From helge.wiethoff at thga.de Wed Jun 2 22:15:28 2021 From: helge.wiethoff at thga.de (Wiethoff, Helge) Date: Wed, 2 Jun 2021 20:15:28 +0000 Subject: =?utf-8?B?cmF0ZS1saW1pdCBmw7xyIFVzZXItQWNjb3VudHM=?= Message-ID: <179b439d3866f21a48e70c0cd29aa0bbd3d93f62.camel@thga.de> Hallo zusammen, leider mussten wir einiges an Reputation unseres Mail-Gateways einbüßen, nachdem ein Account kompromittiert wurde und Spam versandt hat. Ich habe jetzt als kleine "Sofort-Maßnahme" für rspamd ein naemon/nagios-Plugin gebastelt, dass den rspamd-Mail-Throughput in naemon/nagios nutzt: Wenn über einen Zeitraum x mehr Mails als y über rspamd gehen, wirft Nagios/Naemon eine Warnung. Ich würde jetzt gerne an irgendeiner Stelle ein rate-limit für Mails mit "From: ... at sub.example.com" einführen, dass größer ist, als mein Nagios-Plugin: Dadurch würde ich weiterhin gewarnt werden aber es wird dem User ein Riegel vorgeschoben und es können keine weiteren Mails versendet werden. Geht das irgendwie mit Postfix oder Dovecot-Bordmitteln? Auf dem Mail- Gateway läuft rspamd und da gibt es ja auch ein rate-limit-Modul. Geht das damit? Irgendwie so vielleicht oder stelle ich mir die selectors falsch vor? from = { selector = smtp_from.lower;from("smtp","orig"):domain.get_tld.in('sub.example.com' ) bucket = { burst = 100; rate = 0.01666666666666666666; # leak 1 message per minute } } Viele Grüße aus Bochum Helge From Ralf.Hildebrandt at charite.de Thu Jun 3 08:59:37 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 3 Jun 2021 08:59:37 +0200 Subject: [ext] rate-limit =?utf-8?B?ZsO8?= =?utf-8?Q?r?= User-Accounts In-Reply-To: <179b439d3866f21a48e70c0cd29aa0bbd3d93f62.camel@thga.de> References: <179b439d3866f21a48e70c0cd29aa0bbd3d93f62.camel@thga.de> Message-ID: * Wiethoff, Helge : > leider mussten wir einiges an Reputation unseres Mail-Gateways > einbüßen, nachdem ein Account kompromittiert wurde und Spam versandt > hat. Ein golden classic. > Ich würde jetzt gerne an irgendeiner Stelle ein rate-limit für Mails > mit "From: ... at sub.example.com" einführen, dass größer ist, als mein > Nagios-Plugin: Dadurch würde ich weiterhin gewarnt werden aber es wird > dem User ein Riegel vorgeschoben und es können keine weiteren Mails > versendet werden. Ich mache das via postfwd: &&EXCHANGE { client_address==10.32.x.y client_address==10.32.y.x # Exchange HT } # Arbeitszeit id=mass_mailing_business_hours days=Mon-Fri time=08:00:00-20:00:00 &&EXCHANGE action=rcpt(sender/500/43200/450 4.7.1 Recipient limit exceeded) # sonst id=mass_mailing_feierabend time=20:00:01-23:59:59 time=00:00:00-07:59:59 days=Mon-Fri &&EXCHANGE action=rcpt(sender/250/43200/450 4.7.1 Recipient limit exceeded) # sonst id=mass_mailing_wochenende days=Sat days=Sun &&EXCHANGE action=rcpt(sender/200/43200/450 4.7.1 Recipient limit exceeded) Das "&&EXCHANGE" limitiert das auf die IPs des Exchangeserver, da der Mailman senden können soll. > Geht das irgendwie mit Postfix oder Dovecot-Bordmitteln? Nein. > Auf dem Mail- > Gateway läuft rspamd und da gibt es ja auch ein rate-limit-Modul. Das habe ich nie verstanden, würde daher auch eine Antwort in diesem Bereich begrüßen. > Geht > das damit? Irgendwie so vielleicht oder stelle ich mir die selectors > falsch vor? > > from = { > selector = smtp_from.lower;from("smtp","orig"):domain.get_tld.in('sub.example.com' > ) > bucket = { > burst = 100; > rate = 0.01666666666666666666; # leak 1 message per minute > } > } -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From harald.witt at dpfa.de Thu Jun 3 11:52:55 2021 From: harald.witt at dpfa.de (harald.witt at dpfa.de) Date: Thu, 3 Jun 2021 11:52:55 +0200 Subject: =?utf-8?Q?AW:_rate-limit_f=C3=BCr_User-Accounts?= In-Reply-To: <179b439d3866f21a48e70c0cd29aa0bbd3d93f62.camel@thga.de> References: <179b439d3866f21a48e70c0cd29aa0bbd3d93f62.camel@thga.de> Message-ID: <000001d7585e$3a6c1190$af4434b0$@dpfa.de> Ja, ja. Der Klassiker. Ich mache das immer noch mit dem guten alten policyd (cluebringer). - 2 Gruppen gebildet: internal_domains und _unlimited - Policy "outbound mails max. 500" angelegt für max. 500 Mails pro Tag - Members der policy: %internal_domains,!%_unlimited - Quota angelegt mit Tracking "Sender: user at domain" und Link to policy " outbound mails max. 500" - Limit von 500 der Quota zugeordnet Zugegeben, ist ein bisschen tricky. Funktioniert aber seit vielen Jahren hervorragend. Und hat mich schon einige Male vor genau deinem Problem gerettet. Grüße Harald -----Ursprüngliche Nachricht----- Von: Postfixbuch-users Im Auftrag von Wiethoff, Helge Gesendet: Mittwoch, 2. Juni 2021 22:15 An: postfixbuch-users at listen.jpberlin.de Betreff: rate-limit für User-Accounts Hallo zusammen, leider mussten wir einiges an Reputation unseres Mail-Gateways einbüßen, nachdem ein Account kompromittiert wurde und Spam versandt hat. Ich habe jetzt als kleine "Sofort-Maßnahme" für rspamd ein naemon/nagios-Plugin gebastelt, dass den rspamd-Mail-Throughput in naemon/nagios nutzt: Wenn über einen Zeitraum x mehr Mails als y über rspamd gehen, wirft Nagios/Naemon eine Warnung. Ich würde jetzt gerne an irgendeiner Stelle ein rate-limit für Mails mit "From: ... at sub.example.com" einführen, dass größer ist, als mein Nagios-Plugin: Dadurch würde ich weiterhin gewarnt werden aber es wird dem User ein Riegel vorgeschoben und es können keine weiteren Mails versendet werden. Geht das irgendwie mit Postfix oder Dovecot-Bordmitteln? Auf dem Mail- Gateway läuft rspamd und da gibt es ja auch ein rate-limit-Modul. Geht das damit? Irgendwie so vielleicht oder stelle ich mir die selectors falsch vor? from = { selector = smtp_from.lower;from("smtp","orig"):domain.get_tld.in('sub.example.com' ) bucket = { burst = 100; rate = 0.01666666666666666666; # leak 1 message per minute } } Viele Grüße aus Bochum Helge From sebastian at debianfan.de Thu Jun 3 12:26:00 2021 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 3 Jun 2021 12:26:00 +0200 Subject: Log Tool Message-ID: Moin, ich brauche für Postfix ein Logtool - meinetwegen auch über die Kommandozeile. Lightmeter hatte ich gesehen - aber Webgui & Co ist zu viel - völlig unnötig. Ich möchte nur wissen "pro Domain, wieviele Mails gingen rein und raus und wieviel Traffic hat das verursacht" ? Gibt es hier Empfehlungen für ein einfaches Tool? Postfix Version 3.4.14 Sebastian From sk71 at gmx.de Thu Jun 3 12:52:34 2021 From: sk71 at gmx.de (GMX Account) Date: Thu, 03 Jun 2021 12:52:34 +0200 Subject: Log Tool In-Reply-To: References: Message-ID: <5d86d885f05aee8feb98c6b3b08ed87f@mail2.ik-it.com> Hi, sieh Dir mal den folgenden Artikel an, vielleicht ist das genau das, was Du suchst: https://www.howtoforge.de/anleitung/postfix-uberwachung-mit-mailgraph-und-pflogsumm-auf-debian-etch/ --- Original Nachricht --- Betreff: Log Tool Von: "sebastian at debianfan.de" An: postfixbuch-users at listen.jpberlin.de Datum: 03-06-2021 12:26 Moin, ich brauche für Postfix ein Logtool - meinetwegen auch über die Kommandozeile. Lightmeter hatte ich gesehen - aber Webgui & Co ist zu viel - völlig unnötig. Ich möchte nur wissen "pro Domain, wieviele Mails gingen rein und raus und wieviel Traffic hat das verursacht" ? Gibt es hier Empfehlungen für ein einfaches Tool? Postfix