Spam von meinem Server aus

N

nelf

New Member
Guten Tag liebe Community,

ich bin neu hier und das ist mein erster Beitrag. Verzeiht mir bitte, wenn ich irgendwelche Fehler hier mache :)


Es geht um folgendes:

Ich biete seit vier Jahren E-Mail Adressen für Leute an, die mich als Alternative zu anderen Anbietern sehen. In letzter Zeit ist die Anzahl der Registrierungen gestiegen (ca. 5 pro Tag) und dabei sind eben manchmal auch Spammer.

Für den Versand nutze ich SMTP direkt und darauf greift auch die Weboberfläche zu. Damit der Spam sich in Grenzen hält habe ich einen Policy-Service in Perl geschrieben, der maximal 50 Mails pro Stunde zulässt. Jedoch kommen diese Spammer immer wieder auf neue Ideen.

Normalerweise sieht es dann so aus, wenn ich versuche die Absenderadresse von der Login-Adresse zu unterscheiden:
Code: 
Feb  3 22:09:03 s2 postfix/smtpd[31085]: NOQUEUE: reject: RCPT from ns353374.ovh.net[91.121.94.74]: 511 5.7.1 <ns353374.ovh.net[91.121.94.74]>: Client host rejected: Tried to fake sender! Your IP was logged.; from=<evelin-ammed@hotmail.com> to=<xxx@web.de> proto=ESMTP helo=<ns353374>

Jede Anfrage die in den Policy reinkommt wird in eine Log-Datei (nicht dieser Auszug) geschrieben und ein erfolgreiches Senden sieht dann in der mail.log so aus:
Code: 
Feb  3 23:21:08 s2 postfix/smtpd[6892]: connect from ns353374.ovh.net[91.121.94.74]
Feb  3 23:21:08 s2 postfix/smtpd[6892]: 827DA2140DD8: client=ns353374.ovh.net[91.121.94.74], sasl_method=login, sasl_username=test@ico.to
Feb  3 23:21:08 s2 postfix/cleanup[6905]: 827DA2140DD8: message-id=<>
Feb  3 23:21:08 s2 postfix/qmgr[4765]: 827DA2140DD8: from=<test@ico.to>, size=455, nrcpt=1 (queue active)

Feb  3 23:21:08 s2 postfix/smtpd[6914]: connect from localhost[127.0.0.1]
Feb  3 23:21:08 s2 postfix/smtpd[6914]: EFBC62140DDE: client=localhost[127.0.0.1]
Feb  3 23:21:08 s2 postfix/cleanup[6905]: EFBC62140DDE: message-id=<20120203232108.EFBC62140DDE@sxmail.de>
Feb  3 23:21:09 s2 postfix/qmgr[4765]: EFBC62140DDE: from=<test@ico.to>, size=922, nrcpt=1 (queue active)
Feb  3 23:21:09 s2 postfix/smtpd[6914]: disconnect from localhost[127.0.0.1]

Feb  3 23:21:09 s2 amavis[28714]: (28714-18) Passed CLEAN, [91.121.94.74] [91.121.94.74] <test@ico.to> -> <xxx@web.de>, mail_id: spiJ6enusijv, Hits: -0.86, size: 455, queued_as: EFBC62140DDE, 400 ms
Feb  3 23:21:09 s2 postfix/smtp[6910]: 827DA2140DD8: to=<xxx@web.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.63, delays=0.22/0/0.01/0.4, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=28714-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EFBC62140DDE)
Feb  3 23:21:09 s2 postfix/qmgr[4765]: 827DA2140DD8: removed

Feb  3 23:21:09 s2 postfix/smtp[6915]: EFBC62140DDE: to=<xxx@web.de>, relay=mx-ha02.web.de[217.72.192.188]:25, delay=0.24, delays=0.08/0/0.05/0.1, dsn=2.0.0, status=sent (250 OK id=1RtSSC-0005L3-00)
Feb  3 23:21:09 s2 postfix/qmgr[4765]: EFBC62140DDE: removed

Der Versand eines Spammers sieht dann aber so aus:
Code: 
Feb  3 18:00:58 s2 postfix/smtpd[4583]: connect from unknown[41.82.99.233]
Feb  3 18:01:02 s2 postfix/smtpd[4583]: 2EDE921414E0: client=unknown[41.82.99.233], sasl_method=LOGIN, sasl_username=jkharg86@sxmail.de
Feb  3 18:01:02 s2 postfix/cleanup[4603]: 2EDE921414E0: message-id=<34006265865616667589@xps>
Feb  3 18:01:03 s2 postfix/qmgr[17650]: 2EDE921414E0: from=<evelin-ammed@hotmail.com>, size=2244, nrcpt=1 (queue active)

