On 01.07.2017 09:14, Joachim Fahrner wrote:
Hallo,
so langsam wird das hier zum (unfreiwilligen) Hobby mit den Phishing-Mails.
Ich frage mich gerade, warum das hier nicht abgewiesen wurde:
Received: from mail.sicherheit.de (unknown [83.169.1.6])
Die IP hat zwar einen Reverse pointer zu mail.sicherheit.de:
$ host 83.169.1.6 6.1.169.83.in-addr.arpa domain name pointer mail.sicherheit.de.
Aber mail.sicherheit.de hat eine ganz andere IP:
$ host mail.sicherheit.de mail.sicherheit.de has address 72.52.10.14
der Klassiker, wobei die Ursache nicht mal zwingend bösartig war; dies geschieht z.B. schon dadurch, wenn jemand mit seiner Domain zu einem anderen Hoster umzieht und beim alten Hoster die reverse DNS Einträge nicht zurückgesetzt/geändert werden ... (wobei das dann irgendwie der Beweis f. IPv4s im Überfluss wäre)
Sowas müsste sich doch blocken lassen. Ist das nicht Bestandteil von reject_invalid_helo_hostname?
damit blockierst nur die Mails, welche beim HELO eine Domain angeben, die es im DNS entweder nicht gibt oder sonst was ... wenn da jemand weil er lustig ist eben mail.sicherheit.de angibt, geht das durch, wie Du ja selbst erkannt hast, gibt es die;
interessanter wäre ein Mechanismus, der exakt die Mails durchläßt, wo die IP einen reverse DNS ergibt, welcher tatsächlich ein forward DNS wieder diese IP ergibt ... (damit hast den ganzen Quark, wo jemand irgendwas vorgaukelt, weg)