Postmaster aufgepasst!
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
Danke
p@rick
Am 2018-09-11 12:06, schrieb Patrick Ben Koetter:
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten.
Wozu whitelisten? Werden deren Mails so leicht mit Spam verwechselt? :-D
Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
Postmaster aufgepasst!
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee, is klar.
Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die Absenderadresse...?
* Kai Fürstenberg kai_postfix@fuerstenberg.ws:
Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
Postmaster aufgepasst!
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee, is klar.
Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
Ich sehe das ähnlich kritisch und habe noch keine zufriedenstellende Antwort darauf.
Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die Absenderadresse...?
Ich frag mal nach.
p@rick
* Kai Fürstenberg kai_postfix@fuerstenberg.ws:
Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
Postmaster aufgepasst!
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee, is klar.
Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die Absenderadresse...?
Die Mails von reports@reports.cert-bund.de werden über den Host reportsmx.cert-bund.de versendet. Er besitzt eine IPv4, die ihr whitelisten könnt. Eine IPv6 besitzt er nicht:
[p@x1 ~]$ dig A reportsmx.cert-bund.de +short 194.94.208.36 [p@x1 ~]$ dig AAAA reportsmx.cert-bund.de +short
Die Domain hat zusätzlich einen SPF-Record, der auch auf den reportsmx.cert-bund.de verweist:
[p@x1 ~]$ dig TXT reports.cert-bund.de +short "google-site-verification=COs-ESeFBr7uef1s5FdHsK6KdAyfro5pSH3mQP-clBY" "v=spf1 mx ip4:194.94.208.36 -all"
Wer die Envelope-Sender-Adresse in der Postfix SMTP Session whitelisten möchte kann das wie folgt (Beispiel) tun:
smtpd_sender_restrictions= ... hash:/etc/postfix/cert-bund
Und dann in /etc/postfix/cert-bund: reports@reports.cert-bund.de OK
Wer die Adresse in SpamAssassin whitelisten möchte trägt z.b. in die local.cf folgendes ein:
whitelist_from_rcvd reports@reports.cert-bund.de reportsmx.cert-bund.de
Damit werden E-Mails gewhitelistet, die über den Host reportsmx.cert-bund.de versendet wurden *und* die von der Absenderadresse reports@reports.cert-bund.de stammen.
p@rick
Patrick Ben Koetter - 11.09.18, 13:36:
Damit werden E-Mails gewhitelistet, die über den Host reportsmx.cert-bund.de versendet wurden *und* die von der Absenderadresse reports@reports.cert-bund.de stammen.
Ja, aber wozu?
Sofern von dort kein Spam kommt, kassiert das mein Spam-Filter-Setup auch nicht ein. Ich gehe mal schwer davon aus, dass rspamd einen Abuse Report und eine Spam-Mail auseinander halten kann. Und Postscreen dürfte keinen Ärger machen, wenn der Mailserver des BSI auf keinen Blacklisten bzw. vielleicht dort sogar gewhitelistet ist.
Warum sollte ich also diese Mail-Quelle whitelisten und nicht auch noch wer weiß was für andere (legitime) Quellen von denen Abuse Reports kommen könnten? Nur weil das eine Behörde ist?
Danke,
Am 2018-09-11 14:23, schrieb Martin Steigerwald:
[..] Nur weil das eine Behörde ist?
Moment - wenn es eine Behörde ist, dann wollen die doch *eigentlich* FAXen ... ;)
SCNR Christian
Am 11.09.2018 um 13:36 schrieb Patrick Ben Koetter:
- Kai Fürstenberg kai_postfix@fuerstenberg.ws:
Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
Postmaster aufgepasst!
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee, is klar.
Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die Absenderadresse...?
Die Mails von reports@reports.cert-bund.de werden über den Host reportsmx.cert-bund.de versendet. Er besitzt eine IPv4, die ihr whitelisten könnt. Eine IPv6 besitzt er nicht:
[p@x1 ~]$ dig A reportsmx.cert-bund.de +short 194.94.208.36 [p@x1 ~]$ dig AAAA reportsmx.cert-bund.de +short
Die Domain hat zusätzlich einen SPF-Record, der auch auf den reportsmx.cert-bund.de verweist:
[p@x1 ~]$ dig TXT reports.cert-bund.de +short "google-site-verification=COs-ESeFBr7uef1s5FdHsK6KdAyfro5pSH3mQP-clBY" "v=spf1 mx ip4:194.94.208.36 -all"
Wer die Envelope-Sender-Adresse in der Postfix SMTP Session whitelisten möchte kann das wie folgt (Beispiel) tun:
smtpd_sender_restrictions= ... hash:/etc/postfix/cert-bund
Und dann in /etc/postfix/cert-bund: reports@reports.cert-bund.de OK
Wer die Adresse in SpamAssassin whitelisten möchte trägt z.b. in die local.cf folgendes ein:
whitelist_from_rcvd reports@reports.cert-bund.de reportsmx.cert-bund.de
Damit werden E-Mails gewhitelistet, die über den Host reportsmx.cert-bund.de versendet wurden *und* die von der Absenderadresse reports@reports.cert-bund.de stammen.
p@rick
whitelisting ist kein Problem, hoffentlich lohnt es sich dann am Schluss auch.....