Feb  3 18:01:07 s2 postfix/smtpd[4627]: connect from localhost[127.0.0.1]
Feb  3 18:01:07 s2 postfix/smtpd[4627]: D58792141684: client=localhost[127.0.0.1]
Feb  3 18:01:07 s2 postfix/cleanup[4628]: D58792141684: message-id=<34006265865616667589@xps>
Feb  3 18:01:07 s2 postfix/qmgr[17650]: D58792141684: from=<evelin-ammed@hotmail.com>, size=2678, nrcpt=1 (queue active)
Feb  3 18:01:07 s2 postfix/smtpd[4627]: disconnect from localhost[127.0.0.1]

Feb  3 18:01:08 s2 amavis[18792]: (18792-13) Passed CLEAN, [41.82.99.233] [41.82.99.233] <evelin-ammed@hotmail.com> -> <02037@chick-fil-a.com>, Message-ID: <34006265865616667589@xps>, mail_id: rTeoNQtuwj9F, Hits: 0.189, size: 2244, queued_as: D58792141684, 4949 ms
Feb  3 18:01:08 s2 postfix/smtp[4607]: 2EDE921414E0: to=<02037@chick-fil-a.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=6.1, delays=1.1/0.02/0.01/5, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=18792-13, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as D58792141684)
Feb  3 18:01:08 s2 postfix/qmgr[17650]: 2EDE921414E0: removed

Feb  3 18:01:09 s2 postfix/smtp[4629]: D58792141684: to=<02037@chick-fil-a.com>, relay=chick-fil-a.com.mail5.psmtp.com[64.18.5.10]:25, delay=2, delays=0.06/0.03/0.6/1.3, dsn=2.0.0, status=sent (250 Thanks)
Feb  3 18:01:09 s2 postfix/qmgr[17650]: D58792141684: removed

Und er kommt anscheinend nie durch den Policy-Service - wird also nicht gefiltert. Ich habe meinen SMTP-Server auf jede mögliche Weise die mir einfiel, getestet - aber ohne "Erfolg". Es ist ihm sogar möglich die Absenderadresse zu fälschen...

Zum Hintergrund vielleicht noch etwas: Es läuft ein Postfix auf Port 25 und 465 und im Hintergrund Amavis mit Spamassassin und ClamAV (die Ports sind nur lokal erreichbar).

Jetzt meine Frage: Wie kann das sein? Habe ich da etwas übersehen?


Schonmal danke im Voraus für alle die sich das ganze überhaupt angeschaut haben! :)
 
Natürlich kann man Absenderadressen fälschen. Des ist, wenn der andere Mailserver die Ausgehenden Mails nicht validiert & prüft, ob die Mails gültig sind.

Zudem kannst du die Absenderadressen ja auch Beispielsweise über PHP setzen. Wofür gibts denn die Header angaben beim versenden..

Prüfe mal ob du offene Relais hast - Nicht dass die durch irgendeine kleine Lücke bei dir hereinschauen. Google mal nach "Mail Relay test". Gibts irgendwo kostenlos ein Relay Tester.
 
Danke für die schnelle Antwort. Es geht mir nicht um die in der E-Mail angegebenen Absenderadresse, sondern um die bei SMTP übergebene.

Beispiel:
Code: 
S: Server sagt hallo
C: HELO test
S: OK
C: AUTH LOGIN
S: Benutzername?
C: xxx
S: Passwort?
C: xxx
S: OK, logged in
C: MAIL FROM: fake@fake.tld
S: OK
C: RCPT TO: xxx@mail.tld
S: OK

Den Relay-Check habe ich hier gemacht:
http://www.mailradar.com/openrelay/
Die 15 Tests (oder mehr) hat er alle bestanden.

Ich glaube ich bin dem Problem aber schon auf der Spur. Soweit ich mich erinnern kann habe ich in der Postfix-Conf bei SMTPS (also SSL) nie den Policy-Service eingetragen. Das werde ich jetzt mal prüfen und dann bescheid geben!

Edit: Okay, der SSL scheint es tatsächlich zu sein. Jedoch weiß ich momentan (noch nicht) wie man das einstellt. Von der Postfix-Doku habe ich mir das da abgeschaut:

main.cf
Code: 
$sxpolicy = check_policy_service inet:127.0.0.1:2000
master.cf
Code: 
smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,$sxpolicy,reject

Das funktioniert jedoch nicht. Ne Fehlermeldung in den Logs gibts keine, jedoch wird der Policy auch nie angesprochen. Hat jemand ne Idee?
 
Last edited by a moderator:
Nunja, jetzt beantworte ich mir die Frage eigentlich selbst, aber ich hoffe dadurch wenigstens einigen zu helfen. :D

So muss es aussehen, damit der Policy-Service angesprochen wird:
Code: 
smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=check_policy_service,inet:127.0.0.1:2000,permit_sasl_authenticated,reject

Dabei ist wichtig, dass der Policy vor dem permit_sasl... steht. Das ganze Thema wird vermutlich nur für die Leute interessant sein, die selbst einen Policy-Service geschrieben haben.

Vielen Dank nochmal und einen schönen Tag noch!
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top