Postfix - Probleme mit Spam

W

warhammer

New Member
Hallo,

seit ein paar Tagen verschickt ein *** Spams mit einer Absenderadresse meines Servers. Ergebnis: Jeden Tag hunderte von Mails das Mails nicht zugestellt werden konnten und temporäre Sperrung der Domain bei den Mailanbietern...

Nach einigen Anpassungen sieht meine main.cf nun so aus:

Code: 
cat /etc/postfix/main.cf
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

readme_directory = no

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = vs1211055.vserver.de
alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases
alias_database = hash:/etc/aliases
mydestination = vs1211055.vserver.de, localhost.vserver.de, localhost
relayhost = 
mynetworks = 127.0.0.0/8, 62.75.211.55/32, [::1]/128
mailbox_size_limit = 51200000
recipient_delimiter = +
inet_interfaces = all
smtpd_sasl_local_domain = 
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks,reject_rbl_client zen.spamhaus.org,reject_rhsbl_helo dbl.spamhaus.org,reject_rhsbl_sender dbl.spamhaus.org
smtpd_tls_auth_only = no
smtp_use_tls = no
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
inet_protocols = all
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_alias_maps = $virtual_maps, hash:/var/spool/postfix/plesk/virtual
virtual_mailbox_maps = hash:/var/spool/postfix/plesk/vmailbox
transport_maps = hash:/var/spool/postfix/plesk/transport
smtpd_tls_security_level = may
smtp_tls_security_level = may
smtpd_timeout = 3600s
smtpd_proxy_timeout = 3600s
disable_vrfy_command = yes
smtpd_sender_restrictions = check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access pcre:/var/spool/postfix/plesk/non_auth.re,reject_unknown_sender_domain
smtp_send_xforward_command = yes
smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128
virtual_mailbox_base = /var/qmail/mailnames
virtual_uid_maps = static:110
virtual_gid_maps = static:31
virtual_transport = plesk_virtual
plesk_virtual_destination_recipient_limit = 1
mailman_destination_recipient_limit = 1
smtpd_client_restrictions = 
message_size_limit = 10240000
#smtpd_helo_restrictions = reject_unknown_helo_hostname
smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated,reject_unauth_destination
smtpd_data_restrictions = reject_unauth_pipelining

Seitdem ist auch erstmal kein Spam mehr aufgetaucht, aber da die immer stoßweise auftreten bin ich mir nicht sicher ob das jetzt so aussreicht.

Folgendes findet sich in den Logfiles wenns ne Spam gab (Statt der Hashed steht da natürlich ne gültige Domain):
Code: 
mail.info.1.gz:Oct 17 10:09:43 vs1211055 postfix/smtpd[19620]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as E03605609543; from=<##@###.de> to=<mark.e.stanley@gmail.com> proto=ESMTP helo=<###.de>
mail.info.1.gz:Oct 17 10:09:44 vs1211055 postfix/smtp[19583]: E03605609543: to=<mark.e.stanley@gmail.com>, relay=gmail-smtp-in.l.google.com[173.194.69.26]:25, delay=0.96, delays=0.29/0/0.19/0.48, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[173.194.69.26] said: 550-5.7.1 [62.75.211.55       7] Our system has detected that this message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam sent to Gmail, 550-5.7.1 this message has been blocked. Please visit 550-5.7.1 http://support.google.com/mail/bin/answer.py?hl=en&answer=188131 for 550 5.7.1 more information. f2si12220336bko.120 - gsmtp (in reply to end of DATA command))

... irgendwelche Ideen, Verbesserungsvorschläge?


Danke!
 
Vielleicht kann es helfen, deiner Domain einen SPF-Record hinzuzufügen bzw. alle ausgehenden Mails mit DKIM zu signieren, damit die Remote-Server erkennen können dass die Absenderdomain gefaked wurde.
SPF ist erstmal am schnellsten umgesetzt, du musst in beiden Fällen aber sicherstellen dass alle Nutzer E-Mails mit deiner Absenderdomain wirklich über deinen Server schicken.
 
Hm, mit dem SPF habe ich ein Problem.
Da muss ja die Domain vom Sender und vom Halo identisch sein.

Zumindest das Mail Programm vom OS X kriegt das aber nicht hin.
Da taucht dann im Postfix Log auf als Halo die Domain vom lokalen Heimnetz geschickt wird.
Soweit ja auch alles richtig, aber das dürfte sich für SPF als Problem erweisen, oder?

Das größere Problem sind aber klar die diversen "return" Mails. Damit kommt zwar Outlook und Co. soweit klar als das die da per Filter gelöscht werden. Blackberry und iPhone haben sowas aber nicht und sind ziemlich am rödeln.

