backscatter??

[firsthouse]

Hallo erstmal.

Seit etwa einer Woche habe ich auf einem meiner Server das Problem das wir von T-Online geblockt werden. Mails an T-Online werden zurückgeschickt mit dem Vermerk:

Connected to 194.25.134.72 but greeting failed.
Remote host said: 554 IP:123.123.123 - A problem occurred. (Ask your postmaster for help or to contact tosa@rx.t-online.de to clarify.) I'm not going to try again; this message has been in the queue too long.

Die Sichtung der Log´s hat ergeben, das der Zeitpunkt mit einer Spam-Welle mit gefälschten Headern von T-Online Adressen zusammenfällt. Daraus ergeben sich dann s.g. backscatter.

Im Mail-Kontakt mit ABUSE@RX.T-ONLINE.DE sind wir nun aufgefordert worden dafür Sorge zu tragen, dass diese backscatter für den SMTP Dialog gekennzeichnet werden.

Ich habe daraufhin eine Mail an eine nicht existente T-Online Adresse geschrieben und an besagten Server. Der Header unterscheidet sich wie folgt:

Mein Server:

Hi. This is the qmail-send program at ******.serverkompetenz.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<klajsdflökj@domain.de>:

--- Below this line is a copy of the message.

T-Online:

Hi. This is the qmail-send program at ******.serverkompetenz.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<alsködjfölaskdjf654564654asdfasdf@t-online.de>:
194.25.134.72 does not like recipient.
Remote host said: 553 5.1.1 Invalid recipient address.
Giving up on 194.25.134.72.

--- Below this line is a copy of the message.

Meine Fragen sind:
Handelt es sich bei den drei Zeilen um den Hinweis auf einen backscatter??

Auf unserem Server ist qmail installiert. Wie kann ich nun qmail beibringen, entsprechend zu antworten.

Ich habe bereits im Forum gesucht. Hier habe ich nur einen Eintrag gefunden bounces generell zu unterdrücken. Das ist hier doch sicher nicht der richtige Weg?!?

Bin für jede Hilfe dankbar.

 

[LinuxAdmin]

Hier habe ich nur einen Eintrag gefunden bounces generell zu unterdrücken. Das ist hier doch sicher nicht der richtige Weg?!?

Backscatter entsteht, wenn Du eine Mail zunächst annimmst und sie dann später doch ablehnst.
Wenn Du eine Mail ablehnen willst (weil Dir die Hintergrundfarbe nicht gefällt, etc...) musst Du das tun, bevor die Mail-Transaktion beendet wurde, d.h. bevor die "250 OK"-Antwort auf das Ende des DATA-Blocks gesendet wird.
Sobald Du eine Mail einmal angenommen hast, musst Du sie "behalten", d.h. entweder an die User zustellen, in einen SPAM-Ordner ablegen, oder --falls Deine User das zulassen-- sie direkt löschen.

An diese Regeln sollte man sich halten, wenn man sich nicht bei allen Postmastern dieser Welt unbeliebt machen will

LinuxAdmin

PS: Die Fehlermeldung von t-online ist kein direkter Hinweis auf Backscatter, sonder besagt nur, dass Du bei denen auf einer "schwarzen Liste" stehst.

 

[Arcade Fire]

Hallo LinuxAdmin

Sitze mit Firsthouse an dem selben Server.
Wir haben uns da vermutlich etwas krumm ausgedrückt.

Also:
Seit etwa einer Woche stehen wir auf einer Blacklist bei T-Online.
Auf Anfrage an T-Online warum wir auf dieser Liste seien bekamen wir die Antwort:

auf Grund der unverhältnismäßig hohen Menge an Junkmail, die wir empfangen (z. B. Bounces, hervorgerufen durch vireninfizierte Rechner, Spammer, etc.) und/oder entsprechender Beschwerden, wurde die IP des von Ihnen verwendeten Mailservers gesperrt, um die Verfügbarkeit unseres Mailsystems zu gewährleisten.

Gewöhnlich werden solche IPs innerhalb von 24 Stunden entsperrt, da wir davon ausgehen, daß die Ursachen dann behoben sein sollten. Leider sehen wir derzeit keine andere Möglichkeit auf die Millionen von Junkmails, die uns stündlich erreichen, zu reagieren.

