Re: [postfix-users] Spam bekämpfen
Hallo Gregor,
Am 22.04.2014 13:12, schrieb Gregor Hermens:
der NDR liegt in der Verantwortung des einliefernden Clients, nicht deiner.
Stimmt auch wieder... bleibt nur noch ein Problem:
ich habe das Gefühl dass Spammer immer mehr dazu übergehen gehackte User-Accounts von echten Mailprovidern zum Versand zu benutzen, um so die ganzen Blacklists zu umgehen. Die Leute machen es denen auch leicht, da sie sich bei 1000 Foren mit dem gleichen Passwort registrieren wie ihr Mailkonto hat. Und diese Foren oft auch noch die Passwörter im Klartext in ihrer Datenbank speichern.
Nehmen wir also folgendes Szenario an: Der Spammer verwendet ein gehacktes Konto von gmx.de und sendet Spam mit from=usera@meinedomain.de und to=userb@meinedomain.de.
Mein Postfix erkennt den Fake aufgrund von SPF und weist die Mail ab. GMX würde jetzt den NDR an usera@meinedomain.de schicken, womit ich nichts gewonnen hätte.
Kann das so passieren? Und wenn ja, wie wehre ich mich dagegen? Eigentlich dürfte Postfix den NDR nur zustellen wenn er ihn (als Client) selbst erzeugt hat.
Gruss Jochen
Am 22.04.2014 13:37, schrieb JF via postfix-users:
Hallo Gregor,
Am 22.04.2014 13:12, schrieb Gregor Hermens:
der NDR liegt in der Verantwortung des einliefernden Clients, nicht deiner.
Stimmt auch wieder... bleibt nur noch ein Problem:
ich habe das Gefühl dass Spammer immer mehr dazu übergehen gehackte User-Accounts von echten Mailprovidern zum Versand zu benutzen, um so die ganzen Blacklists zu umgehen. Die Leute machen es denen auch leicht, da sie sich bei 1000 Foren mit dem gleichen Passwort registrieren wie ihr Mailkonto hat. Und diese Foren oft auch noch die Passwörter im Klartext in ihrer Datenbank speichern.
Nehmen wir also folgendes Szenario an: Der Spammer verwendet ein gehacktes Konto von gmx.de und sendet Spam mit from=usera@meinedomain.de und to=userb@meinedomain.de.
Mein Postfix erkennt den Fake aufgrund von SPF und weist die Mail ab. GMX würde jetzt den NDR an usera@meinedomain.de schicken, womit ich nichts gewonnen hätte.
Kann das so passieren? Und wenn ja, wie wehre ich mich dagegen? Eigentlich dürfte Postfix den NDR nur zustellen wenn er ihn (als Client) selbst erzeugt hat.
Gruss Jochen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Bitte lass es mich abkuerzen du wirst SPAM am Ende nur los mit Systemen wie z.B spamassassin, bzw du kannst ihn damit auf ein vernuenftiges Level reduzieren, vor dieser "teuren" Methode kann du noch allerhand filtern ( rbls, SPF, DKIM Greylisting usw ), wie und was du dazu benutzt musst du selbst "abstimmen", denn jeder hat seinen eigenen Spam...
Best Regards MfG Robert Schetterer
Am 22.04.2014 13:50, schrieb Robert Schetterer via postfix-users:
Am 22.04.2014 13:37, schrieb JF via postfix-users: Bitte lass es mich abkuerzen du wirst SPAM am Ende nur los mit Systemen wie z.B spamassassin, bzw du kannst ihn damit auf ein vernuenftiges Level reduzieren, vor dieser "teuren" Methode kann du noch allerhand filtern ( rbls, SPF, DKIM Greylisting usw ),
Mit Spamassassin habe ich keine guten Erfahrungen. Spamassassin kombiniert einige Dutzend verschiedene Verfahren. Die "billigeren" kann Postfix auch alleine. Und die "teuren" (wie z.B. Bayes Filter) sind nicht sehr zuverlässig, bzw. müssen erst mit genügend Spam trainiert werden.
Ich hatte Spamassassin einige Zeit im Einsatz, und meine Erfahrung war, dass es in den meisten Fällen (die Postfix nicht von sich aus erkannt hat), zu einem "unentschieden" kam und ich doch wieder von Hand aussortieren muste.