Version 3.4.14 Sebastian -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : logo_ik.png Dateityp : image/png Dateigröße : 8696 bytes Beschreibung: nicht verfügbar URL : From bjoern.meier at gmail.com Thu Jun 3 12:59:42 2021 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Thu, 3 Jun 2021 12:59:42 +0200 Subject: Log Tool In-Reply-To: References: Message-ID: Moin, Was genau meinst du mit Log-Tool? Ich bin verwirrt. Unter Linux nimmt man Syslog. Postfix macht das von allein. Spezifikation, bitte. Mit freundlichem Gruss Bjoern Meier > > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From sebastian at debianfan.de Thu Jun 3 13:10:13 2021 From: sebastian at debianfan.de (sebastian at debianfan.de) Date: Thu, 3 Jun 2021 13:10:13 +0200 Subject: Log Tool In-Reply-To: References: Message-ID: <8bb03add-0397-3897-eba4-6cfad3d983ad@debianfan.de> für Apache gibts webalizer, für Postfix pflogsumm - aber pflogsumm ist auch "to much". Ich möchte eigentlich nur wissen, wieviel eingehenden & ausgehenden Traffic domain1.de, domain2.com und domain3.org verursacht haben - das muss ja im Postfix-Log stehen. Am 03.06.2021 um 12:59 schrieb Bjoern Meier: > Moin, > > Was genau meinst du mit Log-Tool? Ich bin verwirrt. Unter Linux nimmt > man Syslog. Postfix macht das von allein. > Spezifikation, bitte. > > Mit freundlichem Gruss > Bjoern Meier > > > > > > From Ralf.Hildebrandt at charite.de Thu Jun 3 13:12:04 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Thu, 3 Jun 2021 13:12:04 +0200 Subject: [ext] Re: Log Tool In-Reply-To: <8bb03add-0397-3897-eba4-6cfad3d983ad@debianfan.de> References: <8bb03add-0397-3897-eba4-6cfad3d983ad@debianfan.de> Message-ID: * sebastian at debianfan.de : > für Apache gibts webalizer, für Postfix pflogsumm - aber pflogsumm ist auch > "to much". > > Ich möchte eigentlich nur wissen, wieviel eingehenden & ausgehenden Traffic > domain1.de, domain2.com und domain3.org verursacht haben - das muss ja im > Postfix-Log stehen. Ja, das wertet Dir pflogsumm aus :) (Die Diskussion dauert jetzt schon länger als pflogsumm einfach zu installieren) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From bjoern.meier at gmail.com Thu Jun 3 13:26:39 2021 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Thu, 3 Jun 2021 13:26:39 +0200 Subject: [ext] Re: Log Tool In-Reply-To: References: <8bb03add-0397-3897-eba4-6cfad3d983ad@debianfan.de> Message-ID: Just for the sake of my two cents: Was sich für mich gelohnt hat, war einen Elastic-Stack aufzubauen und die GROC-Pattern zu benutzen. So kann ich in Elasticsearch, respektive Kibana, sämtliche Syslog-Felder auch als Abfrage-Felder nutzen und das ganze mega leicht grafisch darstellen lassen. Chefs lieben Elasticsearch ;) das ist aber definitiv nichts für Anfänger. Mit freundlichem Gruss Bjoern Meier > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From helge.wiethoff at thga.de Thu Jun 3 21:41:43 2021 From: helge.wiethoff at thga.de (Wiethoff, Helge) Date: Thu, 3 Jun 2021 19:41:43 +0000 Subject: =?utf-8?B?UmU6IFtleHRdIHJhdGUtbGltaXQgZsO8ciBVc2VyLUFjY291bnRz?= In-Reply-To: References: <179b439d3866f21a48e70c0cd29aa0bbd3d93f62.camel@thga.de> Message-ID: <950fde87b9aa6b133812a78a2682091f7b91194d.camel@thga.de> Hi, Am Donnerstag, dem 03.06.2021 um 08:59 +0200 schrieb Ralf Hildebrandt: > > > Ich würde jetzt gerne an irgendeiner Stelle ein rate-limit für Mails > > > Ich mache das via postfwd: Ah super! Ich habe zwar schon von postfwd gelesen aber hatte es irgendwie direkt verworfen, weil ich es für zu umfangreich für meinen Anwendungszweck empfand. Deine Konfiguration sieht aber ziemlich nach dem aus, was ich suche. Vielen Dank! > > Auf dem Mail- > > Gateway läuft rspamd und da gibt es ja auch ein rate-limit-Modul. > > Das habe ich nie verstanden, würde daher auch eine Antwort in diesem > Bereich begrüßen. Ich werde damit rumexperimentieren wenn ich hier die Kuh vom Eis hab... Viele Grüße aus Bochum Helge From driessen at fblan.de Fri Jun 4 10:44:09 2021 From: driessen at fblan.de (=?iso-8859-1?Q?Uwe_Drie=DFen?=) Date: Fri, 4 Jun 2021 10:44:09 +0200 Subject: SPam problem Message-ID: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Hallo Leute Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt werden konnten Ausgehend hab ich da zumindest sowas drin aber eingehend finde ich nicht die richtige Restriktion Immer wieder schlagen hier Spam Mails auf die nur ein 2 Zeilen , ein paar Buchstaben ohne Sinn und einer PDF bestehen Was alle gemeinsam haben ist eine übergroße Anzahl an to: mailadressen (so umme 200) Ich würde gerne die to an eine "normale" anzahl im to: feld beschränken und den Rest von extern zurückweisen Zudem der Datenschutz das in Deutschland so oder so nicht erlaubt. Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From Ralf.Hildebrandt at charite.de Fri Jun 4 11:04:05 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:04:05 +0200 Subject: [ext] SPam problem In-Reply-To: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: * Uwe Drießen : > Hallo Leute > > Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt > werden konnten > > Ausgehend hab ich da zumindest sowas drin aber eingehend finde ich nicht die > richtige Restriktion > > Immer wieder schlagen hier Spam Mails auf die nur ein 2 Zeilen , ein paar > Buchstaben ohne Sinn und einer PDF bestehen > Was alle gemeinsam haben ist eine übergroße Anzahl an to: mailadressen (so > umme 200) > > Ich würde gerne die to an eine "normale" anzahl im to: feld beschränken und > den Rest von extern zurückweisen > Zudem der Datenschutz das in Deutschland so oder so nicht erlaubt. /^Subject: [a-z]{3} [a-z]{2} [a-z] [a-z]{5}/ REJECT Pattern1 (03.06.2021) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From bjoern.meier at gmail.com Fri Jun 4 11:04:07 2021 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Fri, 4 Jun 2021 11:04:07 +0200 Subject: SPam problem In-Reply-To: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: Moin Uwe, was ist mit smtpd_recipient_limit (default: 1000) The maximal number of recipients that the Postfix SMTP server accepts per message delivery request. http://www.postfix.org/postconf.5.html Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Jun 4 11:06:00 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:06:00 +0200 Subject: [ext] Re: SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: * Bjoern Meier : > Moin Uwe, > > was ist mit > smtpd_recipient_limit (default: 1000) Das hat nix mit dem Header zu tun. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jun 4 11:06:34 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:06:34 +0200 Subject: [ext] SPam problem In-Reply-To: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: * Uwe Drießen : > Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt > werden konnten header_checks, mit einem Muster, daß die @ zählt :) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jun 4 11:09:36 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:09:36 +0200 Subject: [ext] SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: * Ralf Hildebrandt : > * Uwe Drießen : > > > Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt > > werden konnten > > header_checks, mit einem Muster, das die @ zählt :) /^To:([^@]*@){50,}/ REJECT Sorry, your message has too many recepients. /^Cc:([^@]*@){50,}/ REJECT Sorry, your message has too many recepients. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From bjoern.meier at gmail.com Fri Jun 4 11:14:24 2021 From: bjoern.meier at gmail.com (Bjoern Meier) Date: Fri, 4 Jun 2021 11:14:24 +0200 Subject: [ext] Re: SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: Moin, Am Fr., 4. Juni 2021 um 11:06 Uhr schrieb Ralf Hildebrandt < Ralf.Hildebrandt at charite.de>: > Das hat nix mit dem Header zu tun. Davon las ich nichts. Der Unterschied war, dass es ALLE Empfänger betrifft und man Checks nehmen soll, wenn man die Felder spezifizieren möchte. Es scheint zwar logisch, dass es nur den envelope betrifft, aber ich fand bisher keine Quelle. Man kann also davon ausgehen, dass es tatsächlich alle Empfänger betrifft. So steht es zumindest in der Doku. Mit freundlichem Gruss Bjoern Meier -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Jun 4 11:18:15 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:18:15 +0200 Subject: [ext] Re: SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: * Bjoern Meier : > Moin, > > Am Fr., 4. Juni 2021 um 11:06 Uhr schrieb Ralf Hildebrandt < > Ralf.Hildebrandt at charite.de>: > > Das hat nix mit dem Header zu tun. > > Davon las ich nichts. "Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt werden konnten" -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From bjo at schafweide.org Fri Jun 4 11:09:45 2021 From: bjo at schafweide.org (Bjoern Franke) Date: Fri, 4 Jun 2021 11:09:45 +0200 Subject: SPam problem In-Reply-To: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> Am 04.06.21 um 10:44 schrieb Uwe Drießen: > Hallo Leute > > Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt > werden konnten > > Ausgehend hab ich da zumindest sowas drin aber eingehend finde ich nicht die > richtige Restriktion > > Immer wieder schlagen hier Spam Mails auf die nur ein 2 Zeilen , ein paar > Buchstaben ohne Sinn und einer PDF bestehen > Was alle gemeinsam haben ist eine übergroße Anzahl an to: mailadressen (so > umme 200) > Die PDFs erhalten Malware [1]. Habe mich eben auch gefragt, wie man die sinnvoll blocken kann, da sowohl beim Arbeitgeber als auch bei einem Verein andauernd solche Mails aufschlagen. Mit einem Score von 14 für RCPT_COUNT_GT_50 bei rspamd sollten die Mails zusammen mit den anderen Scores geblockt werden. Viele Grüße Björn [1] https://www.virustotal.com/gui/file/0266273639c665b5420a08f372ec94c277d34a2a09aa3c9fd171b6473fb9d552/detection From Ralf.Hildebrandt at charite.de Fri Jun 4 11:22:34 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:22:34 +0200 Subject: [ext] Re: SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: * Bjoern Meier : > Davon las ich nichts. Der Unterschied war, dass es ALLE Empfänger betrifft > und man Checks nehmen soll, wenn man die Felder spezifizieren möchte. > Es scheint zwar logisch, dass es nur den envelope betrifft, aber ich fand > bisher keine Quelle. Man kann also davon ausgehen, dass es tatsächlich alle > Empfänger betrifft. So steht es zumindest in der Doku. Das Problem konkret bei diesem speziellen Spam ist, daß du viele Empfänger im TO: Header hast, aber nur einen lokalen Empfänger! D.h im envelope (RCPT TO:) ist eh nur EIN Empfänger. Aber die Idee mit dem To: header ist eh nicht so dolle, da leider legitime Mail oft mit vielen Empfängern im To: versendet wird (besondere Spezialisten für sowas sind Europäische Union und die WHO, hier in meinem medizinischen Kontext) zu smtpd_recipient_limit ======================== smtpd_recipient_limit (default: 1000) The maximal number of recipients that the Postfix SMTP server accepts per message delivery request --> Der Server akzeptiert die Empfänger nur im RCPT TO: Kommando, das ist halt nur envelope, kein Header. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jun 4 11:25:51 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:25:51 +0200 Subject: [ext] Re: SPam problem In-Reply-To: <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> Message-ID: * Bjoern Franke : > Die PDFs erhalten Malware [1]. ich hab das Zeug mal angesehen: Das ist ein Tittenbild mit einem "Play" Knopf, und wenn man den Klickt, wird $IRGENDWAS geladen. Ist schon unschön, aber auch beim Virustotal Link eher in Richtung "Phsishing". Beste Einstufung m.E. ist "Malicious.PDF" > Habe mich eben auch gefragt, wie man die > sinnvoll blocken kann, da sowohl beim Arbeitgeber als auch bei einem > Verein andauernd solche Mails aufschlagen. Siehe mein Posting :) * Betreff blocken * PDF Namen blocken, via mime_header_checks (nocht nicht perfekt): /['"][a-z]{6-7}\.pdf['"]/ HOLD Shady PDF 03.06.2021 -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From driessen at fblan.de Fri Jun 4 11:34:36 2021 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 4 Jun 2021 11:34:36 +0200 Subject: AW: [ext] SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: <014b01d75924$d5b3e3f0$811babd0$@fblan.de> Im Auftrag von Ralf Hildebrandt > * Uwe Drießen : > > Hallo Leute > > > > Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt > > werden konnten > > > > Ausgehend hab ich da zumindest sowas drin aber eingehend finde ich nicht > die > > richtige Restriktion > > > > Immer wieder schlagen hier Spam Mails auf die nur ein 2 Zeilen , ein paar > > Buchstaben ohne Sinn und einer PDF bestehen > > Was alle gemeinsam haben ist eine übergroße Anzahl an to: mailadressen > (so > > umme 200) > > > > Ich würde gerne die to an eine "normale" anzahl im to: feld beschränken > und > > den Rest von extern zurückweisen > > Zudem der Datenschutz das in Deutschland so oder so nicht erlaubt. > > /^Subject: [a-z]{3} [a-z]{2} [a-z] [a-z]{5}/ REJECT Pattern1 (03.06.2021) Beispiel (aber jedes Mal anders) Subject : kot jq p luqfs Der check wird also leider nicht greifen und ich hab auch Spezialisten hier die mit 2 Buchstaben im Betreff arbeiten Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From Ralf.Hildebrandt at charite.de Fri Jun 4 11:35:59 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:35:59 +0200 Subject: Spam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> Message-ID: * Ralf Hildebrandt : > * PDF Namen blocken, via mime_header_checks (noch nicht perfekt): > > /['"][a-z]{6-7}\.pdf['"]/ HOLD Shady PDF 03.06.2021 hat bei mir nix geblockt, aber evtl. greifen erst die header_checks: /var/log/mail.log-20210603:201 /var/log/mail.log:69 -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jun 4 11:37:50 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:37:50 +0200 Subject: [ext] SPam problem In-Reply-To: <014b01d75924$d5b3e3f0$811babd0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <014b01d75924$d5b3e3f0$811babd0$@fblan.de> Message-ID: * Uwe Drießen : > > /^Subject: [a-z]{3} [a-z]{2} [a-z] [a-z]{5}/ REJECT Pattern1 (03.06.2021) > > Beispiel (aber jedes Mal anders) > Subject : kot jq p luqfs Genau. Passt. drei Buchstaben, zwei Buchstaben, 1 Buchstabe, 5 Buchstaben > Der check wird also leider nicht greifen Doch. 3-2-1-5. Passt. > und ich hab auch Spezialisten hier die mit 2 Buchstaben im Betreff arbeiten DAS ist ein guter Einwand. Muss man halt nachpflegen. