[Postfixbuch-users] Mal wieder Spam....

Thomas Klein mailinglist at skynetworks.de
Mo Okt 16 16:09:41 CEST 2006 

>> Servus,

>Hallo Thomas!

Hallo Matthias,

>> ich bekomme (eigentlich schon seit längerem) von moutng.kundenserver.de
>> Massen von Spam zugestellt, welcher sich auch mit den bisher (vielleicht
>> einfachen, aber bisher effektiven) implementierten Spamabwehrmechanismen
>   ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>> nicht abfangen lässt.

>Die da wären?

ich habe im Moment im Einsatz: postgrey, diverse rbls, und amavisd-new in 
Filter-Grundbestückung und clamav

>>
>> Ich vermute, daß ein dort existierender Mailaccount verwendet wird, um 
>> mit
>> einer gefälschten Absenderadresse den Müll zu verteilen.

>Hmm. Auf Vermutungen würde ich mich nicht verlassen ... Wie hast du das
>festgestellt? Logs dazu?

Praktisch alle Spam-Mails, die noch die verschiedenen Filter gelangen, 
kommen von moutng.kundenserver.de (laut mail.log). Hier ist das greylisting 
wirkungslos, da der Schlund/1und1 Mailserver noch ein zweites mal (oder noch 
öfter wenn nötig) versucht, die Mail zuzustellen. moutng.kundenserver.de 
steht auch auf keiner Blacklist (wäre ja auch nicht ganz so gut, es gibt 
auch jede Menge ham-Mails welche von diesem Server an uns zugestellt 
werden). Da die Schlund-Server meines Wissens kein Relay ohne 
Authentifizierung zulassen, vermute ich eben, daß jemand einen existierenden 
Account für SMTP AUTH benutzt und eine gefälschte Mailadresse angibt.

>>
>> Ich schätze mal, die einzige Möglichkeit, mir den Kram vom Hals zu 
>> schaffen
>> wäre eine Überprüfung des Hostnamens mit dem MX-Record der angegebenen
>> Absenderdomain - wobei das schon bei einer 1und1-gehosteten Domain nach
>> hinten losgehen würde, da im MX mx00.kundenserver.de drin steht und die
>> Mails von moutng.kundenserver.de zugestellt werden.
>>
>> Habe zwar eine Anfrage bei 1und1 am laufen, glaube aber nicht, daß da
>> wirklich was produktives rauskommt.

>abuse?

Habe ich schon informiert, aber noch keine Rückmeldung.

>>
>> Ich möchte eigentlich den Inhalt der Mails nicht näher prüfen; eine
>> Überprüfung, ob der Zustellungsweg konform ist (der ist es ja 
>> schliesslich
>> nicht so, wie er korrekterweise sein sollte) wäre mir lieber.

>Logs?

Ich könnte einen Mailheader anbieten:

Received: from smtp.domain.de [192.9.224.4] by david.domain.local with DvISE 
PostMan (0232.44484B4B45474948504A);
 16 Oct 2006 09:28:39 UT
Received: from localhost (localhost.localdomain [127.0.0.1])
 by smtp.domain.de (Postfix) with ESMTP id 43285D53A8
 for <info at domain.de>; Mon, 16 Oct 2006 11:28:33 +0200 (CEST)
Received: from smtp.domain.de ([127.0.0.1])
 by localhost (localhost [127.0.0.1]) (amavisd-new, port 10024)
 with ESMTP id 01835-04 for <info at domain.de>;
 Mon, 16 Oct 2006 11:28:01 +0200 (CEST)
Received: from moutng.kundenserver.de (moutng.kundenserver.de 
[212.227.126.171])
 by smtp.domain.de (Postfix) with ESMTP id 14BF5D53A1
 for <info at domain.de>; Mon, 16 Oct 2006 11:27:57 +0200 (CEST)
Received-SPF: none (mxeu7: 88.242.80.113 is neither permitted nor denied by 
domain of binaryit.com) client-ip=88.242.80.113; 
envelope-from=xrf at binaryit.com; helo=peker;
Received: from [88.242.80.113] (helo=peker)
 by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis),
 id 0MKsxo-1GZOlZ2ie4-0006Mz for info at domain.de; Mon, 16 Oct 2006 11:28:17 
+0200
Received: from 209.250.142.207 (HELO mail.binaryit.com)
     by domain.de with esmtp (RJLI18A8FO JO7W4L)
     id GYU34D-3UUVM5-62
     for info at domain.de; Mon, 16 Oct 2006 09:28:19 -0120
From: "Mariana Quinn" <xrf at binaryit.com>
To: <info at domain.de>
Subject: Essential message. You have to read.
Date: Mon, 16 Oct 2006 09:28:19 -0120
Message-ID: <01c6f105$6abcdad0$6c822ecf at xrf>
MIME-Version: 1.0
Content-Type: text/plain;
 charset="iso-8859-2"
Content-Transfer-Encoding: 7bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Thread-Index: Aca6Q3ESZ32XNIO492G79M8T29D1PU==
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at domain.de




> Vielleicht hat ja jemand einen Tip oder das gleiche Problem wie ich...

>Welche Postfix Version?

mail_version = 2.1.5

>>
>> Gruss
>> Thomas

>Grüsse
>MH

Mehr Informationen über die Mailingliste Postfixbuch-users