Mails mit meinem Absender an meine Adresse

[Paulaner]

Hallo Zusammen,

ich habe heute eine eMail mit meiner Absenderadresse an meine eigene Adresse erhalten.

Also ich@meinedomain.de hat eine eMail von ich@meinedomain.de bekommen. (inkl. verseuchtem Anhang)

Im Maillog kann ich sehen, dass diese eMail von einer vietnamesischen IP an meinen Server übergeben wurde.

Ich frage mich jetzt: warum geht das? Ich habe keinen "Open-Relay" und ich würde auch sagen, dass das kein Fall für "Open-Relay" wäre, da die Zieladresse und die Absenderadresse ja von meinem Server stammen.

Kann ich meinem Postfix irgendwie beibringen, dass es Mails an meine Domains, auch nur von sich selbst annimmt?

Kann ich überhaupt irgendwie verhindern, dass fremde Server meine eMails missbrauchen? außer SFP? Das bietet der Anbieter meines V-Server nämlich leider noch nicht :-(

Habt ihr Ideen?

Viele Grüße
Paulaner

 

[GwenDragon]

Dein SMTP-Server deines Servers der aus dem Internet empfangende. Das ist ok.
Jeder muss Mails mit dieser Adresse an dich senden können.
Du solltest dein "Postamt" nicht mit einer "Clubmitgliedschaft" verbinden und nur ausgewählte Absender "Clubausweis" (=Login/Anmeldung) zulassen.
Oder soll dir niemand von Außen Mails zusenden können?

Aber du kannst Server aus anderen Ländern per iptables
Dauerhaft mit iptables blocken
oder Nullrouting blockieren:
route add -host IP.IP.IP.IP reject
route add -host NETWORKIP/MASK reject

 

[Paulaner]

doch klar sollen auch andere Server mir eMails schicken können. ABER NICHT: mit mir als Absender. Da kann ja was nicht stimmen.

Wenn Server X behauptet, er hätte eine eMail von ich@meinedomain.de für MICH, dann kann mein Server doch so schlau sein, dass er weiß, dass er diese eMail nicht versendet hat und diese Mail daher nicht wirklich von MIR sein kann. Oder sehe ich das falsch?

Das versucht man doch auch mit dem SPF-Records zu verhindern, oder?
Alternativen gibt es für so einen Fall also nicht?

 

[GwenDragon]

Der Server ist nicht automatisch schlau, es können Regeln beim Einliefern definiert werden.

Du willst also vor dem Einliefern prüfen.

Wenn
Absender == Mailadressen der Domains auf Server
und
Kein Login
dann
Mail abweisen


Oder was genau?

 

[Paulaner]

ja. so in etwa hätte ich mir das vorgestellt.

Scheint aber wohl nicht üblich zu sein, was?

Mich hat es einfach nur überrascht, dass mein Server eine Mail von einem anderen Server annimmt, deren Absenderadresse offentsichtlich falsch ist, weil sie eben sonst von sich selbst kommen müsste ;-)

 

[GwenDragon]

Plese read the fine manual at http://www.postfix.org/ADDRESS_VERIFICATION_README.html#forged_sender

 

[ThomasChr]

Müsste da nicht SPF helfen?
Wenn du einen SPF Record hinter deiner Domain hinterlegst und Postfix konfigurierst dass er SPF beachtet ( https://help.ubuntu.com/community/Postfix/SPF ) sollte doch alles fein sein.

Thomas

 

[Deleted member 4401]

SPF check funktioniert leider nur auf dem Papier gut, das Problem ist dass viele Domains immer noch keine SPF Records haben was zu einem ziemlichen Kollateralschaden führt wenn man solche Mails ablehnt.

Das gleiche Problem gibt es leider auch bei der von GwenDragon verlinkten Methode: Entweder muss man jede Sender-Domain händisch einpflegen was einen Kampf gegen Windmühlen bedeuted, oder man riskiert wieder einen Kollateralschaden und lehnt auch legitime Mails ab.

