Mail von bestimmten Absendern nicht annehmen

[skydrak]

Hallo,

ich habe ein kleines Problem mit Postfix und den header_checks.

Ich bin wohl auf irgendeiner Spamliste gelandet und werde die letzten Tage enorm zugespammt.

Jedoch sind die Mails eigentlich gut zu filtern; jede E-Mail hat im Header folgende Zeichenkette:

bounce-25823-9987903075-user=domain.to@beliebiegeabsenderdomain.tld

Die Zahl hinter dem Bounce variiert immer, jedoch ist die Zeichenkette 9987903075-user=domain.to immer enhalten.

Ich habe schon versucht diese E-Mails mit den header_checks von Postfix zu rejecten:

/^From:.*bounce-+[0-9]-9987903075-user=domain.to/ REJECT SPAM

Leider greift die Regel nicht und die E-Mails gehen weiterhin durch. Hat jemand 'ne Idee wie man diese E-Mails trotzdem blockieren kann?

Beste Grüße,
Pascal

 

[Huschi]

Ich denke in der Regex hast Du einen dreher drin:

/^From:.*bounce-+[0-9]-9987903075-user=domain.to/ REJECT SPAM

bounce-[0-9]+-9987903075

Sorry wenn ich frage, aber wegen Ausschlußverfahrung:
Einbindung in Postfix ist geprüft?

huschi.

 

[skydrak]

Ja, Einbindung passt. Andere Regeln greifen. ich werd's gleich mal testen, danke für den Tipp.

Habe die Regeln eben einmal angepasst und testweise per Telnet eine E-Mail eingeliefert, die matchen müsste, geht aber normal durch. Die Regeln sehen jetzt so aus:

^Sender:.*bounce-[0-9]+-9987903075/ REJECT SPAM SENDER
/^(From|Return-Path):.*bounce-[0-9]+-9987903075/ REJECT SPAM FROMRETURNPATH

Hier mal der Header einer dieser Spammails:

Return-Path: <bounce-25912-9987903075-user=domain.to@mussto.net>
X-Original-To: user@domain.to
Delivered-To: user@domain.to
X-Greylist: delayed 464 seconds by postgrey-1.32 at nsXXXXXX.ovh.net; Tue, 29 Jan 2013 03:02:01 CET
Received: from smtp.mussto.net (unknown [142.0.45.244])
by XXXXXX.ovh.net (Postfix) with ESMTP id 956896060E
for <user@domain.to>; Tue, 29 Jan 2013 03:02:01 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed; s=k1; d=mussto.net;
h=Mime-Version:Content-Typeate:To:Reply-To:From:Subject:Message-ID; i=contact@mussto.net;
bh=T1feahM9/H+7tfa8FRRQ2Q1ZbO4=;
b=M83aLWTqKhrjbRANjWIVB5unM1QFSOXRKsqf8KReiZFnBxH5MIvfAuMQOg2uegycIHpqwuwfGCEp
mxkhQavf8L92w3ocI1g94he0QwcbwJ60xCrSU2LMsXdZpeIbABPDIDgVkPLpIhe28FW6YTw3LCE4
pd9lcoCXtw2eMmq7i0c=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=k1; d=mussto.net;
b=dZbtzfZJ+NkiB05qalARgZ9pejggS28UlQMeZlJAcMqJ/eYwckRXkamFvM67nknm3HG0P1i540hF
ihdmGUL5/CYdrdYJYgPEj2rWQVYSGQ+KLt6Dqffp0bjWu3KyuTK7PeIUv2u0GBx367HeVUAX2PEX
JAN5aGzsuftfTMzW3Ck=;
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="c58f850c1f23fbc316c46e2f2d907d441b0a32fd"
Date: Mon, 28 Jan 2013 20:53:53 -0500
To: <user@domain.to>
Reply-To: "BBPeopleMeet Dating" <contact@mussto.net>
From: "BBPeopleMeet Dating" <contact@mussto.net>
Subject: See Photos of Big and Beautiful Singles - Free to Look
Message-ID: <0.0.9987903075.uygdq253534e63pmgxi45696.0@mussto.net>

 

[Joe User]

Bitte die Ausgabe posten:

postconf -n

 

[skydrak]

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
body_checks = pcre:/etc/postfix/body_checks
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
header_checks = pcre:/etc/postfix/header_checks
inet_interfaces = all
mailbox_size_limit = 0
message_size_limit = 1073741824
mydestination = nsXXXXXX.ovh.net, localhost, localhost.localdomain
myhostname = nsXXXXXX.ovh.net
mynetworks = 127.0.0.0/8
recipient_delimiter = +
relayhost = 
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_rbl_client sbl.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net, check_policy_service inet:127.0.0.1:10023
smtpd_sasl_auth_enable = yes
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/mail
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_limit = 0
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_uid_maps = static:5000

 

[Huschi]

Ich hab Deine späteren Änderungen leider nicht mit bekommen, da ich den "gleich mal testen" sofort gesehen habe.

^Sender:.*bounce-[0-9]+-9987903075/ REJECT SPAM SENDER
/^(From|Return-Path):.*bounce-[0-9]+-9987903075/ REJECT SPAM FROMRETURNPATH

Ist es ein Typo oder ein Cut+Paste-Fehler, dass die erste Zeile kein Slash enthält?
Probier doch mal eine Klammerung:
bounce-([0-9]+)-9987903075

Ich habs gerade kurz getestet. Die Regex scheint im Prinzip OK zu sein:

perl -e '$e="Return-Path: <bounce-25912-9987903075-user=domain.to@mussto.net>"; print "YES\n" if ($e =~ /^(From|Return-Path):.*bounce-([0-9]+)-9987903075/)'

huschi.

