[Postfixbuch-users] Spam von eigenen Domains (lokal) / BLACKLISTED dynamische IP

mrg at unimx.de mrg at unimx.de
Mo Dez 3 22:19:38 CET 2007 

Steht halt drin im Header:


X-Sieve: CMU Sieve 2.2
Received: from localhost (unknown [127.0.0.1])
	by MYPOSTFIXHOST (Postfix) with ESMTP id 565D52ADE8A
	for <POSTFACHNAME at MYPOSTFIXHOST >; Mon,  3 Dec 2007 11:33:28 +0000
(UTC)
X-Spam-Status: Yes, score=10.808 tagged_above=-999 required=7
	tests=[AWL=-1.564, BAYES_50=0.001, DYN_RDNS_SHORT_HELO_HTML=0.499,
	HELO_OEM=2.195, HTML_MESSAGE=0.001, MSGID_MULTIPLE_AT=1.449,
	RCVD_IN_BL_SPAMCOP_NET=1.96, RCVD_IN_PBL=0.905,
	RCVD_IN_SORBS_DUL=0.877, RCVD_IN_XBL=3.033, RDNS_DYNAMIC=0.1,
	TVD_RCVD_SINGLE=1.351, WHOIS_NETSOLPR=0.001]
X-Spam-Report:
 *  2.2 HELO_OEM HELO_OEM
 *  1.4 TVD_RCVD_SINGLE TVD_RCVD_SINGLE
 *  1.4 MSGID_MULTIPLE_AT Message-ID contains multiple '@' characters
 *  0.0 HTML_MESSAGE BODY: HTML included in message
 *  0.0 BAYES_50 BODY: Bayesian spam probability is 40 to 60%
 *      [score: 0.5000]
*  0.9 RCVD_IN_PBL RBL: Received via a relay in Spamhaus PBL
 *      [88.73.186.210 listed in zen.spamhaus.org]
 *  3.0 RCVD_IN_XBL RBL: Received via a relay in Spamhaus XBL
 *  0.9 RCVD_IN_SORBS_DUL RBL: SORBS: sent directly from dynamic IP address
 *      [88.73.186.210 listed in dnsbl.sorbs.net]
 *  2.0 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
 *      [Blocked - see <http://www.spamcop.net/bl.shtml?88.73.186.210>]
 *  0.1 RDNS_DYNAMIC Delivered to trusted network by host with
 *      dynamic-looking rDNS
 *  0.5 DYN_RDNS_SHORT_HELO_HTML Sent by dynamic rDNS, short HELO, and HTML
 * -1.6 AWL AWL: From: address is in the auto white-list
Received: from MYPOSTFIXHOST ([127.0.0.1])
	by localhost (MYPOSTFIXHOST [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id T-2Hu66-2Hd5; Mon,  3 Dec 2007 12:33:25 +0100 (CET)
Received: from PC (dslb-088-073-186-210.pools.arcor-ip.net [88.73.186.210])
	by MYPOSTFIXHOST (Postfix) with ESMTP id DA7E42AD3F1;
	Mon,  3 Dec 2007 12:33:24 +0100 (CET)


>Stichwort: sasl authenticated (war glaub ich schon mal auf der Liste?).
>Vielleicht hilft auch nach "Trusted path" in Verbindung mit 
>amavisd-new/Spamassassin zu suchen.

smtpd_sasl_authenticated_header = yes

Steht bereits im main.cf

> PS:
> 
> Ist das in der Praxis auch wirklich so dass in Standardchecks nur die IP
des
> einliefernden Mailservers auf den Blacklists getestet wird?

Meine das generell. Es wird doch eig. nicht die IP des Internetanschlusses
mit amavisd-new getestet, sondern die IP des einliefernden Mailservers.
Oben in den Beispiel wird aber die dynamisch IP getestet, da der
einliefernde Mailserver = empfangender Mailserver ist.



-----Ursprüngliche Nachricht-----
Von: postfixbuch-users-bounces at listi.jpberlin.de
[mailto:postfixbuch-users-bounces at listi.jpberlin.de] Im Auftrag von Matthias
Haegele
Gesendet: Montag, 3. Dezember 2007 18:16
An: Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.
Betreff: Re: [Postfixbuch-users] Spam von eigenen Domains (lokal) /
BLACKLISTED dynamische IP

mrg at unimx.de schrieb:
> Hallo,
> 
>  
> 
> ich habe amavisd-new mit Postfix laufen.
> 
> Im Postfix habe ich zwei Domains: domain-a.de / domain-b.de
> 
>  
> 
> Sende ich nun eine Mail über ein externes Mailprogramm von domain-a.de
nach
> domain-b.de landet die Mail als Spam im Spamordner von domain-b.de
> 
>  
> 
> Der Header sagt dass die SenderIP 88.NN (ARCOR dyn. IP) geblacklistet ist.


Zeig mal ein Beispiel?

> Soweit klar, nur sollte nicht die IP meines Internetanschlusses sondern
die
> IP des einliefernden Mailservers für DNSBL-Anfragen genutzt werden?
> 
> Dieser ist in dem Fall ja LOKAL. Wie kann ich es verhindern, dass
> amavisd-new diese Mails nicht scannt?
> 

Stichwort: sasl authenticated (war glaub ich schon mal auf der Liste?).
Vielleicht hilft auch nach "Trusted path" in Verbindung mit 
amavisd-new/Spamassassin zu suchen.

> PS:
> 
> Ist das in der Praxis auch wirklich so dass in Standardchecks nur die IP
des
> einliefernden Mailservers auf den Blacklists getestet wird?

Von wem jetzt: von Spamassassin/amavis oder von Blacklists in Postfix?, 
das ist ein Unterschied ...
Postfix sitzt früher im Nachrichtenfluss kann deshalb auf "Envelope" 
Informationen zurückgreifen, nachgeschaltete Filter tun sich da schwerer 
(Vorteil f. Postfix). Nachgeschaltete Filter können Punkte vergeben, 
Postfix sagt nur OK oder eben REJECT (Vorteil von Blacklists in Filtern).

> z.B. wenn ich an PROVIDERA eine Mail sende blockt der tatsächlich nicht
> meine ProviderIP, sondern nur die IP des einliefernden Mailservers (also
> statische IP des Mailservers).
> 
> Ich weiß sicher sein kann man sich da nie, aber wie ist die Regel? Nicht
> dass ich mir nur einbilde, dass immer die IP des einliefernden Servers
> genommen wird.

Gewisse (Zusatz) Regeln wie "Botnet" in Spamassassin prüfen auch auf 
"Relay Headers".
Kommt natürlich darauf an was du nimmst (Da kann man aber auch Ausnahmen 
für eigene, wie fast überall definieren).

Whitelists wären natürlich auch noch eine Möglichkeit, (afair ist 
whitelist from sicherer, bitte daran denken dass Adressen auch leicht 
gefälscht werden können ...).

> Danke und Grüße Martin

-- 
Grüsse/Greetings
MH


Dont send mail to: ubecatcher at linuxrocks.dyndns.org
--

-- 
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

Postfixbuch-users at listi.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

Mehr Informationen über die Mailingliste Postfixbuch-users