Guten Tag liebe Community,
ich bin neu hier und das ist mein erster Beitrag. Verzeiht mir bitte, wenn ich irgendwelche Fehler hier mache
Es geht um folgendes:
Ich biete seit vier Jahren E-Mail Adressen für Leute an, die mich als Alternative zu anderen Anbietern sehen. In letzter Zeit ist die Anzahl der Registrierungen gestiegen (ca. 5 pro Tag) und dabei sind eben manchmal auch Spammer.
Für den Versand nutze ich SMTP direkt und darauf greift auch die Weboberfläche zu. Damit der Spam sich in Grenzen hält habe ich einen Policy-Service in Perl geschrieben, der maximal 50 Mails pro Stunde zulässt. Jedoch kommen diese Spammer immer wieder auf neue Ideen.
Normalerweise sieht es dann so aus, wenn ich versuche die Absenderadresse von der Login-Adresse zu unterscheiden:
Jede Anfrage die in den Policy reinkommt wird in eine Log-Datei (nicht dieser Auszug) geschrieben und ein erfolgreiches Senden sieht dann in der mail.log so aus:
Der Versand eines Spammers sieht dann aber so aus:
Und er kommt anscheinend nie durch den Policy-Service - wird also nicht gefiltert. Ich habe meinen SMTP-Server auf jede mögliche Weise die mir einfiel, getestet - aber ohne "Erfolg". Es ist ihm sogar möglich die Absenderadresse zu fälschen...
Zum Hintergrund vielleicht noch etwas: Es läuft ein Postfix auf Port 25 und 465 und im Hintergrund Amavis mit Spamassassin und ClamAV (die Ports sind nur lokal erreichbar).
Jetzt meine Frage: Wie kann das sein? Habe ich da etwas übersehen?
Schonmal danke im Voraus für alle die sich das ganze überhaupt angeschaut haben!
ich bin neu hier und das ist mein erster Beitrag. Verzeiht mir bitte, wenn ich irgendwelche Fehler hier mache
Es geht um folgendes:
Ich biete seit vier Jahren E-Mail Adressen für Leute an, die mich als Alternative zu anderen Anbietern sehen. In letzter Zeit ist die Anzahl der Registrierungen gestiegen (ca. 5 pro Tag) und dabei sind eben manchmal auch Spammer.
Für den Versand nutze ich SMTP direkt und darauf greift auch die Weboberfläche zu. Damit der Spam sich in Grenzen hält habe ich einen Policy-Service in Perl geschrieben, der maximal 50 Mails pro Stunde zulässt. Jedoch kommen diese Spammer immer wieder auf neue Ideen.
Normalerweise sieht es dann so aus, wenn ich versuche die Absenderadresse von der Login-Adresse zu unterscheiden:
Code:
Feb 3 22:09:03 s2 postfix/smtpd[31085]: NOQUEUE: reject: RCPT from ns353374.ovh.net[91.121.94.74]: 511 5.7.1 <ns353374.ovh.net[91.121.94.74]>: Client host rejected: Tried to fake sender! Your IP was logged.; from=<evelin-ammed@hotmail.com> to=<xxx@web.de> proto=ESMTP helo=<ns353374>
Jede Anfrage die in den Policy reinkommt wird in eine Log-Datei (nicht dieser Auszug) geschrieben und ein erfolgreiches Senden sieht dann in der mail.log so aus:
Code:
Feb 3 23:21:08 s2 postfix/smtpd[6892]: connect from ns353374.ovh.net[91.121.94.74]
Feb 3 23:21:08 s2 postfix/smtpd[6892]: 827DA2140DD8: client=ns353374.ovh.net[91.121.94.74], sasl_method=login, sasl_username=test@ico.to
Feb 3 23:21:08 s2 postfix/cleanup[6905]: 827DA2140DD8: message-id=<>
Feb 3 23:21:08 s2 postfix/qmgr[4765]: 827DA2140DD8: from=<test@ico.to>, size=455, nrcpt=1 (queue active)
Feb 3 23:21:08 s2 postfix/smtpd[6914]: connect from localhost[127.0.0.1]
Feb 3 23:21:08 s2 postfix/smtpd[6914]: EFBC62140DDE: client=localhost[127.0.0.1]
Feb 3 23:21:08 s2 postfix/cleanup[6905]: EFBC62140DDE: message-id=<20120203232108.EFBC62140DDE@sxmail.de>
