[Postfixbuch-users] Distributed attack

Mo Okt 18 20:13:18 CEST 2004

Ralf Hildebrandt <Ralf.Hildebrandt at charite.de> wrote:

> smtpd_recipient_restrictions =
>    permit_mynetworks
>    reject_unauth_destination
>    reject_unauth_pipelining
>    check_recipient_access btree:/etc/postfix/access_recipient
>    reject_unknown_recipient_domain
>    reject_maps_rbl
> 
> mit /etc/postfix/access_recipient:
> postmaster@			   OK
> abuse@			   OK

Es ist mir ein völliges Rätsel, warum die recipient-Tabelle nicht
ausgewertet wird.
Wenn darin nur Empfänger mit OK belegt sind bleibt zum Schluß dann
doch ein reject, wenn die Tabelle verlassen wird.

Ich habe in der master.cf den verbose_Modus eingeschaltet. Ich
kann erkennen, daß Postfix auf die Tabelle zugreift.
Dennoch kann an darin nicht festgehaltene User zugestellt werden.

Was die Attaken betrifft, konnte ich mit folgenden body_checks_regexp
Erfolg erzielen:

/Get A FREE/          REJECT spoofed 11
/See The/             REJECT spoofed 12
/Go Now/              REJECT spoofed 13
/Check It/            REJECT spoofed 14
/New Items/           REJECT spoofed 15
/Get Your FREE/       REJECT spoofed 16
/See The/             REJECT spoofed 17
/See What/            REJECT spoofed 18
/Check Out/           REJECT spoofed 19
/View Our/            REJECT spoofed 20
/See Our/             REJECT spoofed 21
/View What/           REJECT spoofed 22
/Always get/          REJECT spoofed 23

Es handelt sich bei den mails um bounces. Dieser SPAM wurde also
angeblich von meiner Domain abgeschickt. Es ist schon erstaunlich,
das SMTP-Protokoll keine Kontrolle zuläßt, wer das mail from:
erzeugt.

Gruß

-- 
   Andreas Meyer

"We only do well the things we like doing." - Colette