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From wn at neessen.net Fri Jun 4 11:39:14 2021 From: wn at neessen.net (Winfried Neessen) Date: Fri, 04 Jun 2021 11:39:14 +0200 Subject: AW: [ext] SPam problem In-Reply-To: <014b01d75924$d5b3e3f0$811babd0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <014b01d75924$d5b3e3f0$811babd0$@fblan.de> Message-ID: <5c16d517efbfe970d387d44b2c5dd215@neessen.net> Hi Am 2021-06-04 11:34, schrieb Uwe Drießen: >> /^Subject: [a-z]{3} [a-z]{2} [a-z] [a-z]{5}/ REJECT Pattern1 >> (03.06.2021) >> > Beispiel (aber jedes Mal anders) > Subject: kot jq p luqfs > > Der check wird also leider nicht greifen und ich hab auch Spezialisten > hier die mit 2 Buchstaben im Betreff arbeiten > Der Regex passt doch 100% zu dem Beispiel das Du gebracht hast. Winni From driessen at fblan.de Fri Jun 4 11:47:41 2021 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 4 Jun 2021 11:47:41 +0200 Subject: AW: [ext] SPam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: <014c01d75926$a9cf3f80$fd6dbe80$@fblan.de> Im Auftrag von Ralf Hildebrandt > * Ralf Hildebrandt : > > * Uwe Drießen : > > > > > Ich meine da gab es mal etwas das in Postfix die to: Adresssen begrenzt > > > werden konnten > > > > header_checks, mit einem Muster, das die @ zählt :) > > /^To:([^@]*@){50,}/ REJECT Sorry, your message has too many recepients. > /^Cc:([^@]*@){50,}/ REJECT Sorry, your message has too many recepients. > > -- Werde ich testen Soweit ich sehe ist das to: aber je 1/2 Empfänger eine Zeile Und die Headerchecks laufen doch immer Zeilenweise ? To: "< @ >","< @ >" "< @ >","< @ >", "< @ >","< @ >", .... Mal schematisch dargestellt ohne weiter Mailadressen zu verbreiten :-) WHO <> Europa die EU sollte sich eigentlich mit der DSVGO auskennen die ham uns die ja schließlich eingebrockt Und wenn ich das richtig im Kopf habe da gab es schon mal saftige Strafen für das verhalten :-) Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From Ralf.Hildebrandt at charite.de Fri Jun 4 11:51:46 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 11:51:46 +0200 Subject: [ext] SPam problem In-Reply-To: <014c01d75926$a9cf3f80$fd6dbe80$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <014c01d75926$a9cf3f80$fd6dbe80$@fblan.de> Message-ID: * Uwe Drießen : > > /^To:([^@]*@){50,}/ REJECT Sorry, your message has too many recepients. > > /^Cc:([^@]*@){50,}/ REJECT Sorry, your message has too many recepients. > > Werde ich testen > Soweit ich sehe ist das to: aber je 1/2 Empfänger eine Zeile > Und die Headerchecks laufen doch immer Zeilenweise ? > > To: "< @ >","< @ >" > "< @ >","< @ >", > "< @ >","< @ >", > .... Die werden zu einer logischen Zeile zusammengefasst. Glaub mir: Es klappt.. Ist aber (bei uns) unpraktikabel, selbst mit Limit 50 > WHO <> Europa > > die EU sollte sich eigentlich mit der DSVGO auskennen die ham uns die ja schließlich eingebrockt > Und wenn ich das richtig im Kopf habe da gab es schon mal saftige Strafen für das verhalten :-) Tja. "Wenn alles was man hat, Exchange ist, sieht jeder Empfänger wie ein Cc:/To: aus" (Bcc: ist in Exchange gut versteckt) -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From driessen at fblan.de Fri Jun 4 11:57:20 2021 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 4 Jun 2021 11:57:20 +0200 Subject: AW: Spam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> Message-ID: <014d01d75928$02a30140$07e903c0$@fblan.de> Im Auftrag von Ralf Hildebrandt > > * Ralf Hildebrandt : > > > * PDF Namen blocken, via mime_header_checks (noch nicht perfekt): > > > > /['"][a-z]{6-7}\.pdf['"]/ HOLD Shady PDF 03.06.2021 > > hat bei mir nix geblockt, aber evtl. greifen erst die header_checks: > > /var/log/mail.log-20210603:201 > /var/log/mail.log:69 > Da kann ich noch ein paar Namen beisteuern 8c5n201.pdf Ypml63k.pdf Den Rest hatte ich diese Woche schon gelöscht :-) Wenn ich das richtig sehe kommen so einige auch über exchange server rein (ich meine die anderen kamen auch mit ähnlichen header Ihr wisst ja Eine wird übersehen Zwei von der art ingnoriert Die dritte schaut man sich an und denkt lohnt der aufwand ? Ab der 10 muss man dann mal was tun :-)) X-OriginatorOrg: hotmail.com X-MS-Exchange-CrossTenant-AuthAs: Anonymous X-MS-Exchange-CrossTenant-AuthSource: DM6NAM11FT049.eop-nam11.prod.protection.outlook.com X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg: 00000000-0000-0000-0000-000000000000 X-MS-Exchange-CrossTenant-Network-Message-Id: 19f49b04-aa6f-4008-6d4e-08d926c1bd73 X-MS-Exchange-CrossTenant-originalarrivaltime: 03 Jun 2021 18:59:38.3226 (UTC) X-MS-Exchange-CrossTenant-fromentityheader: Internet X-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa X-MS-Exchange-CrossTenant-rms-persistedconsumerorg: 00000000-0000-0000-0000-000000000000 X-MS-Exchange-Transport-CrossTenantHeadersStamped: DM6NAM11HT209 ------------------------------------------------ Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: yes X-MS-TNEF-Correlator: x-tmn: [Rsg5vBjPW/srrTW+iUn4v0mDofp1StYB] x-ms-publictraffictype: Email x-ms-office365-filtering-correlation-id: 28c88900-9651-4c5d-ed28-08d92726d1e1 x-ms-exchange-slblob-mailprops: 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 x-ms-traffictypediagnostic: HK0PR02MB2387: x-microsoft-antispam: BCL:0; x-microsoft-antispam-message-info: CC8Yg5Rl+RZd6lX9vvQNn72eJpnX9ahhOe7A53i8jNDeScmJDcSBN8q5K6jEdUojuiQNeZ+O5zdaLhgnjRALBmdnKW3d5rE2+M2XWPF0PZCG7E05X5nyEz1CuxRygk0SI30LlgtZkTzH8iEc/Xz9JHwgUuOVj00Y8wF2v7FwY7OiQRtaSP6dETMxx3TeQiiR91jkAS7SfCA833G6rrS8Um/bw/PoaqrkLwtsvJanWo3E5KEqBC9xLAvUjKACTe/Vta00wPjgtnCPg0EVKehLKQRQC9ZVY2StC/jHEmYXdAeJfGn6+kaw3wVgyLufhzUT6RYD80su8DzvlgPuOFv4pb+C5h3eLoWZbcsZRgHeYZmF2+JVQPl6jk3OxR15AvIsX2OtGI9cKNvknjBbUcNfnxy++JLO0Kg4ImFKtLc+GSg= x-ms-exchange-antispam-messagedata: Z1jRdbJO+gHzTp+axA33U+Cq9krBNsIG7g1oNV61eSO4f6OwDcIJVZZ2N/Tag/dTpVlO5U5y/C7B4vxZwRlPFIVuoU+6sVv4+cuWvj1zkalDSQ6/pMhdZ0Yu92ljS7mngEsC/XnhOfH9xZFyMy0gug== x-ms-exchange-transport-forked: True Content-Type: multipart/mixed; boundary="_004_HK0PR02MB32517100D12741A634E12D068E3B9HK0PR02MB3251apcp_" MIME-Version: 1.0 X-OriginatorOrg: sct-15-20-3174-20-msonline-outlook-0bb73.templateTenant X-MS-Exchange-CrossTenant-AuthAs: Internal X-MS-Exchange-CrossTenant-AuthSource: HK0PR02MB3251.apcprd02.prod.outlook.com X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg: 00000000-0000-0000-0000-000000000000 X-MS-Exchange-CrossTenant-Network-Message-Id: 28c88900-9651-4c5d-ed28-08d92726d1e1 X-MS-Exchange-CrossTenant-originalarrivaltime: 04 Jun 2021 07:03:13.1221 (UTC) X-MS-Exchange-CrossTenant-fromentityheader: Hosted X-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa X-MS-Exchange-CrossTenant-rms-persistedconsumerorg: 00000000-0000-0000-0000-000000000000 X-MS-Exchange-Transport-CrossTenantHeadersStamped: HK0PR02MB2387 Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From list+postfixbuch at gcore.biz Fri Jun 4 12:14:03 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 4 Jun 2021 12:14:03 +0200 Subject: Spam problem In-Reply-To: <014d01d75928$02a30140$07e903c0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> Message-ID: <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> > Da kann ich noch ein paar Namen beisteuern > > 