Spam angeblich von eigener Domain - Wie unterbinden?

W

wakko

Member
Hallo zusammen,
in letzter Zeit häufen sich Spammails mit dem Pattern
printer/scanner/documents/etc (at) meine.domain.
Das Problem wurde hier schonmal behandelt (in einem fremden Thread), allerdings ohne echte Lösung. Leider finde ich da den alten Thread nicht mehr, wollte den damals aber auch nicht "kapern".
SPF ist mir ein Begriff, habe das aber nachdem ich da über einige potentielle Nachteile (nur sinnvoll wenn alle das implementieren, mögliche Probleme bei geforwardeten Mails) erstmal außen vor gelassen.
Das mögliche Problem mit SPF beim Forwarding habe ich auch nicht ganz verstanden, denn wenn ich selbst forwarde bin ich ja selbst der Absender. Vielleicht könnte mir da jemand Nachhilfe geben.

Mailversand geht bei mir nur nach SMTP-Auth, d.h. dass alle Mails von meinen Domains auch von meiner IP stammen müssten, inkl. SMTP-Auth Flag im Header.
Gibt es eine Möglichkeit exim4 beizubringen, dass Mails mit einer vermeintlichen Adresse von meiner Domain auch von meiner IP stammen müssen? Vielleicht finde ich da die passende Exim Option nicht, oder ist das einfach nicht vorgesehen weil das irgendwelche mir unbekannten Nebenwirkungen haben kann? Vermutlich steht da wieder irgendwas mysteriöses in irgendeinem RFC, den ich noch nicht gefunden habe...
 
wakko said:
Das mögliche Problem mit SPF beim Forwarding habe ich auch nicht ganz verstanden, denn wenn ich selbst forwarde bin ich ja selbst der Absender. Vielleicht könnte mir da jemand Nachhilfe geben.
Click to expand...

Das Problem bei deinem SPF-Record sind nicht die Mails, die du auf deinem Mail-Server weiterleitest, sondern die auf einem anderen.
Einfaches Beispiel: Du hast einen SPF-Record für deine Domain, dass deine Mails nur von der IP deines Servers verschickt werden dürfen. Nun schickst du eine Mail an eine Googlemail-Adresse, bei der eine automatische Weiterleitung auf GMX eingerichtet ist. Google nimmt die Mail an, da sie von deinem Server kommt und der SPF-Record ja sagt, dass der Mails von deiner Domain verschicken darf. Google leitet die Mail nun weiter an GMX. GMX sieht immer noch deine Domain als Absender, aber sie kommt nicht von deinem Server, sondern von einem Google-Server, und lehnt die Mail daher ab.
SPF ist nur ein Regelwerk, in dem du anderen Mailservern mitteilst, was sie mit Mails, die deine Domain als Absender tragen, machen sollen. Was die mit dieser Information machen, kannst du nicht beeinflussen, du kannst nur hoffen, dass sie entsprechend deines SPF handeln (annehmen bzw. ablehnen). Daher ist SPF für dein Problem auch nicht geeignet.
 
Ohne vollständigen unverfälschten Mailheader einer dieser Spam und Deine Exim-Konfiguration können wir hier nur wild spekulieren und das hilft Dir nicht...
 
Danke an Danton für die SPF-Forwarding Erklärung. So hab ichs kapiert. :)

Ich nehme mal an, dass unverfälscht trotzdem anonymisiert sein darf. Ich habe meinen Domainnamen mit "my.domain" ersetzt und meinen User mit "my.user".
Die Absende-IP stammt aus Indien, den User "vmservice" gibt es nicht. Ich habe heute in der Mittagspause mal ein bisschen recherchiert und offenbar ist eine Zuordnung von Senderdomain+IP im Mailprotokoll einfach nicht vorgesehen.
Return-path: <vmservice@my.domain>
Envelope-to: my.user@my.domain
Delivery-date: Thu, 14 Sep 2017 13:17:16 +0200
Received: from [171.61.185.254]
by my.domain with esmtp (Exim 4.84_2)
(envelope-from <vmservice@my.domain>)
id 1dsS8y-0006xt-3Z
for my.user@my.domain; Thu, 14 Sep 2017 13:17:16 +0200
Reply-To: vmservice@my.domain
To: my.user@my.domain
From: "Voice Message" <vmservice@my.domain>
Message-ID: <9B5314F9.8B04A77E@my.domain>
Date: Thu, 14 Sep 2017 16:47:09 +0530
X-Mozilla-Draft-Info: internal/draft; vcard=0; receipt=0; DSN=0; uuencode=0;
attachmentreminder=0
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.5.0
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="------------828129517520563518570182"
X-SA-Exim-Connect-IP: 171.61.185.254
X-SA-Exim-Mail-From: vmservice@my.domain
Subject: Voice Message from 014497673288 - name unavailable
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
my.domain
X-Spam-Flag: YES
X-Spam-Level: ********
X-Spam-Status: Yes, score=8.9 required=5.0 tests=BAYES_99,BAYES_999,
HTML_MESSAGE,RCVD_IN_BRBL_LASTEXT,RCVD_IN_PBL,RCVD_IN_XBL,SPF_FAIL,
TO_EQ_FM_DOM_SPF_FAIL,URIBL_BLOCKED autolearn=no autolearn_force=no
version=3.4.0
X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:24:06 +0000)
X-SA-Exim-Scanned: Yes (on my.domain)
Click to expand...

Und welcher Teil der Exim Config wäre denn relevant? Ich benutze den exim4-daemon-heavy. Die komplette Config würde hier vermutlich nicht zur Übersichtlichkeit beitragen...
 
You must log in or register to reply here.
Back
Top