Wenn ich mir das aktuelle Log ansehe, dann haben die Änderungen noch nichts gebracht:
Code: 
Oct 19 17:17:34 postfix/smtp[15829]: 120F9560952A: host mailin-04.mx.aol.com[205.188.146.194] refused to talk to me: 421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
Oct 19 17:17:35 postfix/smtp[15829]: 120F9560952A: to=<Mdipietro827@aol.com>, relay=mailin-02.mx.aol.com[205.188.190.1]:25, delay=48180, delays=48144/0.04/36/0, dsn=4.7.1, status=deferred (host mailin-02.mx.aol.com[205.188.190.1] refused to talk to me: 421 4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html)
Deutet ja darauf hin das weiter versucht wird Mails zuzustellen...
 
Last edited by a moderator:
Nein, bei SPF ist der HELO vollkommen egal.
Du hinterlegst bloß in der DNS-Zone deiner Domain einen Eintrag vom Typ TXT oder SPF in dem drinsteht, welche Server-IPs "berechtigt" sind, E-Mails mit deiner Absenderdomain zu versenden.
Was im HELO steht - erst recht im HELO vom Client - ist vollkommen egal.

Damit verhinderst du dann diese Return-Mails, da die entfernten Systeme die Mails sinnvollerweise garnicht mehr annehmen da sie erkennen dass der Absender gefaked ist.


Gleiches kann man mit DKIM und ADSP/DMARC anstellen - dort werden deine Mails vom Server mit einer Signatur versehen, die gegen deine DNS-Zone geprüft werden kann. Zusätzlich kannst du per DMARC bzw. ADSP angeben ob alle deine Mails signiert sein müssten und was mit den unsignierten passieren soll (z.B. "discard").
 
Hm,

wikipedia sagt dazu:
Hierzu prüft der Empfänger, welche Domain der Absender in den Feldern „MAIL FROM“ und „HELO“ in der SMTP-Verbindung angegeben hat. Für die angegebene Domain ruft der Empfänger die SPF-Information über das Domain Name System ab und vergleicht die IP-Adresse des sendenden MTAs mit den erlaubten Adressen. Stimmt die IP-Adresse überein, so ist der Absender authentisch, andernfalls kann die E-Mail verworfen werden.

Aber, wenn ich mir so die Nachricht von AOL ansehe, dann sieht die doch eher so aus als würde doch mein Postfix versuchen mit AOL zu reden...
 
... wieder Spams

Hier mal ein Stück Auszug aus den Logs:

grep linda@trademarkbuilders.com *
mail.info:Oct 22 17:34:52 vs1211055 postfix/smtpd[8031]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as B27D65D28078; from=<XXX.de> to=<linda@trademarkbuilders.com> proto=ESMTP helo=<XXX.de>
mail.info:Oct 22 17:34:56 vs1211055 postfix/smtp[8120]: B27D65D28078: to=<linda@trademarkbuilders.com>, relay=smtp.secureserver.net[72.167.238.29]:25, delay=4.1, delays=0.12/0/2.4/1.6, dsn=5.2.0, status=bounced (host smtp.secureserver.net[72.167.238.29] said: 552 5.2.0 gFat1m02a1CG53y01FavU5 IB212 msg rejected as spam (in reply to end of DATA command))
syslog:Oct 22 17:34:52 vs1211055 before-queue[9449]: check handlers for addr: linda@trademarkbuilders.com
syslog:Oct 22 17:34:52 vs1211055 before-remote[9450]: check handlers for addr: linda@trademarkbuilders.com
syslog:Oct 22 17:34:52 vs1211055 postfix/smtpd[8031]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as B27D65D28078; from=<XXX.de> to=<linda@trademarkbuilders.com> proto=ESMTP helo=<XXX.de>
syslog:Oct 22 17:34:56 vs1211055 postfix/smtp[8120]: B27D65D28078: to=<linda@trademarkbuilders.com>, relay=smtp.secureserver.net[72.167.238.29]:25, delay=4.1, delays=0.12/0/2.4/1.6, dsn=5.2.0, status=bounced (host smtp.secureserver.net[72.167.238.29] said: 552 5.2.0 gFat1m02a1CG53y01FavU5 IB212 msg rejected as spam (in reply to end of DATA command))