8c5n201.pdf > Ypml63k.pdf schau Dir mal das PDF näher an (strings, less, ...) Vor einiger Zeit gingen viele PDFs rum, die mit skia erstellt wurden. Sowas könnte man über den clamd mit yara rules blocken. [root at server ~]# cat /var/lib/clamav/rules.yara rule skia_pdf1 { meta: description = "skia pdf spam" strings: $x1 = "Skia/PDF m80" condition: $x1 and (filesize > 50KB and filesize < 329KB) } Signaturen neu laden: killall -USR2 clamd Viele Grüße Gerald From Ralf.Hildebrandt at charite.de Fri Jun 4 12:41:07 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 12:41:07 +0200 Subject: Spam problem In-Reply-To: <014d01d75928$02a30140$07e903c0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> Message-ID: > Da kann ich noch ein paar Namen beisteuern > > 8c5n201.pdf > Ypml63k.pdf Oy, meine regex ist falsch, weil keine Zahlen drin sind :( -rw------- 1 hildeb hildeb 117604 Jun 3 12:45 7q7tn2b.pdf -rw------- 1 hildeb hildeb 159520 Jun 3 12:45 bgh7mu8.pdf -rw------- 1 hildeb hildeb 169584 Jun 3 12:45 e5lnxd6.pdf -rw------- 1 hildeb hildeb 112293 Jun 3 12:45 ddon5g2.pdf -rw------- 1 hildeb hildeb 194057 Jun 3 12:45 eunzfbh.pdf -rw------- 1 hildeb hildeb 243245 Jun 3 12:45 fsskzzw.pdf -rw------- 1 hildeb hildeb 118722 Jun 3 12:45 j14af3p.pdf -rw------- 1 hildeb hildeb 124715 Jun 3 12:45 gmztgdb.pdf -rw------- 1 hildeb hildeb 140209 Jun 3 12:45 ktqsc4v.pdf -rw------- 1 hildeb hildeb 100419 Jun 3 12:45 j8fnimw.pdf -rw------- 1 hildeb hildeb 148952 Jun 3 12:45 lni1ttb.pdf -rw------- 1 hildeb hildeb 176368 Jun 3 12:45 l95nnj7.pdf -rw------- 1 hildeb hildeb 77464 Jun 3 12:45 mokan3i.pdf -rw------- 1 hildeb hildeb 228366 Jun 3 12:45 o900uxt.pdf -rw------- 1 hildeb hildeb 169356 Jun 3 12:45 wfuueru.pdf -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jun 4 12:45:06 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 12:45:06 +0200 Subject: [ext] Re: Spam problem In-Reply-To: <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> Message-ID: * Gerald Galster : > > Da kann ich noch ein paar Namen beisteuern > > > > 8c5n201.pdf > > Ypml63k.pdf > > schau Dir mal das PDF näher an (strings, less, ...) Hier meine Samples: https://drive.google.com/file/d/1cP6xB9vKXy6b0_K_vbCtvWwllp0Y3m6L/view?usp=sharing > Vor einiger Zeit gingen viele PDFs rum, die mit skia erstellt wurden. > Sowas könnte man über den clamd mit yara rules blocken. In diesem Fall findet man nix mit SKIA in der "strings" Ausgabe -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From driessen at fblan.de Fri Jun 4 13:00:39 2021 From: driessen at fblan.de (=?utf-8?Q?Uwe_Drie=C3=9Fen?=) Date: Fri, 4 Jun 2021 13:00:39 +0200 Subject: AW: Spam problem In-Reply-To: <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> Message-ID: <014f01d75930$db2694c0$9173be40$@fblan.de> Im Auftrag von Gerald Galster > > schau Dir mal das PDF näher an (strings, less, ...) > > Vor einiger Zeit gingen viele PDFs rum, die mit skia erstellt wurden. > Sowas könnte man über den clamd mit yara rules blocken. > > > [root at server ~]# cat /var/lib/clamav/rules.yara > rule skia_pdf1 { > meta: > description = "skia pdf spam" > strings: > $x1 = "Skia/PDF m80" > condition: > $x1 and (filesize > 50KB and filesize < 329KB) > } > > Signaturen neu laden: > killall -USR2 clamd Leider nix von skia drin >> Aber die PDF Version scheint recht alt zu sein -------------------------------- %PDF-1.4 1 0 obj << /Title (quam laborum incidunt voluptas quasi) /Creator (Jack Peterson) /Author (Mrs. Ms. Miss Michelle Kelly) /Subject (natus nobis aperiam quas sed doloremque sit fugiat.) /Producer (Amanda Grant) /CreationDate (D:20210604073557+03'00') >> endobj 3 0 obj << /Type /ExtGState /SA true /SM 0.02 /ca 1.0 /CA 1.0 /AIS false /SMask /None>> endobj 4 0 obj [/Pattern /DeviceRGB] endobj 6 0 obj << /Type /XObject /Subtype /Image /Width 815 /Height 600 /BitsPerComponent 8 /ColorSpace /DeviceRGB /Length 7 0 R /Filter /DCTDecode >> Stream ------------------------------------ %PDF-1.4 1 0 obj << /Title (exercitationem omnis labore rerum) /Creator (Roy Gardner) /Author (Mr. Dr. Wayne Oliver) /Subject (ex dolor omnis veniam molestiae et voluptatem cumque.) /Producer (Maria Flores) /CreationDate (D:20210603191824+03'00') >> endobj 3 0 obj << /Type /ExtGState /SA true /SM 0.02 /ca 1.0 /CA 1.0 /AIS false /SMask /None>> endobj 4 0 obj [/Pattern /DeviceRGB] endobj 6 0 obj << /Type /XObject /Subtype /Image /Width 796 /Height 600 /BitsPerComponent 8 /ColorSpace /DeviceRGB /Length 7 0 R /Filter /DCTDecode >> Stream ------------------ %PDF-1.4 1 0 obj << /Title (ab accusamus) /Creator (Joyce Hamilton) /Author (Mrs. Ms. Miss Angela Wells) /Subject (placeat officiis at mollitia qui fugit est quaerat.) /Producer (Roy Garza) /CreationDate (D:20210603213113+03'00') >> endobj 3 0 obj << /Type /ExtGState /SA true /SM 0.02 /ca 1.0 /CA 1.0 /AIS false /SMask /None>> endobj 4 0 obj [/Pattern /DeviceRGB] endobj 6 0 obj << /Type /XObject /Subtype /Image /Width 886 /Height 714 /BitsPerComponent 8 /ColorSpace /DeviceRGB /Length 7 0 R /Filter /DCTDecode >> stream Mit freundlichen Grüßen Uwe Drießen -- Software & Computer Netzwerke, Server. Wir vernetzen Sie und Ihre Rechner ! Uwe Drießen Lembergstraße 33 67824 Feilbingert Tel.: 06708660045 "wenn Digitalisierung den Aufwand im Vergleich zur Analogen Arbeitsweise dermaßen erhöht, das wir nur noch am PC sitzen müssten, dann wird es Zeit sich zu überlegen zur Analogen Arbeitsweise zurückzukehren" "Programmierer müssen lernen wie Menschen denken. " "Digitalisierung heißt nicht das es WENIGER Arbeit wird. Es ist die Intelligente Art die erforderliche Arbeit auf den Kunden zu übertragen." Digitalisierung darf nicht zur Entmündigung und Benachteiligung der älteren brillentragenden Mitbürger führen." " Es gibt über 2000 Jahre alte Papierdokumente, 10000 Jahre alte Steindokumente, ich wette das älteste elektronische Dokument ist noch keine 100 Jahre." From list+postfixbuch at gcore.biz Fri Jun 4 13:36:22 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 4 Jun 2021 13:36:22 +0200 Subject: [ext] Spam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> Message-ID: > Hier meine Samples: > https://drive.google.com/file/d/1cP6xB9vKXy6b0_K_vbCtvWwllp0Y3m6L/view?usp=sharing Google sagt "Datei ist nicht vorhanden". Viele Grüße Gerald From Ralf.Hildebrandt at charite.de Fri Jun 4 13:46:16 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 13:46:16 +0200 Subject: [ext] Spam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> Message-ID: * Gerald Galster : > > Hier meine Samples: > > https://drive.google.com/file/d/1cP6xB9vKXy6b0_K_vbCtvWwllp0Y3m6L/view?usp=sharing > > Google sagt "Datei ist nicht vorhanden". Ja, musste sie entfernen, weil das Archiv als "problematisch" geflaggt wurde. -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From Ralf.Hildebrandt at charite.de Fri Jun 4 14:10:51 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 4 Jun 2021 14:10:51 +0200 Subject: [ext] Spam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> Message-ID: * Ralf Hildebrandt : > Ja, musste sie entfernen, weil das Archiv als "problematisch" geflaggt > wurde. https://drive.google.com/file/d/11HuCiP9SC_qP9EIVaVXVlnGEKQ8k1E90/view?usp=sharing Jetzt als 7z, password