Das hat sich bis heute auch nicht geändert.
Die Sichtung unserer LOGFILES hat ergeben:

Sperrung seit dem 11.09.
Erhöhtes Spam-Aufkommen mit gefälschten headern mit t-online Absendern an diesem Tag.

Die Mails sind an nicht vorhandene User unseres Servers geschickt worden. Unser Server hat daraufhin die entsprechenden MAILER DAEMON an die gefakten T-ONLINE Adressen zurückgeschickt.

Das haben wir T-Online via Mail mitgeteilt.

Die Antwort von T-ONLINE:

wenn es sich um Bounces Ihres Systems auf Grund bei Ihrem System eingetroffener Mails mit gefälschten Absendern handelt werden die Mails nicht an den ursprünglichen Versender zurückgesandt, denn die Mails haben Sie nicht von unserem System erhalten. Wir haben unsere Systeme deshalb dahingehend angepasst, dass solche netzschädigenden sog.
"backscatter"[1] Mails nicht mehr versandt werden, da ein solches Verhalten lediglich die Netzgemeinde verärgert und nicht den vorgesehenen Zweck der Benachrichtigung des Absenders über Unzustellbarkeit erfüllt. Stattdessen wird eine Ablehnung direkt im SMTP Dialog vorgenommen, so dass das einliefernde System direkt selbst damit umgehen kann.

Um zu prüfen, ob unser Server ähnlich dem T-Online Server bei nicht vorhandenem User reagiert haben wir also an eine nicht existierende T-Online Adresse eine Mail geschickt und das gleiche bei unserem Server.

Der Unterschied im Mailheader ist:

194.25.134.72 does not like recipient.
Remote host said: 553 5.1.1 Invalid recipient address.
Giving up on 194.25.134.72.

Meine Fragen sind:
Handelt es sich bei diesen drei Zeilen um den Hinweis auf einen backscatter??

Auf unserem Server ist qmail installiert. Wie kann ich nun qmail beibringen, entsprechend zu antworten.

Hoffe es ist nun verständlich.

Achja. unser Server nimmt die Mails nur in soweit entgegen, das er prüft ob der User existent ist. Ist das Postfach nicht vorhanden wird ein Mailer Daemon erstellt. Ich dachte das wäre so i.O.!

Sep 11 07:13:05 h1133908 qmail: 1189487585.420076 new msg 8192996
Sep 11 07:13:05 h1133908 qmail: 1189487585.420274 info msg 8192996: bytes 2437 from <091292523-0001d@t-online.de> qp 4969 uid 60000
Sep 11 07:13:05 h1133908 qmail: 1189487585.571112 starting delivery 436965: msg 8192996 to local domain.de-culinarybloomington@domain.de
Sep 11 07:13:05 h1133908 qmail: 1189487585.571342 status: local 1/10 remote 8/20
Sep 11 07:13:05 h1133908 qmail: 1189487585.740595 delivery 436965: failure: Sorry,_no_mailbox_here_by_that_name._vpopmail_(#5.1.1)/
Sep 11 07:13:05 h1133908 qmail: 1189487585.903203 bounce msg 8192996 qp 4992
Sep 11 07:13:05 h1133908 qmail: 1189487585.903253 end msg 8192996

 

[Huschi]

Ich glaube Du suchst danach:
Plesk/Qmail: Bounce-Mails unterbinden

huschi.

 

[Arcade Fire]

Eigentlich nicht. Ein Bounce ist doch ein Mailer Daemon, der dem Absender mitteilt, das die Nachricht nicht zustellbar ist. Das macht doch wohl Sinn. Wenn ich das abstelle bekommmen doch auch all diejenigen keinen MD, die sich einfach vertippen und müssen dann davon ausgehen, Mail ist angekommen.

Auf unserem Server läuft auch kein Plesk, so dass ich die Einstellungen so nicht testen kann.

Wenn ich die Mail von t-online richtig verstanden habe müssen wir nur im SMTP Dialog mitteilen, das es sich um eine gebouncte Mail handelt - oder??

Meiner Meinung nach erfüllen wir das mit dem MailerDaemon.

