spam von localdomain

Locked
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

spam von localdomain

Post by stfn116 »

Hallo Leute,

folgendes Szenario:

Kunde bekommt Mail von meiner Keyhelp-Email Domain mit einem Phishingversuch: keyhelp.domain.de

xtrd-dre@keyhelp.domain.de

Code: Select all

DATE , HOSTNAME.TLD policyd-spf[11683]: prepend Received-SPF: None (mailfrom) identity=mailfrom; client-ip=194.126.xxx.72; helo=smtp-out.xxx.ee; envelope-from=xtrd-dre@vm-relay1.xxx.ee; receiver=<UNKNOWN>
DATE , HOSTNAME.TLD opendkim[917]: CD6EF841B9F: can't parse From: header value ' "Gran Direon" <xtrd-dre>'
DATE , HOSTNAME.TLD postfix/qmgr[2040]: CD6EF841B9F: from=<xtrd-dre@vm-relay1.xxx.ee>, size=3753, nrcpt=1 (queue active)
DATE , HOSTNAME.TLD postfix/qmgr[2040]: B1115786C07: from=<xtrd-dre@vm-relay1.xxx.ee>, size=4589, nrcpt=1 (queue active)
DATE , HOSTNAME.TLD amavis[10070]: (10070-04) Passed CLEAN {RelayedInbound}, [194.126.xxx.72]:56173 [81.169.xxx.xx] <xtrd-dre@vm-relay1.xxx.ee> -> <kunde123@meine-tolle-domain.de>, Queue-ID: CD6EF841B9F, 
Message-ID: <EF155C36B0XXXX7F9353079DD2103139F0@hrw92813.YYYYYYserver.net>, mail_id: l75yropapwQbs, Hits: 3.899, size: 3797, queued_as: B1115786C07, 798 ms
Stimmt was mit meiner postfix config nicht oder warum wird die Mail durchgestellt?

Edit: oder reicht im DNS-Editor ein einfaches -all anstatt ~all
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

hier hat niemand eine Lösung parat??

möchte vermeiden, dass dieser Server als Spam Relay umfunktioniert wird.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: spam von localdomain

Post by OlliTheDarkness »

stfn116 wrote: Mon 2. Sep 2019, 12:34 hier hat niemand eine Lösung parat??

möchte vermeiden, dass dieser Server als Spam Relay umfunktioniert wird.
Hast mal mit MXToolBox geschaut ob alles I.O ist.
Wenn er Open währe würde dir angezeigt werden das er OpenRelay ist, dann gibt es grund zur besorgnis.
Ist dem nicht so, dann hast den Übeltäter in den eigenen 4 Wänden deines Servers, irgendein böses , unfreundliches Script oder sowas.
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

Hab dir mal eine PN geschickt, die entsprechenden Werte auf MXToolbox sagen erst einmal nichts verdächtiges.
554 5.7.1 Relay access denied
.

Das ist es schon mal nicht, auch ein Script, was unter dem Kunden läuft kann ich ausschließen.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: spam von localdomain

Post by nikko »

Du kannst absolut ein Script oder ein Scriptbypass ausschließen?
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

nikko wrote: Mon 2. Sep 2019, 13:58 Du kannst absolut ein Script oder ein Scriptbypass ausschließen?
der betroffene User hat lediglich die Mailkonten auf dem Server. Die Domain und die darauf laufende Wordpress Installation liegt auf einem anderen Server bei Str**o. So ist physisch keine Verbindung möglich.

Wie gesagt, oben ein Auszug aus den Logs, was mich da nur stutzig macht: receiver=<UNKNOWN>

Also Inbox des Kunden:
xtrd-dre@keyhelp.domain.de wobei kein Postfach unter dem Keyhelp Hostnamen existiert.

Meine main.cf ist auch relativ Standard, weshalb mir nur noch die TXT-Records in den DNS Einstellungen als Fehlerquelle in Frage kommen würden.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: spam von localdomain

Post by nikko »

Dann kann es ja fast nur Spoofing sein.....
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

nikko wrote: Mon 2. Sep 2019, 15:10 Dann kann es ja fast nur Spoofing sein.....