 

[skydrak]

War nur ein Cut+Paste-Fehler. Habe die Regeln mal mit Klammern eingefügt; aber trotzdem geht die Mail durch:

Jan 29 14:47:24 nsXXXXXX postfix/smtpd[6359]: connect from localhost.localdomain[127.0.0.1]
Jan 29 14:47:33 nsXXXXXX postfix/smtpd[6359]: E46AA60612: client=localhost.localdomain[127.0.0.1]
Jan 29 14:47:38 nsXXXXXX postfix/cleanup[6362]: E46AA60612: message-id=<20130129134733.E46AA60612@nsXXXXXX.ovh.net>
Jan 29 14:47:38 nsXXXXXX postfix/qmgr[6357]: E46AA60612: from=<bounce-25912-9987903075-user=domain.to@mussto.net>, size=405, nrcpt=1 (queue active)
Jan 29 14:47:38 nsXXXXXX postfix/virtual[6363]: E46AA60612: to=<user@domain.to>, relay=virtual, delay=10, delays=10/0/0/0.13, dsn=2.0.0, status=sent (delivered to maildir)

 

[Huschi]

Gib doch mal die ganze header_checks-Datei an.
Denn evtl. greift schon vorher ein Pattern. Dann wird nämlich abgebrochen und die nächste Header-Zeile durch die header_checks gejagt.

huschi.

 

[Joe User]

http://www.postfix.org/header_checks.5.html --> BUGS

 

[skydrak]

Hier die ganzen header_checks

/SEMINARIOSENABRIL.NET/ REJECT SPAM
/mkt-evolution.org/ REJECT SPAM
/^Subject: Hey Stranger! This is +[a-zA-Z]/ REJECT SPAM
/talleresdevanguardia.info/ REJECT SPAM
/viptrainingtoday.info/ REJECT SPAM
/viptrainings.info/ REJECT SPAM
/viptraining.info/ REJECT SPAM
/CL-T190-322CN.com/ REJECT SPAM
/^Subject: You have a PRIVATE message from +[a-zA-Z]/ REJECT SPAM
/flmsecure.com/ REJECT SPAM
/fling.com/ REJECT SPAM
/°(From|Return-Path):.*SeniorPeopleMeet.com*/ REJECT SPAM
/^From: "Ecig/ REJECT SPAM
/^From: "Facebook_Dating/ REJECT SPAM
/^Sender:.*bounce-([0-9]+)-9987903075/ REJECT SPAM SENDER
/^(From|Return-Path):.*bounce-([0-9]+)-9987903075/ REJECT SPAM FROMRETURNPATH
/^From: "SeniorPeople/ REJECT SPAM
/smtp2e19.ip-zone.com/ REJECT SPAM

@ Joe User,
demnach wird der Return-Path ja noch untersucht und dann müsste die Regel ja eigentlich greifen. Oder stehe ich gerade auf dem Schlauch?

 

[Huschi]

Ich muss zu geben, dass ich ebenfalls etwas Ratlos bin.
Du könntest folgendes Probieren:

a) In der master.cf "smtpd -vv" setzen und hoffen, dass Postfix gesprächig genug ist um auch die header_checks einzeln aufzuführen.

Wenn nicht:
b) Als erste Zeilen in der header_checks:

!/^(From|Return-Path):.*bounce-([0-9]+)-9987903075/  INFO test-bounce FAILED
/^(From|Return-Path):.*bounce-([0-9]+)-9987903075/  INFO test-bounce YES

(Bedenke: Danach funktioniert natürlich keine andere Regel mehr.)
Wenn nach einem Test im Logfile "test-bounce YES" zu finden ist, würde ich den Code jeweils eine Zeile weiter runter schieben bis es nicht mehr geht.
Wenn von Anfang an kein YES kommt, dann gibt es ein anderes Problem.
(Nicht das schönste Debugging, aber es tuts.)

huschi.

 

[skydrak]

Zu a) sehr viel Information - aber leider nichts zu den header_checks.

habe dann b) ausgeführt und von Anfang an kam test-bounce FAILED.

CC7060612: reject: header Received: from localhost.localdomain (localhost.localdomain [127.0.0.1])??by nsXXXXXX.ovh.net (Postfix) with SMTP id 2CC7060612??for <user@domain.to>; Tue, 29 Jan 2013 17:38:45 +0100 (CET) from localhost.localdomain[127.0.0.1]; from=<bounce-25912-9987903075-user=domain.to@mussto.net> to=<user@domain.to> proto=SMTP: 5.7.1 test-bounce FAILED

Musste reject nehmen, da er INFO nicht mochte:

 warning: unknown command in header_checks map: INFO test-bounce FAILED

 

[Huschi]

Dann ist das ein etwas älterer Postfix. In dem Falle wäre noch "WARN" ein gültige Logging-Action.

Hast Du die Reihenfolgen von FAILED und YES mal umgedreht? (Für den Fall, dass das Pattern immer noch inkorrekt ist.)

Ansonsten muss ich auch erstmal nachdenken...

huschi.

 

[skydrak]

Hab jetzt erst deine Antwort gelesen - sorry. Ich hab nicht aufgegeben und es letzten Endes hinbekommen.

Der Ansatz mit dem header_check war falsch. Ich habe es nun mit check_sender_access realisiert, gleiche Regel und es funktioniert!

postmap -q bounce-26219-9987903075-user=domain.to@uegcn.net regexp:/etc/postfix/sender.regexp
REJECT
postmap -q bounce-26217-9987903075-user=domain.to@umneh.net regexp:/etc/postfix/sender.regexp
REJECT

Vielen Dank nochmal für deine sehr ausführliche Hilfe!