Die Methode mit der man Backscatter blockt sollte hier besser funktionieren:
http://www.postfix.org/BACKSCATTER_README.html

 

[d4f]

das Problem ist dass viele Domains immer noch keine SPF Records haben was zu einem ziemlichen Kollateralschaden führt wenn man solche Mails ablehnt.

Nur wenn man auch Emails OHNE Spf ablehnt. Hier gäbe es ja nen SPF Record der nur nicht passt. Allerdings kann man SPF aus einem anderen Grund als gescheitert ansehen; Email forwarding funktioniert kaum bis gar nicht damit da dann auch der Absender falsch ist.
SPF lässt sich also nur zur Absendervalidierung bei positiver Übereinstimmung einsetzen aber nicht zur Ablehnung/Abstufung was die Grundidee hier ad absurdum führt.

Für Exim gibt es integrierte Schutzlösungen welche man nur aktivieren muss, für Postfix gibt es das sehr schlanke policyd-weight (übrigens für Exim mit einem Wrapper auch), zusätzlich gibt es natürlich Spamassassin und Co. Mit solchen Setups werden solche Emails gut rausgefiltert ohne grossen Kollateralschaden zu verursachen.

 

[GwenDragon]

Ich würde ja auch eher einen Spamfilter nehmen und solche seltsame Mails per Regel markieren, aber der TE wollte ja eine abweisende Lösung für Postfix.

 

[d4f]

Ich würde ja auch eher einen Spamfilter nehmen und solche seltsame Mails per Regel markieren, aber der TE wollte ja eine abweisende Lösung für Postfix.

Policyd-weight ist von Natur aus ein Proxy (reagiert nach RCPT) und Spamassassin kann als solcher konfiguriert werden (reagiert nach DATA). Somit werden suspeke Nachrichten wie vom TE gewünscht direkt abgewiesen und nicht wie viel öfter üblich angenommen und dann markiert oder bounced. Zumal im Fall Spamassassin hat das jedoch negative Folgen für den Ressourcenverbrauch und kann bei vielen gleichzeitigen Nachrichten den Mailserver temporär überlasten.

 

[Whistler]

Im Maillog kann ich sehen, dass diese eMail von einer vietnamesischen IP an meinen Server übergeben wurde.

Bei Vetnam klingelt bei mir was. Es gab dort mal einen ISP, der seine IPs alle mit dem RDNS "localhost" versehen hat.
Check' doch mal Deine Konfiguration (z.B. check_reverse_client_hostname_access).

 

[illfated]

Ich habe das gleiche/ähnliche Problem.
Andauernd habe ich unmengen an Spam und Viren von mir selbst bekommen (scanner@meineDomain.com, copier@meineDomain.com und sogar von meinem richtigen Account meineDomain@meineDomain.com)

Nachdem ich einige Postfix hardening tutorials gelesen und benutzt habe ist es besser geworden. Angewandt habe ich unter anderem SPF, OpenDKIM, Postscreen/submission.

Selbst über Telnet kann ich inzwischen keine Mails mehr verschicken (was vorher ging):

220-berlin.domain.com ESMTP Postfix (Debian/GNU)
helo berlin.domain.com
250 berlin.domain.com
mail from:<domain@domain.com>
250 2.1.0 Ok
rcpt to:<domain@domain.com>
550 5.5.1 Protocol error
data
554 5.5.1 Error: no valid recipients
.

Jedoch schaffen die Virenschleudern es anscheinend dennoch dass im Header steht dass sie Local versendet wurde, oder seh ich das falsch? Wie geht das?