Code: Select all

smtpd_client_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_multi_recipient_bounce,
 reject_unauth_destination

smtpd_helo_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
# check_helo_access regexp:/etc/postfix/helo_access,
 reject_invalid_hostname,
 reject_non_fqdn_hostname

## concerning the envelope
smtpd_sender_restrictions =
 permit_mynetworks,
 permit_sasl_authenticated,
 reject_unknown_reverse_client_hostname,
 reject_non_fqdn_sender,
 reject_unauth_destination,
 reject_unknown_sender_domain,
 reject_unknown_client,
 reject_non_fqdn_hostname
das ist der Auszug aus der main.cf

Kann jemand sagen, ob es eher an den DNS Settings oder an der Postfix-Konfiguration (evtl. auch master.cf) liegt - um es ein bisschen einzugrenzen.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: spam von localdomain

Post by nikko »

Ich hoffe, dass Florian hier mal mit reinschaut..., vielleicht hat er eine heiße Idee.....

Und ein FAIL (-) statt Softfail (~) wäre ein Test wert.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

nikko wrote: Mon 2. Sep 2019, 15:56 Ich hoffe, dass Florian hier mal mit reinschaut..., vielleicht hat er eine heiße Idee.....

Und ein FAIL (-) statt Softfail (~) wäre ein Test wert.
ich hoff es ist im richtigen Forum, deswegen denk ich mal, dass dort früher oder später jemand reinschaut.

Soft-Fail auf Fail habe ich bereits umgestellt, ansonsten bin ich gespannt welche Hinweise noch kommen. Danke erst einmal für deine Hilfe bzw. Tipps.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: spam von localdomain

Post by Florian »

Hi,

ist denn für die Serverdomain auch wirklich ein SPF Eintrag aktiv im verantwortlichen DNS?

Das Setzen im Keyhelp-DNS-Zoneneditor ist sinnlos, wenn ein ganz anderer Server für die Zone verantwortlich ist.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

Florian wrote: Mon 2. Sep 2019, 17:47 Hi,

ist denn für die Serverdomain auch wirklich ein SPF Eintrag aktiv im verantwortlichen DNS?

Das Setzen im Keyhelp-DNS-Zoneneditor ist sinnlos, wenn ein ganz anderer Server für die Zone verantwortlich ist.
Hallo Florian,
vielen Dank für dein Feedback.

Für die Keyhelp-Instanz: server.domain.de nicht, allerdings für domain.de ist ein SPF-Eintrag vorhanden.

Meinst du beim externen DNS den Eintrag für server.domain.de noch zusätzlich v=spf..... setzen?

domain.de ist gehört einem Nutzer und wird auch für E-Mails genutzt, server.domain.de ist das Adminpanel, E-Mailserver etc.

Ich habe soweit die Einträge aus dem DNS-Zoneneditor in Keyhelp genommen und bei meinem externen DNS-Zonenverwalter eingetragen.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
Florian
Keyweb AG
Posts: 1243
Joined: Wed 20. Jan 2016, 02:28

Re: spam von localdomain

Post by Florian »

Hi,

SPF Records für eine Domain werden nicht auf Subdomains durchgereicht. Für server.domain.de muss also ein exklusiver SPF Eintrag im DNS gesetzt.werden.

Bei der Abfrage, z.B. via host -t TXT server.domain.de, muss dieser dann auch erscheinen.
Mit freundlichen Grüßen / Best regards
Florian Cheno

**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: spam von localdomain

Post by stfn116 »

Florian wrote: Tue 3. Sep 2019, 11:27 Hi,

Bei der Abfrage, z.B. via host -t TXT server.domain.de, muss dieser dann auch erscheinen.
Hallo, da hatte ich ein Wissens-Gap, um mal mit Anglizismen um mich zu werfen.

Wie läuft das auf einem Keyhelp Server mit eigener Nameserver-Verwaltung? Habe eine Testinstanz und mir alle Bind-Configs ausgelesen um die auf dem Produktivsystem einzuspielen. Aber über den TXT-Record für die keyhelp/server.domain.de habe ich in den Settings nichts gefunden.

Ich werde mich melden, ob dass das Spam-Aufkommen reduziert. Danke nochmal.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
Martin
Posts: 984
Joined: Wed 20. Jan 2016, 00:43

Re: spam von localdomain

Post by Martin »

Hallo,

für die Serverdomain selbst ist folgende Datei zuständig:

/etc/bind/keyhelpdomain.conf

Prinzipiell sollte dort auch ein entsprechender TXT Record enthalten sein.
Viele Grüße,
Martin
Locked