protected. Passwort ist: "my_password" (ohne die "") -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From list+postfixbuch at gcore.biz Fri Jun 4 15:13:20 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 4 Jun 2021 15:13:20 +0200 Subject: [ext] Spam problem In-Reply-To: References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> Message-ID: >> Ja, musste sie entfernen, weil das Archiv als "problematisch" geflaggt >> wurde. > > https://drive.google.com/file/d/11HuCiP9SC_qP9EIVaVXVlnGEKQ8k1E90/view?usp=sharing > > Jetzt als 7z, password protected. Passwort ist: "my_password" (ohne die "") Danke für die Samples. In vielen kamen folgende Strings vor, das sollte relativ sicher sein: rule shab_pdf1 { meta: description = "shab pdf spam" strings: $x1 = "Users/root/Desktop" $x2 = "/shab_html" condition: $x1 and $x2 } Bei drei der Samples hab ich nur die URL-Action als Gemeinsamkeit gefunden: 001c8c0: 0a2f 4120 3c3c 0a2f 5479 7065 202f 4163 ./A <<./Type /Ac 001c8d0: 7469 6f6e 0a2f 5320 2f55 5249 0a2f 5552 tion./S /URI./UR 001c8e0: 4920 2868 7474 703a 2f2f 7169 7072 7269 I (http://qiprri 001c8f0: 6e2e 6368 6172 6d69 6e67 636f 6e64 6f2e n.charmingcondo. 001c900: 636f 6d29 0a3e 3e0a 3e3e 0a65 6e64 6f62 com).>>.>>.endob Die Regel url_action_pdf1 sucht nach folgender Zeichenkette: ./Type /Action./S /URI./URI (http:// Je nachdem ob man http URLs in PDFs erwartet, könnte das zu weit gefasst sein. rule url_action_pdf1 { meta: description = "url action pdf" strings: $x1 = { 0a2f 5479 7065 202f 4163 7469 6f6e 0a2f 5320 2f55 5249 0a2f 5552 4920 2868 7474 703a 2f2f } condition: $x1 } Testen mit: clamscan -d /var/lib/clamav/.yara /pfad/datei.pdf Viele Grüße Gerald From list+postfixbuch at gcore.biz Fri Jun 4 15:17:49 2021 From: list+postfixbuch at gcore.biz (Gerald Galster) Date: Fri, 4 Jun 2021 15:17:49 +0200 Subject: Spam problem In-Reply-To: <014f01d75930$db2694c0$9173be40$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> <68551271-3a95-629f-a4cc-ae7c1da20c24@schafweide.org> <014d01d75928$02a30140$07e903c0$@fblan.de> <49CB017F-8D0E-4CC5-AF81-507F4F1915CF@gcore.biz> <014f01d75930$db2694c0$9173be40$@fblan.de> Message-ID: <5503BD7E-796F-4FF0-8BB3-E4DD66E25A55@gcore.biz> > /Title (quam laborum incidunt voluptas quasi) > /Subject (natus nobis aperiam quas sed doloremque sit fugiat.) > /Title (exercitationem omnis labore rerum) > /Subject (ex dolor omnis veniam molestiae et voluptatem cumque.) > /Title (ab accusamus) > /Subject (placeat officiis at mollitia qui fugit est quaerat.) Der Betreff scheint immer 8 Wörter lang zu sein und mit einem Punkt aufzuhören. Sieht auch sehr nach lorem ipsum aus, was ein begrenzter Wortschatz ist: https://www.lipsum.com (unten auf der Seite, Section 1.10.32 / 1.10.33 "de Finibus Bonorum et Malorum" Den Ansatz hab ich verworfen da yara in clamav nur max 64 Variablen zulässt, es aber um die 200 verschiedene Worte in lorem ipsum gibt. Auch als regex wurde das Speicherlimit überschritten. Viele Grüße Gerald From joerg at backschues.de Fri Jun 4 18:01:13 2021 From: joerg at backschues.de (=?UTF-8?Q?J=c3=b6rg_Backschues?=) Date: Fri, 4 Jun 2021 18:01:13 +0200 Subject: SPam problem In-Reply-To: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> References: <012b01d7591d$c9c45590$5d4d00b0$@fblan.de> Message-ID: <7dea113b-50d4-7fa7-cabd-ba95aeab59e4@backschues.de> Am 04.06.21 um 10:44 schrieb Uwe Drießen: > Immer wieder schlagen hier Spam Mails auf die nur ein 2 Zeilen , ein paar > Buchstaben ohne Sinn und einer PDF bestehen > Was alle gemeinsam haben ist eine übergroße Anzahl an to: mailadressen (so > umme 200) Bei mir ist das Muster dieser Spam E-Mails aktuell sehr eindeutig: - Host: *.outbound.protection.outlook.com - Absender: *@hotmail.com - Betreff: 3 Buchstaben, 1 Leerzeichen, 2 Buchstaben - Mail: 4 Buchstaben, 1 Leerzeichen, 2 Buchstaben - Dateiname: 7 Buchstaben und .pdf Erweiterung Ein paar Regeln sollten ausreichen :-). -- Gruß Jörg From postfixer99 at gmail.com Tue Jun 8 09:52:11 2021 From: postfixer99 at gmail.com (Carsten) Date: Tue, 8 Jun 2021 09:52:11 +0200 Subject: Unzustellbare Mails in der deferred Queue Message-ID: <57e4b3dc-d975-dcf2-e08a-e8fae96ffb43@gmail.com> Hallo zusammen, ich habe immer eine ziemliche Menge unzustellbarer Mails in der deferred Queue, weil sie z.B.an ungültige Empfängerdomänen wie z.B. gmail.de oder icloud.de, usw. versandt werden. Hier ist es dann z.B. so, dass versucht wird eine Verbindung zum A-Record aufzubauen und es gibt natürlich ein "Connection refused" und die Mail bleibt bis zu maximal_queue_lifetime in der outgoing Queue liegen. gmail.de ist hier nur ein Beispiel. Ich suche eine Lösung, für diese bekannten Zieldomänen die maximal_queue_lifetime zu verkürzen, z.B. auf 3 Stunden statt regulär 3 Tage. Ich möchte jedoch nicht generell diese Ziele blockieren, da es ja sein könnte, dass irgendwann einmal doch Mails dafür angenommen werden würden. Wie geht Ihr damit um? Beste Grüße From p at sys4.de Tue Jun 8 10:11:27 2021 From: p at sys4.de (Patrick Ben Koetter) Date: Tue, 8 Jun 2021 10:11:27 +0200 Subject: Unzustellbare Mails in der deferred Queue In-Reply-To: <57e4b3dc-d975-dcf2-e08a-e8fae96ffb43@gmail.com> References: <57e4b3dc-d975-dcf2-e08a-e8fae96ffb43@gmail.com> Message-ID: <20210608081127.6hbo33hw6qfag5s4@sys4.de> * Carsten : > Hallo zusammen, > > ich habe immer eine ziemliche Menge unzustellbarer Mails in der deferred > Queue, weil sie z.B.an ungültige Empfängerdomänen wie z.B. gmail.de oder > icloud.de, usw. versandt werden. > Hier ist es dann z.B. so, dass versucht wird eine Verbindung zum A-Record > aufzubauen und es gibt natürlich ein "Connection refused" und die Mail > bleibt bis zu maximal_queue_lifetime in der outgoing Queue liegen. > gmail.de ist hier nur ein Beispiel. Nimm nur Nachrichten für Domains an, die Postfix im DNS auflösen kann. Den Filter dazu findest Du in dem Test "reject_unknown_recipient_domain". p at rick -- [*] sys4 AG https://sys4.de, +49 (89) 30 90 46 64 Schleißheimer Straße 26/MG,80333 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief Aufsichtsratsvorsitzender: Florian Kirstein From christian at bricart.de Tue Jun 8 22:18:32 2021 From: christian at bricart.de (Christian Bricart) Date: Tue, 8 Jun 2021 22:18:32 +0200 Subject: Unzustellbare Mails in der deferred Queue In-Reply-To: <20210608081127.6hbo33hw6qfag5s4@sys4.de> References: <57e4b3dc-d975-dcf2-e08a-e8fae96ffb43@gmail.com> <20210608081127.6hbo33hw6qfag5s4@sys4.de> Message-ID: Am 08.06.21 um 10:11 schrieb Patrick Ben Koetter: > * Carsten : >> Hallo zusammen, >> >> ich habe immer eine ziemliche Menge unzustellbarer Mails in der deferred >> Queue, weil sie z.B.an ungültige Empfängerdomänen wie z.B. gmail.de oder >> icloud.de, usw. versandt werden. >> Hier ist es dann z.B. so, dass versucht wird eine Verbindung zum A-Record >> aufzubauen und es gibt natürlich ein "Connection refused" und die Mail >> bleibt bis zu maximal_queue_lifetime in der outgoing Queue liegen. >> gmail.de ist hier nur ein Beispiel. > > Nimm nur Nachrichten für Domains an, die Postfix im DNS auflösen kann. Den > Filter dazu findest Du in dem Test "reject_unknown_recipient_domain". Patrick, lies nochmal seine Fehlerbeschreibung.. :) Das hinter dem ÄT löst ja auf - allerdings nicht als MX sondern als A Record (ist ja per RFC ein zuässiger Fallback) und dort auf der IP lauscht dann halt kein smtpd. Daher verbleibt die Mail in seiner Queue als TEMPFAIL... Ich habe solche (mir bekannten und auffällig gewordenen) Domains in einer eben handgepflegten Tabelle in der Art: smtpd_recipient_restrictions = .. check_recipient_access hash:/etc/postfix/maps/no_mx_dest.hash .. # /etc/postfix/maps/no_mx_dest.hash gmail.de REJECT .. at gmail.de gibt es nicht - meinten Sie .. at gmail.COM ..? (Alternativ bestimmz auch über »submission_recipient_restrictions«) Christian From ffiene at veka.com Thu Jun 10 18:50:25 2021 From: ffiene at veka.com (Frank fiene) Date: Thu, 10 Jun 2021 18:50:25 +0200 Subject: RSPAMD_URIBL(9.50){localhost:url;} Message-ID: Moin! Was ist das für eine Antwort von der rspamd URIBL? Heißt das, in der Mail steht ein Link zu einem localhost oder ist das ein Zeichen für etwas anderes? Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 20419C64 PGP-Fingerprint: 93FB 5525 88C0 8F40 E7FD EAB5 BBB4 435F 2041 9C64 VEKA AG Dieselstr. 8 48324 Sendenhorst Deutschland/Germany Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Dr. Andreas W. Hillebrand, Bonifatius Eichwald, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Ulrich Weimer HRB 8282 AG Münster/District Court of Münster From Ralf.Hildebrandt at charite.de Fri Jun 11 10:06:18 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 11 Jun 2021 10:06:18 +0200 Subject: [ext] RSPAMD_URIBL(9.50){localhost:url;} In-Reply-To: References: Message-ID: * Frank fiene : > Moin! > > Was ist das für eine Antwort von der rspamd URIBL? > > Heißt das, in der Mail steht ein Link zu einem localhost Ja so interpretiere ich das. > oder ist das ein Zeichen für etwas anderes? -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Fri Jun 18 14:02:33 2021 From: ffiene at veka.com (Frank Fiene) Date: Fri, 18 Jun 2021 14:02:33 +0200 Subject: =?utf-8?Q?Komisches_Ph=C3=A4nomen_mit_Kommunikationsabr=C3=BCchen?= Message-ID: <9BD2DE86-2DEB-4C15-A300-7EA5D2B68D11@veka.com> Moin! Ich habe hunderte dieser Meldungen auf meinen Gateways, komischerweise nur mit Mails von einem Absender: Jun 17 14:14:19 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) Jun 17 14:15:13 smtp1 postfix/smtp[27022]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=60, delays=6.8/0/0/54, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) Jun 17 14:21:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) Jun 17 14:22:39 smtp1 postfix/smtp[27022]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=507, delays=453/0/0/54, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) Jun 17 14:31:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) Jun 17 14:32:37 smtp1 postfix/smtp[27602]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=1105, delays=1052/0/0/52, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) Und genau wie Postfix sagt: message may be sent more than once Alleine 28 mit dieser queue id sind im Backend angekommen, immer an denselben Empfänger. Ich habe da einen HA-Proxy vor zwei Domino Servern. Wo würdet ihr zuerst schauen, auf dem Domino Backend? Den Admins fällt da nichts auf. Da steht im Log, Mail angenommen und an den Empfänger weitergeleitet. Firewalls und IPS unterbrechen den Traffic hier nicht. Das habe ich schon geprüft. Höchstens noch ein VMware-Security-Vodoo, der HA-Proxy läuft auf einem ESXi. Das tritt nur bei diesem einen Absender auf und wir verarbeiten seit Jahrzehnten >10.000 Mails am Tag. Wenn es da ein grundsätzliches Problem gäbe, wäre das schon früher aufgefallen. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From Ralf.Hildebrandt at charite.de Fri Jun 18 14:26:05 2021 From: Ralf.Hildebrandt at charite.de (Ralf Hildebrandt) Date: Fri, 18 Jun 2021 14:26:05 +0200 Subject: [ext] Komisches =?utf-8?B?UGjDpG5vbWVu?= =?utf-8?Q?_mit_Kommunikationsabr=C3=BCchen?= In-Reply-To: <9BD2DE86-2DEB-4C15-A300-7EA5D2B68D11@veka.com> References: <9BD2DE86-2DEB-4C15-A300-7EA5D2B68D11@veka.com> Message-ID: * Frank Fiene : > Moin! > > Ich habe hunderte dieser Meldungen auf meinen Gateways, komischerweise nur mit Mails von einem Absender: > > Jun 17 14:14:19 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) > Jun 17 14:15:13 smtp1 postfix/smtp[27022]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=60, delays=6.8/0/0/54, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) > Jun 17 14:21:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) > Jun 17 14:22:39 smtp1 postfix/smtp[27022]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=507, delays=453/0/0/54, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) > Jun 17 14:31:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) > Jun 17 14:32:37 smtp1 postfix/smtp[27602]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=1105, delays=1052/0/0/52, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) > > Und genau wie Postfix sagt: message may be sent more than once > Alleine 28 mit dieser queue id sind im Backend angekommen, immer an denselben Empfänger. > > Ich habe da einen HA-Proxy vor zwei Domino Servern. > > Wo würdet ihr zuerst schauen, auf dem Domino Backend? > Den Admins fällt da nichts auf. Da steht im Log, Mail angenommen und an den Empfänger weitergeleitet. > > Firewalls und IPS unterbrechen den Traffic hier nicht. Das habe ich schon geprüft. Klassiker wäre hier eine CISCO PIX oder ASA -- Ralf Hildebrandt Geschäftsbereich IT | Abteilung Netzwerk Charité - Universitätsmedizin Berlin Campus Benjamin Franklin Hindenburgdamm 30 | D-12203 Berlin Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 ralf.hildebrandt at charite.de | https://www.charite.de From ffiene at veka.com Fri Jun 18 16:27:21 2021 From: ffiene at veka.com (Frank Fiene) Date: Fri, 18 Jun 2021 16:27:21 +0200 Subject: =?utf-8?Q?Re=3A_=5Bext=5D_Komisches_Ph=C3=A4nomen_mit_Kommunikati?= =?utf-8?Q?onsabr=C3=BCchen?= In-Reply-To: References: <9BD2DE86-2DEB-4C15-A300-7EA5D2B68D11@veka.com> Message-ID: <39185871-10A7-48E8-8E7F-A26119727B41@veka.com> Ja, das ist das übliche Verhalten eines IPS. Nur das die Mails dann ankommen macht keinen Sinn. :-D Da muss ich wohl nochmal schauen. :-( Danke > Am 18.06.2021 um 14:26 schrieb Ralf Hildebrandt : > > * Frank Fiene >: >> Moin! >> >> Ich habe hunderte dieser Meldungen auf meinen Gateways, komischerweise nur mit Mails von einem Absender: >> >> Jun 17 14:14:19 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) >> Jun 17 14:15:13 smtp1 postfix/smtp[27022]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=60, delays=6.8/0/0/54, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) >> Jun 17 14:21:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) >> Jun 17 14:22:39 smtp1 postfix/smtp[27022]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=507, delays=453/0/0/54, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) >> Jun 17 14:31:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: from=, size=64007139, nrcpt=1 (queue active) >> Jun 17 14:32:37 smtp1 postfix/smtp[27602]: EC7F2AF8C: to=, relay=10.201.1.64[10.201.1.64]:25, delay=1105, delays=1052/0/0/52, dsn=4.4.2, status=deferred (lost connection with 