-mails-datenschutzbehoerde-verhaengt-bussgeld-wegen-offenem-e-mail-verteiler.html

> Er verwendet WIN 10 und Outlook aus Office 2010. Virenscanner ist
> bitdefender.
> 
> In den Logs ist zu erkennen, daß einige Empfänger dieser Mail mit
> Greylisting den Empfang verzögern.

Völlig normal.

> Es ist weiterhin zu sehen, daß Verzögerungsmitteilungen an den
> Endanwender gehen. 

Die sendet dann aber Postfix?

> Alle 2 Minuten werden die CC's erneut mit der Mail beglückt. Nach dem
> Abbruch einer solchen Spamtirade zeigte pflogsum, daß an die CC's 36
> mal zugestellt wurde.

Also an alle Empfänger? Alle zwei Minuten ist ja auch etwas seltsam,
Postfix läßt ja bei Fehlern immer mehr Zeit zwischen zwei Versuchen.
Vielleicht ruft Outlook alle 2 Minuten Mail ab und führt Regeln aus?

> Meine Fragen:
> 
> - Ist es eine undokumentierte Funktionalität von postfix, daß die
> Mail in diesem Szenario 36 mal zugestellt wurde?

Ohne Logs schwer zu sagen. 

> - Ist es eine undokumentierte Funktionalität von Outlook, welches 36 mal eingeliefert hat?

Manche nennen sowas Fehler. Aber die Software ist 8 Jahre alt, da kann
schonmal das eine oder andere falsch sein.

> - Kann bitdefender etwas damit zu tun haben ?

Könnte, aber: Ohne Logs schwer zu sagen. 
 
> - Oder hat der Endanwender tatsächlich 36 mal auf Senden gedrückt?

Das kann man selbst MIT Logs nicht wirklich erkennen. Aber so blöde
sind benutzer eigentlich nicht. 2-3 mal, aber nicht 36 mal.
 
> - Gibt es in Postfix eine Möglichkeit, solchen Spam zu erkennen oder
> zumindest die Anzahl der CC's zu begrenzen?

Nicht in Postfix direkt; man könnte was mit headerchecks zaubern:


/^(To|CC):(.*@){10}/ HOLD
zum Beispiel

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de

Mehr Informationen über die Mailingliste Postfixbuch-users