Versenden von Failure-Notices per Telnet möglich

H

honse33

New Member
Hallo,

ich verwende auf einem Server Debian stable mit Plesk und Qmail, jeweils in der aktuellsten Version.

Es ist kein Open Relay. Bei den Subscriptions ist das Verhalten auf "zurückweisen" eingestellt.

Jedoch kann ich per Telnet Failure Notices erstellen, die wohlmöglich von gewissen Bots auch ausgenutzt werden. Täglich gibt es 3-4 Bounce-Bounces von Fake-Adressen, die genau nach diesem Prinzip vorgehen.

Hier ein Vorgang über Telnet mit ausgetauschten Domains:


Code: 
220 <server-domain> ESMTP
helo gmx.net
250 <server-domain>
mail from: <meine gmx adresse>@gmx.de
250 ok
rcpt to: <meine gmx adresse>@gmx.de
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
rcpt to: info@<eigenedomain>.de
250 ok
data
354 go ahead
testmail
.
250 ok 1402390445 qp 22328
quit


Instant bekomme ich eine Failure Notice auf mein GMX Postfach:


Code: 
Hi. This is the qmail-send program at <server-domain>.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<info@<eigene domain>:
This address no longer accepts mail.

--- Below this line is a copy of the message.

Return-Path: <meine-gmx-adresse@gmx.de>
Received: (qmail 22333 invoked from network); 10 Jun 2014 10:54:04 +0200
Received: from <meine private ip> (HELO gmx.net) (<meine private ip>)
by <server-domain> with SMTP; 10 Jun 2014 10:53:50 +0200
testmail

Bei den von den Bots verschickten Mails steht folgendes im Header:

Code: 
Received: (qmail 5377 invoked from network); 9 Jun 2014 20:32:21 +0200
Received: from softdnserror (HELO zxocmdrnuj) (213.87.249.70)

Teilweise steht im "Received from" auch nur unknown.

Bots senden von nicht existierenden Adressen, weshalb meine Failure Notice direkt wieder vom anderen SMTP-Server zurück kommt. Mein Server war anscheinend bereits Ende 2013 mal auf backscatter.org gelistet, seitdem jedoch nicht mehr.

Muss ich mir Sorgen machen? Macht es vielleicht Sinn, auf korrekte DNS-Namen zu prüfen?
 
Natürlich werden Bots an existente Adressen der Domain Mails senden.

Hast du ja gezeigt dass info@<eigenedomain>.de existiert und Mails annimmt.
Warum du allerdings bei einer existenten Mailadressse dann eine Failure Notice bekommst, versteh ich nicht.

Warum aktivierst du nicht Greylisting? Das vermindert Bots.
 
Heute Nacht kamen wieder ein paar Mails:

Code: 
Hi. This is the qmail-send program at <meinserver>.de.
I tried to deliver a bounce message to this address, but the bounce bounced!

<jhyqostzyezm@fsewg.com>:
Sorry, I couldn't find any host named fsewg.com. (#5.1.2)

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 13450 invoked for bounce); 11 Jun 2014 01:12:03 +0200
Date: 11 Jun 2014 01:12:02 +0200
From: MAILER-DAEMON@<meinserver>.de
To: jhyqostzyezm@fsewg.com
Subject: failure notice

Hi. This is the qmail-send program at <meinserver>.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<info@einemeinerdomains.de>:
This address no longer accepts mail.

--- Below this line is a copy of the message.

Return-Path: <jhyqostzyezm@fsewg.com>
Received: (qmail 13444 invoked from network); 11 Jun 2014 01:12:02 +0200
Received: from unknown (HELO xvrcuuftwg) (197.205.159.228)
  by <meinserver>.de with SMTP; 11 Jun 2014 01:11:50 +0200
From: "Buy_Vigara" <jhyqostzyezm@fsewg.com>
To: <info@kulturpower.de>
Subject: [subject mit pillen und so]
Date: Tue, Wed, 11 Jun 2014 01:11:56 +0100
Message-Id: <od31rcjznpddnidvpepbuezjhawodoxzmr@197.205.159.228>
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="us-ascii"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: PHPMailer 2.1

[große HTML mail mit pillen und so]

Die Absender-Domain/-IPs habe ich nicht verändert - die wurden tatsächlich so eingetragen. Die info@-Adresse an die diese Email gerichtet ist, gibt es nicht, da ich diese Domain derzeit quasi nur für später parke.

Greylisting wollte ich eigentlich nicht aktivieren, da wir unsere Mails zeitnah benötigen und bearbeiten müssen. Habe mich viel mit dem Thema beschäftigt und überwiegend viel negatives darüber gefunden.
 
Hallo!

Das sieht doch alles legitim aus. jhyqostzyezm@fsewg.com schickt eine Nachricht an info@einemeinerdomains.de. info@einemeinerdomains.de gibt's es bei dir aber nicht. Also versucht dein MAILER-DAEMON@<meinserver>.de den Absender über die fehlgeschlagene Zustellung zu informieren.

jhyqostzyezm@fsewg.com gibt's aber auch nicht. Das Ganze endet dann mit
Code: 
[EMAIL="jhyqostzyezm@fsewg.com"]jhyqostzyezm@fsewg.com[/EMAIL]: Sorry, I couldn't find any host named fsewg.com. (#5.1.2)
und landet in deinem Postfach.

mfg
Thorsten
 
Ich würde ja sagen, daß die Überprüfung, ob die Adresse vorhanden ist, zu spät erfolgt. Das System dürfte diese Mail eigentlich gar nicht erst annehmen, sondern müßte sie direkt ablehnen. Das passiert aber nicht, weshalb das System selbst die Bounce-Nachricht erzeugt.
Da ich allerdings Postfix bevorzuge und qmail nur vom Namen her kenne, kann ich nicht wirklich sagen, wo du ansetzen kannst.
 
Hallo!

Wie sieht denn die E-Mail-Einstellung der Domäne in Plesk aus? Ich vermute ja fast, dass hier die Option Bounce gewählt wurde (siehe Anhang).

mfG
Thorsten
 

Attachments

  • E-Mail-Einstellungen.png
    E-Mail-Einstellungen.png
    34.8 KB · Views: 260
Es ist genau so, wie Thorsten es in dem Screenshot eingestellt hat.

Den Emaildienst komplett für dieses Abonnement zu deaktivieren, ist keine Lösung, da halt noch weitere Domains in dem Abo mit drin sind.

Bounces komplett zu deaktivieren, würde ja quasi nicht gehen, oder? Weil theoretisch müsste der Absender, sollte er sich tatsächlich mal bei der Mailbox vertippt haben, ja eine entsprechende Antwort bekommen...?

Bin schon am überlegen, ob ich nicht einfach die Adresse anlege und eingehende Mails direkt in den Papierkorb wandern lasse...


Edit: Bzgl dem Punkt von danton muss ich noch mal nachhaken. Wie wäre es denn mit sowas wie Spamassassin? Tagged der Emails nur, oder zieht der die auch komplett raus, wenn es sich beispielsweise um HTML-Mails mit gewissen Pillen und Tabletten handelt?
 
Last edited by a moderator:
Ich kenne mich mit Plesk nicht wirklich aus (hab sowas nicht installiert), aber die Einstellung Bounce scheint bei dir irgendwo für bestimmte Domains oder auch nur bestimmte E-Mail-Adressen aktiviert zu sein. Bounces solltest du grundsätzlich nicht aktivieren, sondern nur mit Rejects arbeiten (in Thorstens Screenshot die Option Zurückweisen)
Zu Spamassassin: Du kannst in Spamassassin einstellen, was er mit Spam-Mails machen soll: Zurückweisen, Bouncen (nicht empfohlen), Taggen, Betreff ändern oder auch kommentarlos löschen. Ich tagge nur und lasse die markierten Mails direkt auch dem Server in den Spam-Ordner des jeweiligen Postfachs verschieben. Dort werden sie dann nach 30 Tagen automatisch gelöscht (oder können bei einem False-Positive innerhalb der 30 Tagen per IMAP z.B. in den Posteingang verschoben werden).
 
Das Löschen von Mails mit Spamassassin ist so eine Sache, du hast die Mail angenommen, SA löscht sie, weil es falsch gewichtet hat. Wenn es egal ist, mach's.

Ansonsten ist es auch so, dass ein Löschen von Mails anderer Nutzer nicht immer juristisch erlaubt ist. Aber das musst du dann als Betreiber verantworten.
 
You must log in or register to reply here.
Back
Top