<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><BR><BR>--- Jan P. Kessler <I><postfix@jpkessler.info></I></B> schrieb am <B>Sa, 21.2.2009:<BR>
<BLOCKQUOTE style="PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: rgb(16,16,255) 2px solid">Von: Jan P. Kessler <postfix@jpkessler.info><BR>Betreff: Re: [Postfixbuch-users] Rückgang der Spam-Mails<BR>An: "Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein." <postfixbuch-users@listen.jpberlin.de><BR>Datum: Samstag, 21. Februar 2009, 2:15<BR><BR><PRE>> *
>
> Das kann durchaus sein. Habe so einen mail-server, der zeitweise
>
> als Open relay mißbraucht wurde. STRATO ist aber sehr zurückhaltend,
>
> etwas dagegen zu unternehmen. Die Tatsache,
>
> daß STRATO sich auf den Standpunkt stellt,
>
> daß sie gegen gespoofte IPs nichts zu unternehmen brauchen,
>
> ist da nicht gerade hilfreich.
>
> Offensichtlich ließ STRATO also gespoofte mails durch,
>
> welche die IP meines eigenen STRATO-servers als
> *
>
Ne sorry, aber das ist nicht richtig. Bei tcp ist IP-Spoofing quasi unmöglich
- es sei denn, man sitzt als MITM dazwischen. Da ist ja nicht nur der
3-way-handshake sondern auch jede Menge bidirektionale Kommunikation bis mal so
ein RCPT TO: erscheint. IP-Spoofing aus dem Internet gibt es in der Praxis nur
bei udp (z.b. dns). Bei Dir lag ein Konfigurationsfehler vor, der eingehende
Verbindungen hinter der loopback-Adresse maskiert hat. Das waren also ganz
normale Spams von ganz normalen Servern, die durch fehlerhafte IP Konfiguration
durchkamen - nicht mehr und nicht weniger.
OK, bin gerne bereit eine korrekte Erklärung</PRE><PRE>zu akzeptieren, verstehe allerdings nicht gerade, was Du</PRE><PRE> hiermit meinst:</PRE><PRE>Bei Dir lag ein Konfigurationsfehler vor, der eingehende
Verbindungen hinter der loopback-Adresse maskiert hat. Das waren also ganz
normale Spams von ganz normalen Servern, die durch fehlerhafte IP Konfiguration
durchkamen - nicht mehr und nicht weniger.</PRE><PRE>Ich nehme mal an, es hat hiermit zu tun:</PRE><PRE><FONT size=2><DIV>venet0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 </DIV><DIV>inet addr:127.0.0.1 P-t-P:127.0.0.1 Bcast:0.0.0.0 Mask:255.255.255.255</DIV><DIV>UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1</DIV><DIV>RX packets:15689 errors:0 dropped:0 overruns:0 frame:0</DIV><DIV>TX packets:19757 errors:0 dropped:0 overruns:0 carrier:0</DIV><DIV>collisions:0 txqueuelen:0 </DIV><DIV>RX bytes:1041833 (1017.4 Kb) TX bytes:16619859 (15.8 Mb)</DIV><DIV>venet0:0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 </DIV><DIV>inet addr:85.214.72.27 P-t-P:85.214.72.27 Bcast:0.0.0.0 Mask:255.255.255.255</DIV><DIV>UP BROADCAST POINTOPOINT RUNNING NOARP MTU:1500 Metric:1</DIV><DIV> </DIV><DIV>Wenn ja, was kann ich dagegen tun ?</DIV><DIV>Die config der interfaces ist nicht von mir; bekam ich fertig
geliefert von STRATO, im Rahmen</DIV><DIV>meines fertigen V-Servers mit SuSE 10.3.</DIV><DIV>Wenn da was falsch/unsauber ist, ändert es nichts daran, daß andere V-Server ebenfalls betroffen sind. </DIV><DIV>Und als Open Relays mißbraucht werden können.</DIV><DIV> </DIV><DIV> </DIV><DIV>ifcfg-venet0:</DIV><DIV>-----------------</DIV><DIV>STARTMODE=onboot<BR>BOOTPROTO=static<BR>BROADCAST=0.0.0.0<BR>NETMASK=255.255.255.255</DIV><DIV>####Naechstes Zeile raus ???????<BR>IPADDR=127.0.0.1<BR>IPADDR_0=85.214.72.27<BR>LABEL_0=0<BR></DIV><DIV>----------------</DIV><DIV> </DIV><DIV>Finde ich ja gut, daß wir so öffentlich über mögliche Lücken</DIV><DIV>in den V-Servern von STRATO diskutieren müssen, um echte Abhilfe</DIV><DIV>schaffen zu können :-)</DIV><DIV>So lernen die "Bad Guys".</DIV><DIV> </DIV><DIV> </DIV></FONT></PRE></BLOCKQUOTE></B></td></tr></table><br>