[Postfixbuch-users] MX verification

[Kai Fürstenberg]

Hallo Thomas,

t.klein at sicom-ag.de schrieb:
> 
> Hallo zusammen,
> 
> der kürzlich aufgebaute Postfix-Server mit postgrey läuft soweit ganz 
> gut, nur merke ich, daß doch noch einiges an Spam mit durchrutscht.
> 
> Anscheinend wird von 1und1 / Schlund&Partner ein Mailserver mißbraucht, 
> um hier und da Spam zu versenden. mountng.kundenserver.de macht 
> regelmßig connections zum postfix und versucht an die ein oder andere 
> Adresse Nachrichten loszuwerden. Allerdings mit Absendern 
> abenteuerlichster Herkunft, also definitv keine Ham-Mails. Vielleicht 
> hat ja auch jemand von euch dieses Phänomen (ich dachte eigentlich 
> 1und1/Schlund wäre ein zuverlässiger Anbieter, der Spam-Versendung von 
> seinen Servern möglichst unterbindet/eindämmt).

1und1 hat auch Probleme mit Greylistings. Wird eine Mail temporär
zurückgewiesen, versucht später ein anderer Mail-Server die Mail
zuzustellen, die dann natürlich erneut in der Greyliste landet. Das kann
auch schon mal 5 oder mehr Versuche dauern, bis das Triplet übereinstimmt.

Bei den 1und1 Mail-Servern muss man sich anmelden. Vielleicht ist einer
an irgendwelche Zugangsdaten rangekommen, oder jemand nutzt seinen
regulären Account (wie blöd muss man sein ;-) ).

> Auch wenn die Server von Schlund / 1und1 nicht auf irgendwelchen 
> Blacklisten stehen (ist ihnen ja auch nicht zu wünschen) sollte doch 
> auch diese Art von Spam zu bekämpfen sein.... Ich habe gesehen, daß die 
> angegebenen Absenderadressen keine MX-Einträge von 1und1/Schlund besitzen.
> 
> Ich erinnere mich dunkel, daß es eine Möglichkeit gab/gibt, beim Empfang 
> einer Mail den MX-Record der Absenderdomain abzufragen; stimmt die 
> abgefragte Adresse nicht mit der Adresse des Servers, der die Mail 
> gerade versucht zuzustellen, wird die Mail abgewiesen. Ich habe auch 
> schon gesehen, daß Mails abgewiesen wurden, wenn der im HELO angegebene 
> Hostname nicht mit dem mx-record der Absenderdomain übereinstimmte, die 
> Mail auch abgewiesen wird.

Wenn sich jemand korrekt anmeldet, wird eine Mail im Normalfall
durchgelassen. Dann spielt es auch keine Rolle mehr, welche
Absender-Adresse verwendet wird. Diese Form der Konfiguration wird sehr
häufig verwendet. Man geht davon aus, dass, wenn ein Client sich
authentifiziert, dass er dann auch berechtigt ist, Mail zu senden, auch
wenn die Absender-Adresse nicht in der eigenen Domain oder die Domain
nicht unter eigener Verwaltung liegt.

> Hat jemand von euch hierfür einen Ansatz?

Nun, es ist niemals gesagt, dass der eingetragene MX auch Mails
versendet. Der Eintrag existiert eigentlich nur für Mails die
eingeliefert werden sollen. Einen Eintrag, welcher Server für eine
bestimmte Domain Mail versendet gibt es nicht. Darum ist in meinen Augen
der Vergleich des Absender-MX mit dem HELO-Namen auch nicht ratenswert.
Du würdest mit Sicherheit Unmengen auch erwünschter Mail blocken.

Gruß Kai