[Postfixbuch-users] myhostname und Spammer

Peter Beck peter at datentraeger.li
Mo Jul 1 16:52:06 CEST 2013 

On 07/01/2013 04:10 PM, Kai Fürstenberg wrote:
> Hallo Peter,
Hallo Kai,
>
>> smtpd_sender_restrictions =
>>           check_sender_access pcre:/etc/postfix/access-sender,
>>           reject_non_fqdn_sender,
>>           reject_unknown_sender_domain,
> warum prüfst du doppelt? Denn unten hast du das gleiche nochmal...
> Unnötig, kann komplett weg.
Ok, wo du recht hast, hast du recht ;-) War wohl "doppelt genaeht
haelt besser" oder sowas.

>
>> smtpd_recipient_restrictions =
>> [...]
>>           # internal whitelisten (pcre!)
>>           #check_sender_access pcre:/etc/postfix/access-sender,
> ^^ NIEMALS (!!!) nach Absender whitelisten. Absender sind fälschbar.
Das gefaellt mir eben auch nicht, hatte die Frage vor ein paar Tagen
schon mal hier gestellt und Ralf hat mir einen Tip gegeben.
Dies ist hier jedoch sowieso ueberfluessig geworden, aber wohl vergessen
rauszuloeschen.
> Steht da ein OK/permit drin, kann jeder mit deinem Domainnamen senden,
> ob angemeldet oder nicht. Du kannst stattdessen ein
> permit_sasl_authenticated als Aktion reinsetzen. Du hast die Datei
> leider nicht mitgeliefert.
Im access-sender steht nur folgende Zeile drin:

/(.*)@mx.domain.com/   REJECT F*** OFF!

weil sonst diese verdaechtigen Connections zustande kamen.
Damit werden sie wenigstens sofort rejected.

>
> Das ist nur das Log eines Double-Bounce. Das Log der Einlieferung wäre
> hier interessanter.
Ich kapiers nicht wirklich. Zwar les ich relay access denied, aber das 
ganze kommt mir doch sehr suspekt vor, da ist doch gewaltig
was schief auf dieser Kiste.... Die Logs geben auch nicht grad viel her:

grep B5E275E5C /var/log/mail.log:

Jul  1 16:43:42 unxgrp001 postfix/cleanup[27322]: B5E275E5C: 
message-id=<20130701144342.B5E275E5C at mx.domain.com>
Jul  1 16:43:42 unxgrp001 postfix/qmgr[27300]: B5E275E5C: 
from=<double-bounce at domain.com>, size=253, nrcpt=1 (queue active)
Jul  1 16:43:43 unxgrp001 postfix/smtp[27379]: B5E275E5C: host 
freemx1.sinamail.sina.com.cn[202.108.7.19] refused to talk to me: 421 
#4.4.5 Too many connections to this host.
Jul  1 16:43:48 unxgrp001 postfix/smtp[27379]: B5E275E5C: 
to=<ouyang0777 at sina.com>, 
relay=freemx2.sinamail.sina.com.cn[218.30.115.106]:25, delay=5.8, 
delays=0.01/0/4.8/1, dsn=2.0.0, status=deliverable (250 recipient 
<ouyang0777 at sina.com> ok)
Jul  1 16:43:49 unxgrp001 postfix/qmgr[27300]: B5E275E5C: removed

grep ouyang0777 at sina.com /var/log/mail.log:

Jul  1 16:43:42 unxgrp001 postgrey[1715]: action=greylist, reason=new, 
client_name=unknown, client_address=58.250.119.168, 
sender=tazpapw at mx.domain.com, recipient=ouyang0777 at sina.com
Jul  1 16:43:48 unxgrp001 postfix/smtp[27379]: B5E275E5C: 
to=<ouyang0777 at sina.com>, 
relay=freemx2.sinamail.sina.com.cn[218.30.115.106]:25, delay=5.8, 
delays=0.01/0/4.8/1, dsn=2.0.0, status=deliverable (250 recipient 
<ouyang0777 at sina.com> ok)
Jul  1 16:43:48 unxgrp001 postfix/smtpd[27389]: NOQUEUE: reject: RCPT 
from unknown[58.250.119.168]: 554 5.7.1 <ouyang0777 at sina.com>: Relay 
access denied; from=<tazpapw at mx.domain.com> to=<ouyang0777 at sina.com> 
proto=ESMTP helo=<dfytnswg>

Was ich heute noch hinzugefuegt habe, war das permit_mx_backup, auf dem 
MX-Backup sind jedoch keine verdaechtigen Logs zu finden, ueber den 
kompletten Tag nicht.

Gruss
Peter

Mehr Informationen über die Mailingliste Postfixbuch-users