Vielleicht OT: Falsche Absender-Domain bei Sp@m
Hi All! Ich habe eine Frage: Wie schaffen es die Spammer, dass in einigen Mails der Absender auf einmal meiner eigenen internen Domain zugeordnet ist (also z.B. idiot@eigene-domain.intern)? Ich habe sämtliche Logs und ähnliches durchforstet: Eingebrochen hat keiner, das System (SuSE 10.0 mit qpopper, postfix, fetchmail, spamassassin/amavis) ist dicht. Auch meine Windoofkisten sind keine Zombies, sondern sauber. Die Email kommt auch laut Header irgendwo von aussen. Nur steht halt beim Absender ein falscher Domainname. Man sollte vielleicht dazusagen, dass ich die Mails mit MS Outlook ansehe. (Ich weiß, ein Fehler! Sobald es für die Mozillafamilie einen passenden Organizer gibt, wechsle ich!) Wo liegt der Trick, wie man die Absender-Domain dynamisch verbiegen kann? Hintergrund: Mails aus meiner internen Domain werden vom Spamfilter anders behandelt. Wenn jetzt so ein kriminelles Spammerschwein mit solchen Tricks ankommt, funktioniert das natürlich nicht mehr richtig. Wenn ich weiß, wies geht, kann ich versuchen Abhilfe zu schaffen. Mein Verdacht fällt eigentlich auf Windoof/Outlook am Client, und nicht auf den Linux-Server. Trotzdem frage ich in der Liste, vielleicht weiß ja jemand was zu dem Thema! Mit freundlichen Grüßen Thomas Zinner ============================ Save the Earth ... it's the only planet with chocolate. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 16. März 2007 schrieb Thomas Zinner:
Ich habe eine Frage: Wie schaffen es die Spammer, dass in einigen Mails der Absender auf einmal meiner eigenen internen Domain zugeordnet ist (also z.B. idiot@eigene-domain.intern)?
die internen Domains stehen auch im Mail-Header drin. Denn im Header wird ja der ganze "Lauf" der Mail aufgezeichnet. Einfach mal die Mail als "Klartext" anschauen. Und diese Mails stehen ja irgendwo im Netz herum, z.B. in Mailinglisten. Und da greifen Spammer halt alles abm was nach mail-Adr aussieht. (soweit mal meine Vermutung) Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Thomas Zinner wrote:
Hi All!
Ich habe eine Frage: Wie schaffen es die Spammer, dass in einigen Mails der Absender auf einmal meiner eigenen internen Domain zugeordnet ist (also z.B. „idiot@eigene-domain.intern“)? Ich habe sämtliche Logs und ähnliches durchforstet: Eingebrochen hat keiner, das System (SuSE 10.0 mit qpopper, postfix, fetchmail, spamassassin/amavis) ist dicht. Auch meine Windoofkisten sind keine Zombies, sondern sauber. Die Email kommt auch laut Header irgendwo von aussen. Nur steht halt beim Absender ein falscher Domainname.
Die wahrscheinlichste Ursache dafür ist, dass dein Mailserver die Header ergänzt, wenn keine Domain vorhanden ist. Dies kann durch Postfix geschehen (canonical, generic, masquerading) oder durch einen anderen Server wie etwa Amavis. Schau mal in die Header, was dort steht zu Umschreibungen der Adresse. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Sandy Drobic wrote
Die wahrscheinlichste Ursache dafür ist, dass dein Mailserver die Header ergänzt, wenn keine Domain vorhanden ist.
Dies kann durch Postfix geschehen (canonical, generic, masquerading) oder durch einen anderen Server wie etwa Amavis.
Danke! Das war's. Jetzt muß ich 'mal sehen, wie ich das dem Postfix (sinnvoll) abgewöhne. Mit freundlichen Grüßen Thomas Zinner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Freitag, 16. März 2007 schrieb Thomas Zinner:
Sandy Drobic wrote
Die wahrscheinlichste Ursache dafür ist, dass dein Mailserver die Header ergänzt, wenn keine Domain vorhanden ist.
Dies kann durch Postfix geschehen (canonical, generic, masquerading) oder durch einen anderen Server wie etwa Amavis.
Danke! Das war's. Jetzt muß ich 'mal sehen, wie ich das dem Postfix (sinnvoll) abgewöhne.
die Lösung wird mich (und andere auf der Liste vielleicht) auch interessieren. Bye Jürgen -- Dr.rer.nat. Juergen Vollmer, Viktoriastrasse 15, D-76133 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de Internet-Telefonie: www.skype.com Benutzer: juergen.vollmer
Dr. Jürgen Vollmer wrote:
Am Freitag, 16. März 2007 schrieb Thomas Zinner:
Sandy Drobic wrote
Die wahrscheinlichste Ursache dafür ist, dass dein Mailserver die Header ergänzt, wenn keine Domain vorhanden ist.
Dies kann durch Postfix geschehen (canonical, generic, masquerading) oder durch einen anderen Server wie etwa Amavis. Danke! Das war's. Jetzt muß ich 'mal sehen, wie ich das dem Postfix (sinnvoll) abgewöhne.
die Lösung wird mich (und andere auf der Liste vielleicht) auch interessieren.
Die Addressumschreibung muss begrenzt werden auf envelope sender/recipient und zusätzlich muss noch der Empfang von unvollständigen envelopes abgelehnt werden: smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination reject_non_fqdn_sender, reject_non_fqdn_recipient, .... canonical_classes = envelope_sender, envelope_recipient sender_canonical_classes = envelope_sender, header_sender recipient_canonical_classes = envelope_recipient, header_recipient masquerade_classes = envelope_sender, header_sender remote_header_rewrite_domain = domain.invalid Damit sollte von der Postfix-Seite aus die missverständliche Umschreibung gestoppt sein. -- Sandy Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Dr. Jürgen Vollmer -
Sandy Drobic -
Thomas Zinner