Return-Path: <copier@meineDomain.com>
Delivered-To: domain@meineDomain.com
Received: from localhost (localhost [127.0.0.1])
	by berlin.meineDomain.com (Postfix) with ESMTP id 617EE1A122D
	for <domain@meineDomain.com>; Fri, 29 Apr 2016 10:29:33 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=meineDomain.com; s=mail;
	t=1461918573; bh=30qYLVMTEQ5XH7vzJP21sbK1c/zmCAUcoeC/kuRch7o=;
	h=From:To:Subject:Date;
	b=QksHx0wYpG4nYRoQ7BWHDP+VjvtTeLGXK3ezje84HXS3FwDdgsJL6OsK0/GLq3/pz
	 ek9NTnujZnFRh+0cLrpNX/t+kWKpmfnMbHklfJ+iE0OK7ijBepxBDl/sigXSq3RUPZ
	 akd0ufabXl+hvwGM7ER03q6fLylKKwMg8yHKlW2A=
X-Virus-Scanned: Debian amavisd-new at berlin.meineDomain.com
X-Spam-Flag: YES
X-Spam-Score: 10.964
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.964 tagged_above=1 required=4.5
	tests=[RCVD_IN_BL_SPAMCOP_NET=1.246, RCVD_IN_BRBL_LASTEXT=1.644,
	RCVD_IN_MSPIKE_BL=0.01, RCVD_IN_MSPIKE_L5=2.373, RCVD_IN_PSBL=2.7,
	RCVD_IN_RP_RNBL=1.284, RCVD_IN_XBL=0.724, SPF_SOFTFAIL=0.972,
	TVD_SPACE_RATIO=0.001, T_MIME_NO_TEXT=0.01]
	autolearn=no autolearn_force=no
Received: from berlin.meineDomain.com ([127.0.0.1])
	by localhost (berlin.meineDomain.com [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id IeJijIWoLmhX for <domain@meineDomain.com>;
	Fri, 29 Apr 2016 10:29:32 +0200 (CEST)
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=202.1.199.1; helo=dedicated763.dhivehinet.net.mv; envelope-from=copier@meineDomain.com; receiver=domain@meineDomain.com 
Received: from dedicated763.dhivehinet.net.mv (dedicated763.dhivehinet.net.mv [202.1.199.1])
	by berlin.meineDomain.com (Postfix) with ESMTP id 00D8B1A1229
	for <domain@meineDomain.com>; Fri, 29 Apr 2016 10:29:29 +0200 (CEST)
X-Priority: 3 (Normal)
From: copier@meineDomain.com
To: "meineDomain"
 <domain@meineDomain.com>
Subject: ***SPAM***Attached Doc
Date:Fri, 29 Apr 2016 13:29:24 +0500
Message-Id: <8994861733651.0001.canonTxNo.1690@canon70EF8.meineDomain.com>
Mime-Version: 1.0
Content-Type: multipart/mixed;
 boundary="11FE2AB44CCF14B3D12067407"

Client IP und HELO kommen aus den Malediven

Mail.info:

Apr 29 10:29:23 berlin postfix/postscreen[19871]: CONNECT from [202.1.199.1]:40875 to [SERVERIP]:25
Apr 29 10:29:29 berlin postfix/postscreen[19871]: PASS NEW [202.1.199.1]:40875
Apr 29 10:29:29 berlin postfix/smtpd[19875]: connect from dedicated763.dhivehinet.net.mv[202.1.199.1]
Apr 29 10:29:29 berlin policyd-spf[19886]: None; identity=helo; client-ip=202.1.199.1; helo=dedicated763.dhivehinet.net.mv; envelope-from=copier@meineDomain.com; receiver=domain@meineDomain.com
Apr 29 10:29:29 berlin policyd-spf[19886]: Softfail; identity=mailfrom; client-ip=202.1.199.1; helo=dedicated763.dhivehinet.net.mv; envelope-from=copier@meineDomain.com; receiver=domain@meineDomain.com
Apr 29 10:29:30 berlin postfix/smtpd[19875]: 00D8B1A1229: client=dedicated763.dhivehinet.net.mv[202.1.199.1]
Apr 29 10:29:30 berlin postfix/cleanup[19887]: 00D8B1A1229: message-id=<8994861733651.0001.canonTxNo.1690@canon70EF8.meineDomain.com>
Apr 29 10:29:30 berlin opendkim[26904]: 00D8B1A1229: dedicated763.dhivehinet.net.mv [202.1.199.1] not internal
Apr 29 10:29:30 berlin opendkim[26904]: 00D8B1A1229: not authenticated
Apr 29 10:29:32 berlin postfix/qmgr[27051]: 00D8B1A1229: from=<copier@meineDomain.com>, size=6676, nrcpt=1 (queue active)
Apr 29 10:29:33 berlin postfix/smtpd[19875]: disconnect from dedicated763.dhivehinet.net.mv[202.1.199.1]
Apr 29 10:29:33 berlin postfix/smtpd[19892]: connect from localhost[127.0.0.1]
Apr 29 10:29:33 berlin postfix/smtpd[19892]: 617EE1A122D: client=localhost[127.0.0.1]
Apr 29 10:29:33 berlin postfix/cleanup[19887]: 617EE1A122D: message-id=<8994861733651.0001.canonTxNo.1690@canon70EF8.meineDomain.com>
Apr 29 10:29:33 berlin opendkim[26904]: 617EE1A122D: DKIM-Signature field added (s=mail, d=meineDomain.com)
Apr 29 10:29:33 berlin postfix/qmgr[27051]: 617EE1A122D: from=<copier@meineDomain.com>, size=7551, nrcpt=1 (queue active)
Apr 29 10:29:33 berlin postfix/smtpd[19892]: disconnect from localhost[127.0.0.1]
Apr 29 10:29:33 berlin amavis[13685]: (13685-10) Passed SPAMMY {RelayedTaggedInbound}, [202.1.199.1]:40875 [202.1.199.1] <copier@meineDomain.com> -> <domain@meineDomain.com>, Queue-ID: 00D8B1A1229, Message-ID: <8994861733651.0001.canonTx$
Apr 29 10:29:33 berlin postfix/smtp[19888]: 00D8B1A1229: to=<domain@meineDomain.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=4, delays=3.3/0.02/0.01/0.71, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0$
Apr 29 10:29:33 berlin postfix/qmgr[27051]: 00D8B1A1229: removed
Apr 29 10:29:33 berlin dovecot: lda(domain@meineDomain.com): sieve: msgid=<8994861733651.0001.canonTxNo.1690@canon70EF8.meineDomain.com>: stored mail into mailbox 'Junk'
Apr 29 10:29:33 berlin postfix/pipe[19893]: 617EE1A122D: to=<domain@meineDomain.com>, relay=dovecot, delay=0.51, delays=0.25/0.03/0/0.24, dsn=2.0.0, status=sent (delivered via dovecot service)
Apr 29 10:29:33 berlin postfix/qmgr[27051]: 617EE1A122D: removed

 

[danton]

Das SMTP-Protokoll sieht eine Überprüfung der Absender-Adresse nicht vor, daher nimmt dein Server erstmal alle Mails an, die einen gültigen Empfänger auf deinem Server haben. Für die Überprüfung der Absender-Adresse wurden sowohl SPF als auch DKIM erfunden - hier kannst du dann entsprechend reagieren.
Und nein, die von dir geposteten Headerzeilen zeigen an, dass die Mail nicht lokal versendet wurde, sondern von einem externen Server kam.
Dein Telnet-Versuch zeigt einen Protokoll-Fehler an. Da ich deine Konfig nicht kenne, sagt meine Glaskugel, dass diese evtl. zu restriktiv ist und u.U. auch legitime Mails ablehnen könnte.
Außerdem solltest du deinen OpenDKIM so konfigurieren, dass er nur Mails mit einer Signatur versieht, die per Authentisierung eingeliefert werden. Geht am einfachsten, indem der nur am Submission-Port aktiviert ist und die Clients nur diesen verwenden.