10.201.1.64[10.201.1.64] while sending end of data -- message may be sent more than once) >> >> Und genau wie Postfix sagt: message may be sent more than once >> Alleine 28 mit dieser queue id sind im Backend angekommen, immer an denselben Empfänger. >> >> Ich habe da einen HA-Proxy vor zwei Domino Servern. >> >> Wo würdet ihr zuerst schauen, auf dem Domino Backend? >> Den Admins fällt da nichts auf. Da steht im Log, Mail angenommen und an den Empfänger weitergeleitet. >> >> Firewalls und IPS unterbrechen den Traffic hier nicht. Das habe ich schon geprüft. > > Klassiker wäre hier eine CISCO PIX oder ASA > > -- > Ralf Hildebrandt > Geschäftsbereich IT | Abteilung Netzwerk > Charité - Universitätsmedizin Berlin > Campus Benjamin Franklin > Hindenburgdamm 30 | D-12203 Berlin > Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 > ralf.hildebrandt at charite.de | https://www.charite.de Viele Grüße! i.A. Frank Fiene -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: From philipp.faeustlin at uni-hohenheim.de Fri Jun 18 16:50:20 2021 From: philipp.faeustlin at uni-hohenheim.de (=?UTF-8?Q?Philipp_F=c3=a4ustlin?=) Date: Fri, 18 Jun 2021 16:50:20 +0200 Subject: =?UTF-8?Q?Re=3a_=5bext=5d_Komisches_Ph=c3=a4nomen_mit_Kommunikation?= =?UTF-8?Q?sabr=c3=bcchen?= In-Reply-To: <39185871-10A7-48E8-8E7F-A26119727B41@veka.com> References: <9BD2DE86-2DEB-4C15-A300-7EA5D2B68D11@veka.com> <39185871-10A7-48E8-8E7F-A26119727B41@veka.com> Message-ID: Macht dann Sinn wenn die Daten beim Empfänger ankommen, aber die Rückmeldung das 250 OK erreicht den Sender nicht mehr. Somit glaubt der Sender der Versand wäre noch nicht erfolgreich und probiert es erneut. Hatte so etwas schon mal mit einem internen Server hinter einer Firewall, die dann irgendetwas in der Mail erkannt hat und daraufhin einfach die Verbindung unterbrochen hat. Gruß Philipp Am 18.06.21 um 16:27 schrieb Frank Fiene: > Ja, das ist das übliche Verhalten eines IPS. > > Nur das die Mails dann ankommen macht keinen Sinn. :-D > > Da muss ich wohl nochmal schauen. :-( > > Danke > >> Am 18.06.2021 um 14:26 schrieb Ralf Hildebrandt >> >: >> >> * Frank Fiene >: >>> Moin! >>> >>> Ich habe hunderte dieser Meldungen auf meinen Gateways, >>> komischerweise nur mit Mails von einem Absender: >>> >>> Jun 17 14:14:19 smtp1 postfix/qmgr[1271]: EC7F2AF8C: >>> from=, size=64007139, nrcpt=1 (queue active) >>> Jun 17 14:15:13 smtp1 postfix/smtp[27022]: EC7F2AF8C: >>> to=, relay=10.201.1.64[10.201.1.64]:25, delay=60, >>> delays=6.8/0/0/54, dsn=4.4.2, status=deferred (lost connection with >>> 10.201.1.64[10.201.1.64] while sending end of data -- message may be >>> sent more than once) >>> Jun 17 14:21:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: >>> from=, size=64007139, nrcpt=1 (queue active) >>> Jun 17 14:22:39 smtp1 postfix/smtp[27022]: EC7F2AF8C: >>> to=, relay=10.201.1.64[10.201.1.64]:25, delay=507, >>> delays=453/0/0/54, dsn=4.4.2, status=deferred (lost connection with >>> 10.201.1.64[10.201.1.64] while sending end of data -- message may be >>> sent more than once) >>> Jun 17 14:31:45 smtp1 postfix/qmgr[1271]: EC7F2AF8C: >>> from=, size=64007139, nrcpt=1 (queue active) >>> Jun 17 14:32:37 smtp1 postfix/smtp[27602]: EC7F2AF8C: >>> to=, relay=10.201.1.64[10.201.1.64]:25, delay=1105, >>> delays=1052/0/0/52, dsn=4.4.2, status=deferred (lost connection with >>> 10.201.1.64[10.201.1.64] while sending end of data -- message may be >>> sent more than once) >>> >>> Und genau wie Postfix sagt: message may be sent more than once >>> Alleine 28 mit dieser queue id sind im Backend angekommen, immer an >>> denselben Empfänger. >>> >>> Ich habe da einen HA-Proxy vor zwei Domino Servern. >>> >>> Wo würdet ihr zuerst schauen, auf dem Domino Backend? >>> Den Admins fällt da nichts auf. Da steht im Log, Mail angenommen und >>> an den Empfänger weitergeleitet. >>> >>> Firewalls und IPS unterbrechen den Traffic hier nicht. Das habe ich >>> schon geprüft. >> >> Klassiker wäre hier eine CISCO PIX oder ASA >> >> -- >> Ralf Hildebrandt >>  Geschäftsbereich IT | Abteilung Netzwerk >>  Charité - Universitätsmedizin Berlin >>  Campus Benjamin Franklin >>  Hindenburgdamm 30 | D-12203 Berlin >>  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962 >> ralf.hildebrandt at charite.de >> |https://www.charite.de >> > > Viele Grüße! > i.A. Frank Fiene > -- > Frank Fiene > IT-Security Manager VEKA Group > > Fon: +49 2526 29-6200 > Fax: +49 2526 29-16-6200 > mailto: ffiene at veka.com > http://www.veka.com > > PGP-ID: 62112A51 > PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 > Threema: VZK5NDWW > > VEKA AKTIENGESELLSCHAFT > Dieselstr. 8 > 48324 Sendenhorst > Deutschland/Germany > http://www.veka.com > > Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), > Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, > Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. > Andreas W. Hillebrand > > HRB 8282 AG Münster/District Court of Münster > -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: -------------- nächster Teil -------------- Ein Dateianhang mit Binärdaten wurde abgetrennt... Dateiname : smime.p7s Dateityp : application/pkcs7-signature Dateigröße : 5359 bytes Beschreibung: S/MIME Cryptographic Signature URL : From ffiene at veka.com Fri Jun 18 18:55:38 2021 From: ffiene at veka.com (Frank Fiene) Date: Fri, 18 Jun 2021 18:55:38 +0200 Subject: =?utf-8?Q?Re=3A_=5Bext=5D_Komisches_Ph=C3=A4nomen_mit_Kommunikati?= =?utf-8?Q?onsabr=C3=BCchen?= In-Reply-To: References: <9BD2DE86-2DEB-4C15-A300-7EA5D2B68D11@veka.com> <39185871-10A7-48E8-8E7F-A26119727B41@veka.com> Message-ID: > Am 18.06.2021 um 16:50 schrieb Philipp Fäustlin : > > Macht dann Sinn wenn die Daten beim Empfänger ankommen, aber die Rückmeldung das 250 OK erreicht den Sender nicht mehr. > Somit glaubt der Sender der Versand wäre noch nicht erfolgreich und probiert es erneut. > Ja, das macht unsere IPS, sie beendet die Verbindung. Aber bevor der Sender das Ende der Übertragung markiert und der Empfänger das 250 OK zurückschickt. Und die Mails kommen dann auch nicht an und ich bekomme eine Mail, dass da etwas blockiert worden ist. > Hatte so etwas schon mal mit einem internen Server hinter einer Firewall, die dann irgendetwas in der Mail erkannt hat und daraufhin einfach die Verbindung unterbrochen hat. > Ja, wie gesagt, das ist übliche Praxis einer IPS. Der Sender versucht es dann für den üblichen Zeitraum immer wieder. Aber das SMTP-Protokoll kommt damit normalerweise gut klar und die Mails kommen nicht an. Viele Grüße! Frank -- Frank Fiene IT-Security Manager VEKA Group Fon: +49 2526 29-6200 Fax: +49 2526 29-16-6200 mailto: ffiene at veka.com http://www.veka.com PGP-ID: 62112A51 PGP-Fingerprint: 7E12 D61B 40F0 212D 5A55 765D 2A3B B29B 6211 2A51 Threema: VZK5NDWW VEKA AKTIENGESELLSCHAFT Dieselstr. 8 48324 Sendenhorst Deutschland/Germany http://www.veka.com Vorstand/Executive Board: Andreas Hartleif (Vorsitzender/CEO), Pascal Heitmar, Josef L. Beckhoff, Elke Hartleif, Dr. Werner Schuler, Vorsitzender des Aufsichtsrates/Chairman of Supervisory Board: Dr. Andreas W. Hillebrand HRB 8282 AG Münster/District Court of Münster -------------- nächster Teil -------------- Ein Dateianhang mit HTML-Daten wurde abgetrennt... URL: