Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Ralph · Post by **Ralph** » Tue 27. Feb 2024, 13:51

Debain 11
KH 23.1.1

Bei einem Debian 11 System, also noch mit Amavis drauf, wundere ich mich gerade über eine besondere Malware eMail (external embedded images, Thunderbird hat diese blockiert) die ohne Zeichen vor dem "@" angenommen wurde. Empfänger Domain + CC war NUR auf den Hostname ausgestellt, der Header zeigt also:

Code: Select all

To: "[to]"@host.mydomain.tld
CC: "[to]"@host.mydomain.tld

Diese wurde dann nach dem mail.log an die Admin (root) Email weitergeleitet.
Bevor ich jetzt wieder eine Fehlermeldung ins blaue schieße würde ich gerne wissen ob jemand das reproduzieren bzw. erklären kann.
Scheinbar funktioniert dies nur wenn der Hostname als Empfänger gesetzt wurde.

Ralph · Post by **Ralph** » Wed 28. Feb 2024, 13:12

Nur zur Klarstellung, das ist kein Scherz und ich bin total nüchtern!

Die Email wurde über ein MS Outlook System gesendet, das verwundert mich weiter auch nicht weiter ...

Ich kann es selbst nicht nachstellen weder über einen Client noch über Cli ... beim Versuch blockt Postfix

Code: Select all

Recipient address rejected: User unknown in local recipient table

Weiterleitungen sind im Absender Header keine vorhanden, kein Hinweis auf ein PHP script, nur der Original Outlook Transport ...
wie kann so etwas funktionieren, wie machen die das?

Post by **Jolinar** » Wed 28. Feb 2024, 13:20

Ralph wrote: ↑Wed 28. Feb 2024, 13:12 Die Email wurde über ein MS Outlook System gesendet

...

Post by **Florian** » Wed 28. Feb 2024, 14:14

Hallo,

was sagt denn das Maillog an der Stelle?

Ralph · Post by **Ralph** » Wed 28. Feb 2024, 14:47

Florian wrote: ↑Wed 28. Feb 2024, 14:14 was sagt denn das Maillog an der Stelle?

Ganz normale Zustellung, kein relvantes blacklisting, IP eingetragen in der dnswl.org whitelist, SPF, RDNS alles bestens.
Möglich wäre "eventl." eine kurzfristige MTA oder Amavis Überlastung oder sonstige spezielle Tricks von denen ich nichts weiß ...
Diese Art von Attacke habe ich vorher noch nie gesehen ... weiter kam auch nichts mehr in der Art an.

Post by **Florian** » Wed 28. Feb 2024, 14:53

ja dann poste mal das Log von Einspeisung bis Zustellung

Ralph · Post by **Ralph** » Wed 28. Feb 2024, 15:35

Florian wrote: ↑Wed 28. Feb 2024, 14:53 ja dann poste mal das Log von Einspeisung bis Zustellung

Das log zeigt die Admin Emailadresse die als Alias für root hinterlegt ist, nur der Header der eingengangenen Mail zeigt to: und cc: ohne user:

Code: Select all

To: "[to]"@myhost.mydomain.tld
CC: "[to]"@myhost.mydomain.tld

Ich habe hier alles unkenntlich gemacht, weil ich mir diese Typen fern halten möchte!

Code: Select all

Feb 27 13:06:09 myhost postfix/smtpd[3634850]: E09F03E9C9: client=mail-xxxxx.outbound.protection.outlook.com[xx.xxx.xx]
Feb 27 13:06:10 myhost postfix/cleanup[3651941]: E09F03E9C9: message-id=<xxxx-xxxx-xxxxx-xxxxxx.xxxx.prod.outlook.com>
Feb 27 13:06:10 myhost postfix/qmgr[3580945]: E09F03E9C9: from=<xxxxxxxxx@spamer.xxxxx.co.uk>, size=8444, nrcpt=1 (queue active)
Feb 27 13:06:12 myhost amavis[3644362]: (3644362-15) Passed CLEAN {RelayedInbound}, [xx.xxx.xx]:24079 [xx.xxx.xx] <xxxxxxxxx@spamer.xxxxx.co.uk> -> <admin@mydomain.tld>, Queue-ID: E09F03E9C9, Message-ID: <xxxxxx-xxxxx.xxxx.prod.outlook.com>, mail_id: xxxxxxxx, Hits: 4.213, size: 8378, queued_as: 8C3553EAB4, 2529 ms
Feb 27 13:06:12 myhost postfix/smtp[3651942]: E09F03E9C9: to=<admin@mydomain.tld>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.9, delays=1.4/0.01/0/2.5, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8C3553EAB4)
Feb 27 13:06:12 myhost postfix/qmgr[3580945]: E09F03E9C9: removed

Post by **Florian** » Wed 28. Feb 2024, 16:59

Na, dann ist doch auch klar warum der Server die Mail ganz normal behandelt hat, weil sie an die admin Adresse gegangen ist. Das sollte im Header der Mail unter "X-Original-To:" auch vermerkt sein normalerweise

Ralph · Post by **Ralph** » Wed 28. Feb 2024, 17:19

Florian wrote: ↑Wed 28. Feb 2024, 16:59 Na, dann ist doch auch klar warum der Server die Mail ganz normal behandelt hat, weil sie an die admin Adresse gegangen ist. Das sollte im Header der Mail unter "X-Original-To:" auch vermerkt sein normalerweise

Ja, aber To: und CC: sind explizit so wie oben beschrieben im Mailheader, ich habe die Mail irgendwo gespeichert finde sie momentan leider nicht.
Die Mail wurde über einen OVH Server in USA via Outlook Relay (auch USA) gesendet.
X-Original-To würde doch aber auch bei einem System Alias einspringen oder?

Bitte verschiebe den Thread einfach mal ins OT, ich schaue morgen nochmal alles durch und poste ggf. ein Update dazu.

Post by **Florian** » Wed 28. Feb 2024, 17:42

Hi,

X-Original-To ist die tatsächliche Empfängeradresse, die beim Versand angegeben wurde. Die To-Angabe ist dagegen schon Teil der Nachricht und könnte beliebig gesetzt werden

Post by **Jolinar** » Wed 28. Feb 2024, 17:53

Ralph wrote: ↑Wed 28. Feb 2024, 17:19 Bitte verschiebe den Thread einfach mal ins OT

Done.

Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"

Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"