Gruss Jochen
Am 22.04.2014 13:57, schrieb JF via postfix-users:
Am 22.04.2014 13:50, schrieb Robert Schetterer via postfix-users:
Am 22.04.2014 13:37, schrieb JF via postfix-users: Bitte lass es mich abkuerzen du wirst SPAM am Ende nur los mit Systemen wie z.B spamassassin, bzw du kannst ihn damit auf ein vernuenftiges Level reduzieren, vor dieser "teuren" Methode kann du noch allerhand filtern ( rbls, SPF, DKIM Greylisting usw ),
Mit Spamassassin habe ich keine guten Erfahrungen. Spamassassin kombiniert einige Dutzend verschiedene Verfahren. Die "billigeren" kann Postfix auch alleine. Und die "teuren" (wie z.B. Bayes Filter) sind nicht sehr zuverlässig, bzw. müssen erst mit genügend Spam trainiert werden.
Ich hatte Spamassassin einige Zeit im Einsatz, und meine Erfahrung war, dass es in den meisten Fällen (die Postfix nicht von sich aus erkannt hat), zu einem "unentschieden" kam und ich doch wieder von Hand aussortieren muste.
Kann ich so nicht bestaetigen, tut hier wunderbar ,seit Jahren, du kannst auch eine andere Methode anwenden clamav-milter mit sanesecurity antispam signaturen, das hilft auch schon etwas
Gruss Jochen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 22.04.2014 13:37, schrieb JF via postfix-users:
Nehmen wir also folgendes Szenario an: Der Spammer verwendet ein gehacktes Konto von gmx.de und sendet Spam mit from=usera@meinedomain.de und to=userb@meinedomain.de.
Mein Postfix erkennt den Fake aufgrund von SPF und weist die Mail ab. GMX würde jetzt den NDR an usera@meinedomain.de schicken, womit ich nichts gewonnen hätte.
Kann das so passieren? Und wenn ja, wie wehre ich mich dagegen? Eigentlich dürfte Postfix den NDR nur zustellen wenn er ihn (als Client) selbst erzeugt hat.
Ich denke/hoffe nun auch dieses Problem gelöst zu haben. Ich habe jetzt einen header_check eingebaut. Wenn eine Mail einen Header der Form "From: ... MAILER-DAEMON" enthält, und diese Zeile _nicht_ meinen Server enthält (nur der darf mir NDRs schicken), dann wird die Mail abgewiesen. Spricht was dagegen das so zu machen?
Gruss Jochen
Am 22.04.2014 15:39, schrieb JF via postfix-users:
Am 22.04.2014 13:37, schrieb JF via postfix-users:
Nehmen wir also folgendes Szenario an: Der Spammer verwendet ein gehacktes Konto von gmx.de und sendet Spam mit from=usera@meinedomain.de und to=userb@meinedomain.de.
Mein Postfix erkennt den Fake aufgrund von SPF und weist die Mail ab. GMX würde jetzt den NDR an usera@meinedomain.de schicken, womit ich nichts gewonnen hätte.
Kann das so passieren? Und wenn ja, wie wehre ich mich dagegen? Eigentlich dürfte Postfix den NDR nur zustellen wenn er ihn (als Client) selbst erzeugt hat.
Ich denke/hoffe nun auch dieses Problem gelöst zu haben. Ich habe jetzt einen header_check eingebaut. Wenn eine Mail einen Header der Form "From: ... MAILER-DAEMON" enthält, und diese Zeile _nicht_ meinen Server enthält (nur der darf mir NDRs schicken), dann wird die Mail abgewiesen. Spricht was dagegen das so zu machen?
Empfehlung schau dir dazu nochmal
http://www.postfix.org/BACKSCATTER_README.html
an
Gruss Jochen
postfix-users mailing list postfix-users@de.postfix.org http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
Best Regards MfG Robert Schetterer
Am 22.04.2014 15:43, schrieb Robert Schetterer via postfix-users:
Empfehlung schau dir dazu nochmal http://www.postfix.org/BACKSCATTER_README.html an
Ja, das hatte ich als Anregung genommen. Allerdings habe ich das stark vereinfacht, mit nur einer Regel.
if /^From: +.*MAILER-DAEMON@/ !/meinserver.meine.domain/ reject unknown mailer-daemon endif
Hallo Jochen,
Am Dienstag, 22. April 2014 schrieb JF via postfix-users:
Ich denke/hoffe nun auch dieses Problem gelöst zu haben. Ich habe jetzt einen header_check eingebaut. Wenn eine Mail einen Header der Form "From: ... MAILER-DAEMON" enthält, und diese Zeile _nicht_ meinen Server enthält (nur der darf mir NDRs schicken), dann wird die Mail abgewiesen. Spricht was dagegen das so zu machen?
Ja.
Beispiel: Der Empfänger deiner Mail hat bei Provider A eine Weiterleitung eingerichtet zu seinem Postfach bei Provider B. Bei Provider B wird die Mail abgelehnt, z.B. wegen Quotaüberschreitung. Provider A hat deine Mail aber schon akzeptiert, muss dir also einen NDR schicken. Diesen wirst du wegen obiger Regel aber nie erhalten. Somit verschwindet deine Mail im Nirvana, ohne daß Sender oder Empfänger das mitbekommen.
Gruß, Gregor
PS: Seit wann setzt diese Liste eigentlich den Absender als Reply-To?
Am 22.04.2014 16:19, schrieb Gregor Hermens via postfix-users:
Hallo Jochen,
Am Dienstag, 22. April 2014 schrieb JF via postfix-users:
Ich denke/hoffe nun auch dieses Problem gelöst zu haben. Ich habe jetzt einen header_check eingebaut. Wenn eine Mail einen Header der Form "From: ... MAILER-DAEMON" enthält, und diese Zeile _nicht_ meinen Server enthält (nur der darf mir NDRs schicken), dann wird die Mail abgewiesen. Spricht was dagegen das so zu machen?
Ja.
Beispiel: Der Empfänger deiner Mail hat bei Provider A eine Weiterleitung eingerichtet zu seinem Postfach bei Provider B. Bei Provider B wird die Mail abgelehnt, z.B. wegen Quotaüberschreitung. Provider A hat deine Mail aber schon akzeptiert, muss dir also einen NDR schicken. Diesen wirst du wegen obiger Regel aber nie erhalten. Somit verschwindet deine Mail im Nirvana, ohne daß Sender oder Empfänger das mitbekommen.
Gruß, Gregor
PS: Seit wann setzt diese Liste eigentlich den Absender als Reply-To?
um nochmal auf aol spam returzukommen
http://www.heise.de/newsticker/meldung/Spammer-Angriffswelle-auf-AOL-Mail-21...
was im Spamassassin durchgaengig anschlaegt bei mir ist
DATE_IN_PAST, dazu noch einiges anderes
praktisch alle aol spam mails wurden erkannt, getagged, sprtiert oder geblocked
Best Regards MfG Robert Schetterer
Am 22.04.2014 18:12, schrieb Robert Schetterer via postfix-users:
um nochmal auf aol spam returzukommen http://www.heise.de/newsticker/meldung/Spammer-Angriffswelle-auf-AOL-Mail-21... was im Spamassassin durchgaengig anschlaegt bei mir ist DATE_IN_PAST, dazu noch einiges anderes praktisch alle aol spam mails wurden erkannt, getagged, sprtiert oder geblocked Best Regards MfG Robert Schetterer
Zitat heise:
" Eine /heise Security/ vorliegenden Version der Mail wurde anscheinend nicht über einen Mail-Server von AOL verschickt. Das ist ein Indiz dafür, dass die Spammer zwar die Mail-Adressen und Namen ihrer Opfer kopiert haben, die Accounts jedoch nicht für den Spam-Versand benutzen."
Das finde ich ziemlich ungewöhnlich. Mailadressen bekommt man zuhauf von allen möglichen Anbietern, dazu muss man keine AOL Accounts hacken.
In meinem Fall kamen die Mails ebenfalls nicht von AOL-Servern, sondern von zwei ganz unverdächtigen Mailprovidern. Einmal imail.imediagroup.com und einmal blueonyx12-hspca.urdirect.net.
Beide völlig korrekt konfigurierte Mailserver (mit Reverse-DNS), und nicht auf Blacklists (jedenfalls zum Zeitpunkt der Einlieferung).
Ich kenne die beiden Hoster nicht, aber mir sieht das eher danach aus als wenn bei diesen beiden Mailaccounts misbraucht wurden.
Gruss Jochen
participants (3)
-
Gregor Hermens via postfix-users -
JF via postfix-users
-
Robert Schetterer via postfix-users