Best Regards MfG Robert Schetterer
Am 2018-09-11 12:56, schrieb Kai Fürstenberg:
Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
Dafür hat rspamd ein schönes Feature: man kann whitelists von anderen Symbolen abhängig machen, z.B. dass der Absender SPF-verifiziert wurde.
Beispiel:
# local.d/multimap.conf FROM_WHITELISTED { require_symbols = "R_SPF_ALLOW & !MAILLIST"; type = "from"; map = "/some/list"; }
On 11.09.2018 12:06, Patrick Ben Koetter wrote:
Postmaster aufgepasst!
Ihr wollt *bitte* die Absenderadresse reports@reports.cert-bund.de whitelisten.
irgendwie ein Widerspruch; nicht mir soll man abuse Dritter schicken, sondern ich hätte gerne was wohin ich Abuse¹-Meldungen durch Dritte schicken kann, wo sich auch jemand darum kümmert, und nicht der Eindruck entsteht, daß es gegen /dev/null geht ...
¹ Abuse der sich nicht auf SMTP beschränkt ...
ob es um sowas im /var/log/maillog
Sep 10 00:30:33 vhost01 postfix/smtpd[18678]: NOQUEUE: reject: MAIL from mail.bioltec.de[109.199.169.90]: 554 5.7.1johndube426@gmail.com: Sender address rejected: Domain (gmail.com) blocked; from=johndube426@gmail.com proto=ESMTP helo=<mail.bioltec.de>
oder sowas im /var/log/httpd/access.log
185.81.157.108 - - [09/Sep/2018:04:27:16 +0200] "GET /rxr.php?rxr HTTP/1.1" 403 255 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:21 +0200] "POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1" 403 302 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:26 +0200] "GET /images/jdownloads/screenshots/rxrking.php3.g?rxr HTTP/1.1" 403 255 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:31 +0200] "GET /components/com_jbcatalog/libraries/jsupload/ HTTP/1.1" 403 251 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:36 +0200] "POST /index.php?option=com_b2jcontact&view=loader&type=uploader&owner=component&bid=1&qqfile=/../../../RxR_1536452035.php HTTP/1.1" 403 377 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:41 +0200] "GET /components/RxR_1536452035.php HTTP/1.1" 403 251 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:47 +0200] "GET /index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload HTTP/1.1" 403 356 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:52 +0200] "GET /index.php?option=com_adsmanager&task=upload&tmpl=component HTTP/1.1" 403 308 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:27:57 +0200] "GET /index.php?option=com_myblog&task=ajaxupload HTTP/1.1" 403 289 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:28:02 +0200] "GET /components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php HTTP/1.1" 403 280 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:28:07 +0200] "GET /index.php?option=com_macgallery&view=download&albumid=../../configuration.php HTTP/1.1" 403 327 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:28:12 +0200] "GET /index.php?option=com_joomanager&controller=details&task=download&path=configuration.php HTTP/1.1" 403 341 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:28:17 +0200] "GET /index.php?option=com_jtagmembersdirectory&task=attachment&download_file=/../../../../configuration.php HTTP/1.1" 403 352 "-" "python-requests/2.19.1" 185.81.157.108 - - [09/Sep/2018:04:28:22 +0200] "GET /index.php?option=com_facegallery&task=imageDownload&img_name=../../configuration.php HTTP/1.1" 403 334 "-" "python-requests/2.19.1"
geht, spielt dabei keine Rolle ...
Grüße, Walter
Am 2018-09-12 14:01, schrieb Walter H.:
irgendwie ein Widerspruch; nicht mir soll man abuse Dritter schicken, sondern ich hätte gerne was wohin ich Abuse¹-Meldungen durch Dritte schicken kann, wo sich auch jemand darum kümmert, und nicht der Eindruck entsteht, daß es gegen /dev/null geht ...
¹ Abuse der sich nicht auf SMTP beschränkt ...
+1
participants (7)
-
Christian Bricart -
J. Fahrner -
Kai Fürstenberg -
Martin Steigerwald -
Patrick Ben Koetter -
Robert Schetterer -
Walter H.