Servus,
in den Jahren in den ich mich nunmehr mit Mailservern beschäftigte, dachte ich eigentlich ich hab schon viel gesehen. Tja, falsch gedacht, denn seit gestern bin ich ein kleines Stückchen weiser - O.K., das ist bei mir Gerüchten nach relativ einfach, aber was sollst.
Nun gut, gestern wurde groß Alarm geschlagen, da bei einer Kollegin plötzlich hunderte Mails (Bounces) aufschlugen und sie von dritter Seite gleich angeschissen wurde, sie habe in einer Spammail auf einen Link geklickt oder ein Attachment geöffnet zu haben. Schnell konnte ich klären und beweisen, dass die Kollegin gar nichts gemacht haben kann. Weder von Ihrem Account noch von einem anderen wurden, noch auf irgend einem der Mailserver beim Kunden hat in der Zeit irgendwas in der Art und Weise verschickt.
Eigentlich ist an der Sache ja nicht ungewöhnliches, kennen wir doch Adressfälschungen und Backscatter doch schon etwas länger. Was mich aber nun stutzig machte, war der Umstand, dass in dem "zurückbekommenen Bounce" eine ZIP-Archiv mit einer .exe enthalten war. MOMENT, dachte ich mir, dafür haben wir doch extra eigene Regeln in unseren AMaViS-Cluster, die eben Nachrichten mit derartigem potentiellen Schadcode gar nicht erst annehmen soll. Kurz brach der Angstschweis aus, da ich mich selbst verdächtigte in einer der vielen dunklen Minuten (bei dem der schwarze Hund mich mehr beschäftigte als die Arbeit) etwas verkonfiguriert zu haben. Aber auch das konnte ich sehr schnell widerlegen, da alle Versuche solch präparierte Nachrichten an "mir selbst" vorbeizuschleusen, allesamt zum Scheitern verurteilt waren.
Also zurück auf Anfang und aus den Maillogs der verschiedenen Systeme die Log-Zeilen herausgesucht. Denn irgendwo muss es ja einen Grund geben, warum der gefakte Bounce mit dem Schadcode im Anhang durchgewunken wurde. Der Versuch den Schadcode in einer Standardmail verpackt zu empfangen klappt jedoch nicht. Das einzigste, was ich da nun entdeckt habe, war auf dem AMaViS-Cluster:
Sep 8 13:17:10 amavis-cluster-by amavis[23088]: (23088-10) bounce rescued by domain (DSN), <> -> redacted@example.com, date: Tue, 8 Sep 2015 12:41:24 +0200, from: Rosenbaum Group redacted@example.com, message-id: HDmUIBRrPV7ZeJ2q0r2ttvv@example.com, return-path: redacted@example.com
Hä, "bounce rescued by domain" sagt mir nix, als Tante Google befragen und folgende beiden Seiten entdeckt:
https://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg11245.html http://sourceforge.net/p/amavis/mailman/amavis-user/thread/201010051713.3805...
O.K. $bounce_killer_score habe ich gefunden, der Wert wurde bis dato nicht angefasst, steht er beim Defaultwert: $bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces
Darum habe ich mich auch bis jetzt noch nie so richtig beschäftigt, weder in Berlin noch in München wurde das Thema erwähnt hehe - kleiner Wink mit dem Zaunpfahl ;)
Wie kann ich nun meine AMaVis'e dazu bewegen, gefakte Bounces zu erkennen und deren Annahme zu verweigern? Alternativ dazu, muss ich dann für solche Fälle eben doch eine Quarantäne vorhalten und derartigen Müll nicht zum Endkunden zurückzuwerfen. Also Raus aus dem Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem angeblichen bounce killer feature einlesen und beeinflussen kann.
Servus Django