Habe noch mal nach Backscatter gegoogelt und den von T-Online erhaltenen Link gesichtet, leider für Postfix:

Postfix Backscatter Howto

Hier steht das ein Backscatter eine Mail ohne Absender ist:

When a spammer or worm sends mail with forged sender addresses, innocent sites are flooded with undeliverable mail notifications. This is called backscatter mail. With Postfix, you know that you're a backscatter victim when your logfile goes on and on like this:

Dec 4 04:30:09 hostname postfix/smtpd[58549]: NOQUEUE: reject:
RCPT from xxxxxxx[x.x.x.x]: 550 5.1.1 <yyyyyy@your.domain.here>:
Recipient address rejected: User unknown; from=<>
to=<yyyyyy@your.domain.here> proto=ESMTP helo=<zzzzzz>

Somit glaube ich mittlerweile das es sich bei uns nicht um einen backscatter handelt, sondern T-online uns auf Grund der Menge der MailerDaemon an die gefälschten t-online adressen sperrt. Habe das mal an t-online gemailt.
Werde die Antwort, so ich eine bekomme, hier posten.

Für weitere Tipps bin ich dankbar.

 

[LinuxAdmin]

Wenn eine Mail nicht zugestellt werden kann, weil ein Benutzer nicht existiert, muss nicht Dein Mailer-Daemon/MTA eine Bounce-Mail erzeugen, sondern der einliefernde MTA.
D.h. wenn man die Session mitprotokolliert, muss es so aussehen:

[COLOR="SeaGreen"]220 deinserver.de ESMTP[/COLOR] 
[COLOR="RoyalBlue"]HELO einliefernder.mta.com[/COLOR]
[COLOR="SeaGreen"]250 deinserver.de[/COLOR]
[COLOR="RoyalBlue"]MAIL FROM: <irgend@jemand.de>[/COLOR]
[COLOR="SeaGreen"]250 2.1.0 Ok[/COLOR]
[COLOR="RoyalBlue"]RCPT TO: <kennich.nicht@deinserver.de>[/COLOR]
[COLOR="Red"]550[/COLOR] [COLOR="SeaGreen"]5.1.1 <kennich.nicht@deinserver.de>: Recipient address rejected: User unknown in relay recipient table[/COLOR]
[COLOR="RoyalBlue"]QUIT[/COLOR]
[COLOR="SeaGreen"]221 2.0.0 Bye[/COLOR]

An der 500er-Fehlermeldung erkennt der Einlieferer, dass was nicht stimmt und benachrichtigt den Absender. Da der Einlieferer bei den gefälschten Mails ein Spammer ist, macht er sich normalerweise nicht die Mühe eine Bounce-Message zu generieren, sondern macht einfach mit der nächsten SPAM-Mail weiter -- und t-online bekommt nichts von der ganzen Sache mit -- so soll es sein.
Und wenn Du mal eine Mail an einen nicht-existierenden Empfänger schickst, wird Dir bei genauerem Hinsehen auffallen, dass die Bounce-Mail von Deinem Server kommt und nicht vom Empfänger-Server.

Viele Grüße,
LinuxAdmin

 

[Arcade Fire]

Hallo Linux Admin,

wenn ich dich richtig verstehe kann ich die bounce dann entsprechend abschalten. jetzt müßte ich nur noch wissen wie ich das auf unserem Server erledigen kann.

Wie gesagt haben wir auf unserem Server qmail installiert. das admin-tool ist server24 oder auch visas - strato halt.

gibt es bei qmail ein entsprechendes config file??

danke für die schnellen antworten.

 

[Huschi]

das admin-tool ist server24 oder auch visas

Tja, das konnte ich ja nicht wissen. Bei Qmail hab ich halt immer erstmal das viel verbreiterte Plesk im Verdacht.
Für SA24/Visas kann ich nur ein kompliziertes Workaround anbieten:
"qmail-queue" umbenennen und an seiner Stelle ein kleines Script setzen, welches erstmal ein paar Zeilen empfängt, diese durchforstet nach "From: MAILER-DAEMON" und ggf. solche Emails gleich verwirft. Wenn eine andere "From:"-Zeile auftaucht kann der vollständige Input an die umbenannte qmail-queue gepiped werden.

huschi.