Page 1 of 1
Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Tue 27. Feb 2024, 13:51
by Ralph
Debain 11
KH 23.1.1
Bei einem Debian 11 System, also noch mit Amavis drauf, wundere ich mich gerade über eine besondere Malware eMail (external embedded images, Thunderbird hat diese blockiert) die ohne Zeichen vor dem "@" angenommen wurde. Empfänger Domain + CC war NUR auf den Hostname ausgestellt, der Header zeigt also:
Code: Select all
To: "[to]"@host.mydomain.tld
CC: "[to]"@host.mydomain.tld
Diese wurde dann nach dem mail.log an die Admin (root) Email weitergeleitet.
Bevor ich jetzt wieder eine Fehlermeldung ins blaue schieße würde ich gerne wissen ob jemand das reproduzieren bzw. erklären kann.
Scheinbar funktioniert dies nur wenn der Hostname als Empfänger gesetzt wurde.
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 13:12
by Ralph
Nur zur Klarstellung, das ist kein Scherz und ich bin total nüchtern!
Die Email wurde über ein MS Outlook System gesendet, das verwundert mich weiter auch nicht weiter ...
Ich kann es selbst nicht nachstellen weder über einen Client noch über Cli ... beim Versuch blockt Postfix
Code: Select all
Recipient address rejected: User unknown in local recipient table
Weiterleitungen sind im Absender Header keine vorhanden, kein Hinweis auf ein PHP script, nur der Original Outlook Transport ...
wie kann so etwas funktionieren, wie machen die das?
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 13:20
by Jolinar
Ralph wrote: ↑Wed 28. Feb 2024, 13:12
Die Email wurde über ein MS Outlook System gesendet
...
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 14:14
by Florian
Hallo,
was sagt denn das Maillog an der Stelle?
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 14:47
by Ralph
Florian wrote: ↑Wed 28. Feb 2024, 14:14
was sagt denn das Maillog an der Stelle?
Ganz normale Zustellung, kein relvantes blacklisting, IP eingetragen in der dnswl.org whitelist, SPF, RDNS alles bestens.
Möglich wäre "eventl." eine kurzfristige MTA oder Amavis Überlastung oder sonstige spezielle Tricks von denen ich nichts weiß ...
Diese Art von Attacke habe ich vorher noch nie gesehen ... weiter kam auch nichts mehr in der Art an.
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 14:53
by Florian
ja dann poste mal das Log von Einspeisung bis Zustellung
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 15:35
by Ralph
Florian wrote: ↑Wed 28. Feb 2024, 14:53
ja dann poste mal das Log von Einspeisung bis Zustellung
Das log zeigt die Admin Emailadresse die als Alias für root hinterlegt ist, nur der Header der eingengangenen Mail zeigt to: und cc: ohne user:
Code: Select all
To: "[to]"@myhost.mydomain.tld
CC: "[to]"@myhost.mydomain.tld
Ich habe hier alles unkenntlich gemacht, weil ich mir diese Typen fern halten möchte!
Code: Select all
Feb 27 13:06:09 myhost postfix/smtpd[3634850]: E09F03E9C9: client=mail-xxxxx.outbound.protection.outlook.com[xx.xxx.xx]
Feb 27 13:06:10 myhost postfix/cleanup[3651941]: E09F03E9C9: message-id=<xxxx-xxxx-xxxxx-xxxxxx.xxxx.prod.outlook.com>
Feb 27 13:06:10 myhost postfix/qmgr[3580945]: E09F03E9C9: from=<xxxxxxxxx@spamer.xxxxx.co.uk>, size=8444, nrcpt=1 (queue active)
Feb 27 13:06:12 myhost amavis[3644362]: (3644362-15) Passed CLEAN {RelayedInbound}, [xx.xxx.xx]:24079 [xx.xxx.xx] <xxxxxxxxx@spamer.xxxxx.co.uk> -> <admin@mydomain.tld>, Queue-ID: E09F03E9C9, Message-ID: <xxxxxx-xxxxx.xxxx.prod.outlook.com>, mail_id: xxxxxxxx, Hits: 4.213, size: 8378, queued_as: 8C3553EAB4, 2529 ms
Feb 27 13:06:12 myhost postfix/smtp[3651942]: E09F03E9C9: to=<admin@mydomain.tld>, relay=127.0.0.1[127.0.0.1]:10024, delay=3.9, delays=1.4/0.01/0/2.5, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8C3553EAB4)
Feb 27 13:06:12 myhost postfix/qmgr[3580945]: E09F03E9C9: removed
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 16:59
by Florian
Na, dann ist doch auch klar warum der Server die Mail ganz normal behandelt hat, weil sie an die admin Adresse gegangen ist. Das sollte im Header der Mail unter "X-Original-To:" auch vermerkt sein normalerweise
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 17:19
by Ralph
Florian wrote: ↑Wed 28. Feb 2024, 16:59
Na, dann ist doch auch klar warum der Server die Mail ganz normal behandelt hat, weil sie an die admin Adresse gegangen ist. Das sollte im Header der Mail unter "X-Original-To:" auch vermerkt sein normalerweise
Ja, aber To: und CC: sind explizit so wie oben beschrieben im Mailheader, ich habe die Mail irgendwo gespeichert finde sie momentan leider nicht.
Die Mail wurde über einen OVH Server in USA via Outlook Relay (auch USA) gesendet.
X-Original-To würde doch aber auch bei einem System Alias einspringen oder?
Bitte verschiebe den Thread einfach mal ins OT, ich schaue morgen nochmal alles durch und poste ggf. ein Update dazu.
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 17:42
by Florian
Hi,
X-Original-To ist die tatsächliche Empfängeradresse, die beim Versand angegeben wurde. Die To-Angabe ist dagegen schon Teil der Nachricht und könnte beliebig gesetzt werden
Re: Postfix (amavis) nimmt Emails an mit "@hostname.tld"
Posted: Wed 28. Feb 2024, 17:53
by Jolinar
Ralph wrote: ↑Wed 28. Feb 2024, 17:19
Bitte verschiebe den Thread einfach mal ins OT
Done.