grep B27D65D28078 *
mail.info:Oct 22 17:34:52 vs1211055 postfix/smtpd[7942]: B27D65D28078: client=ratio.timeweb.ru[92.53.114.170]
mail.info:Oct 22 17:34:52 vs1211055 postfix/cleanup[7996]: B27D65D28078: message-id=<7231029531.20131022193452@XXX.de>
mail.info:Oct 22 17:34:52 vs1211055 postfix/qmgr[11523]: B27D65D28078: from=<XXX.de>, size=1427, nrcpt=1 (queue active)
mail.info:Oct 22 17:34:52 vs1211055 postfix/smtpd[8031]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as B27D65D28078; from=<XXX.de> to=<linda@trademarkbuilders.com> proto=ESMTP helo=<XXX.de>
mail.info:Oct 22 17:34:56 vs1211055 postfix/smtp[8120]: B27D65D28078: to=<linda@trademarkbuilders.com>, relay=smtp.secureserver.net[72.167.238.29]:25, delay=4.1, delays=0.12/0/2.4/1.6, dsn=5.2.0, status=bounced (host smtp.secureserver.net[72.167.238.29] said: 552 5.2.0 gFat1m02a1CG53y01FavU5 IB212 msg rejected as spam (in reply to end of DATA command))
mail.info:Oct 22 17:34:56 vs1211055 postfix/bounce[9307]: B27D65D28078: sender non-delivery notification: EA51C5D28075
mail.info:Oct 22 17:34:56 vs1211055 postfix/qmgr[11523]: B27D65D28078: removed
syslog:Oct 22 17:34:52 vs1211055 postfix/smtpd[7942]: B27D65D28078: client=ratio.timeweb.ru[92.53.114.170]
syslog:Oct 22 17:34:52 vs1211055 postfix/cleanup[7996]: B27D65D28078: message-id=<7231029531.20131022193452@XXX.de>
syslog:Oct 22 17:34:52 vs1211055 postfix/qmgr[11523]: B27D65D28078: from=<XXX.de>, size=1427, nrcpt=1 (queue active)
syslog:Oct 22 17:34:52 vs1211055 postfix/smtpd[8031]: proxy-accept: END-OF-MESSAGE: 250 2.0.0 Ok: queued as B27D65D28078; from=<XXX.de> to=<linda@trademarkbuilders.com> proto=ESMTP helo=<XXX.de>
syslog:Oct 22 17:34:56 vs1211055 postfix/smtp[8120]: B27D65D28078: to=<linda@trademarkbuilders.com>, relay=smtp.secureserver.net[72.167.238.29]:25, delay=4.1, delays=0.12/0/2.4/1.6, dsn=5.2.0, status=bounced (host smtp.secureserver.net[72.167.238.29] said: 552 5.2.0 gFat1m02a1CG53y01FavU5 IB212 msg rejected as spam (in reply to end of DATA command))
syslog:Oct 22 17:34:56 vs1211055 postfix/bounce[9307]: B27D65D28078: sender non-delivery notification: EA51C5D28075
syslog:Oct 22 17:34:56 vs1211055 postfix/qmgr[11523]: B27D65D28078: removed
Click to expand...

... im HELO steht auch meine Domain drin???
Vielleicht hat jemand ja noch eine Idee wie ich den ganzen Spuk loswerde.



Nachtrag: per postqueue -p werden mir aktuell ca. 100 Spams angezeigt. Für mich als Postfix Laie: Die werden also doch über mein Postfix verschickt? Wie kann das gehen?
 
Last edited by a moderator:
Irgendwer hat vermutlich einen angelegten Account aufgemacht und benutzt ihn nun für den Spamversand.

Vorgehen (in dieser Reihenfolge):


  • Postfix stoppen oder wenigstens den Versand "deferren"
  • grep im Log nach einer einliefernden IP, z.B. "92.53.114.170"
  • Da müssten sich informationen finden lassen, mit welchem Benutzernamen der reingekommen ist
  • Den Benutzer sperren/Passwort ändern, dann verhauen (der 2. Teil ist optional)
  • Die Queue aufräumen
 
Hm,

in den Logfiles finden sich regelmässig solche Sachen:

mail.info:Oct 22 15:03:57 vs1211055 postfix/smtpd[18044]: connect from ratio.timeweb.ru[92.53.114.170]
mail.info:Oct 22 15:03:57 vs1211055 postfix/smtpd[18044]: NOQUEUE: client=ratio.timeweb.ru[92.53.114.170], sasl_method=LOGIN, sasl_username=XX@XXX.de
mail.info:Oct 22 15:03:57 vs1211055 postfix/smtpd[18022]: 9295A56083EB: client=ratio.timeweb.ru[92.53.114.170]
mail.info:Oct 22 15:03:57 vs1211055 postfix/smtpd[18044]: disconnect from ratio.timeweb.ru[92.53.114.170]
Click to expand...

...tja, die wissen schon warum die Id**** weit weit weg sitzen. :(
 
You must log in or register to reply here.
Back
Top