Feb 3 23:21:09 s2 postfix/qmgr[4765]: EFBC62140DDE: from=<test@ico.to>, size=922, nrcpt=1 (queue active)
Feb 3 23:21:09 s2 postfix/smtpd[6914]: disconnect from localhost[127.0.0.1]
Feb 3 23:21:09 s2 amavis[28714]: (28714-18) Passed CLEAN, [91.121.94.74] [91.121.94.74] <test@ico.to> -> <xxx@web.de>, mail_id: spiJ6enusijv, Hits: -0.86, size: 455, queued_as: EFBC62140DDE, 400 ms
Feb 3 23:21:09 s2 postfix/smtp[6910]: 827DA2140DD8: to=<xxx@web.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.63, delays=0.22/0/0.01/0.4, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=28714-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EFBC62140DDE)
Feb 3 23:21:09 s2 postfix/qmgr[4765]: 827DA2140DD8: removed
Feb 3 23:21:09 s2 postfix/smtp[6915]: EFBC62140DDE: to=<xxx@web.de>, relay=mx-ha02.web.de[217.72.192.188]:25, delay=0.24, delays=0.08/0/0.05/0.1, dsn=2.0.0, status=sent (250 OK id=1RtSSC-0005L3-00)
Feb 3 23:21:09 s2 postfix/qmgr[4765]: EFBC62140DDE: removed
Der Versand eines Spammers sieht dann aber so aus:
Code:
Feb 3 18:00:58 s2 postfix/smtpd[4583]: connect from unknown[41.82.99.233]
Feb 3 18:01:02 s2 postfix/smtpd[4583]: 2EDE921414E0: client=unknown[41.82.99.233], sasl_method=LOGIN, sasl_username=jkharg86@sxmail.de
Feb 3 18:01:02 s2 postfix/cleanup[4603]: 2EDE921414E0: message-id=<34006265865616667589@xps>
Feb 3 18:01:03 s2 postfix/qmgr[17650]: 2EDE921414E0: from=<evelin-ammed@hotmail.com>, size=2244, nrcpt=1 (queue active)
Feb 3 18:01:07 s2 postfix/smtpd[4627]: connect from localhost[127.0.0.1]
Feb 3 18:01:07 s2 postfix/smtpd[4627]: D58792141684: client=localhost[127.0.0.1]
Feb 3 18:01:07 s2 postfix/cleanup[4628]: D58792141684: message-id=<34006265865616667589@xps>
Feb 3 18:01:07 s2 postfix/qmgr[17650]: D58792141684: from=<evelin-ammed@hotmail.com>, size=2678, nrcpt=1 (queue active)
Feb 3 18:01:07 s2 postfix/smtpd[4627]: disconnect from localhost[127.0.0.1]
Feb 3 18:01:08 s2 amavis[18792]: (18792-13) Passed CLEAN, [41.82.99.233] [41.82.99.233] <evelin-ammed@hotmail.com> -> <02037@chick-fil-a.com>, Message-ID: <34006265865616667589@xps>, mail_id: rTeoNQtuwj9F, Hits: 0.189, size: 2244, queued_as: D58792141684, 4949 ms
Feb 3 18:01:08 s2 postfix/smtp[4607]: 2EDE921414E0: to=<02037@chick-fil-a.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.1, delays=1.1/0.02/0.01/5, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=18792-13, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as D58792141684)
Feb 3 18:01:08 s2 postfix/qmgr[17650]: 2EDE921414E0: removed
Feb 3 18:01:09 s2 postfix/smtp[4629]: D58792141684: to=<02037@chick-fil-a.com>, relay=chick-fil-a.com.mail5.psmtp.com[64.18.5.10]:25, delay=2, delays=0.06/0.03/0.6/1.3, dsn=2.0.0, status=sent (250 Thanks)
Feb 3 18:01:09 s2 postfix/qmgr[17650]: D58792141684: removed
Und er kommt anscheinend nie durch den Policy-Service - wird also nicht gefiltert. Ich habe meinen SMTP-Server auf jede mögliche Weise die mir einfiel, getestet - aber ohne "Erfolg". Es ist ihm sogar möglich die Absenderadresse zu fälschen...
Zum Hintergrund vielleicht noch etwas: Es läuft ein Postfix auf Port 25 und 465 und im Hintergrund Amavis mit Spamassassin und ClamAV (die Ports sind nur lokal erreichbar).
Jetzt meine Frage: Wie kann das sein? Habe ich da etwas übersehen?
Schonmal danke im Voraus für alle die sich das ganze überhaupt angeschaut haben!