[Postfixbuch-users] RBL Blocks meines Servers

[Stefan Förster]

* Online-WebService24 - Postfix <postfix at online-webservice24.de>:
> witzig nur, dass die laut logs nie über meinen Server lief, wie auch, da
> der sich mit seinem Namen meldet und nicht mit kundendomains ...

Wenn man sich die Header im Report mal ansieht (was man als erstes tun
sollte), so sieht man:

> Received: from srv1.online-webservice24.de ([85.88.6.105] helo=www.ringowilhelm.de)
> by pascal.junkemailfilter.com with smtp (Exim 4.71) id 1OLiqU-0003RH-Gt on interface=65.49.42.61
> for erik at sherpabusiness.com; Mon, 07 Jun 2010 13:23:03 -0700

Das hier ist der Exim des Junk-Mail-Filter-Providers (hossa, was ein
Wort!). Der ist jetzt - für die Gegenseite - per se mal
vertrauenswürdig, und der behauptet eben, die Mail von der 85.88.6.105
empfangen zu haben.

> Received: (qmail 99405 invoked by uid 33); 07 Jun 2010 20:22:48 +0000

Und das hier stimmt mich nachdenklich. Angenommen, das wäre ein
Debian-System, dann würde das heißen, daß da www-data eine Mail via
qmail verschickt hat. Das kann jetzt entweder heißen, daß Du ein qmail
betreibst und es nicht merkst, oder aber, daß dieser Header gefälscht
wurde, dann wäre die Mail mit an Sicherheit grenzender
Wahrscheinlichkeit von einer fehlerhaften Webapplikation verschickt
worden.

Rausfinden kannst Du das mit Deinem derzeitigen Setup wohl gar nicht.
Angenommen Du hast kein qmail installiert, dann kannst Du für die
Zukunft aber darüber nachdenken, auf dem Webserver keine direkten
Verbindungen auf Port 25 nach draußen zuzulassen (außer natürlich zu
einem Mailrelay), dann müssen alle Applikationen entweder das
Mailrelay kontaktieren (und sich dort ggf. authentifizieren) oder das
sendmail-Kommando benutzen (damit wäre dann die UID im Header, läuft
jeder vhost unter einer eigenen UID, hast Du dann gewonnen). Ich werd
Dich jetzt hier ideentechnisch nicht mit dem Löffel füttern, aber ich
bin mir sicher, Dir fallen da ein paar Dinge ein.


Stefan