Page 1 of 1
spam von localdomain
Posted: Fri 30. Aug 2019, 14:37
by stfn116
Hallo Leute,
folgendes Szenario:
Kunde bekommt Mail von meiner Keyhelp-Email Domain mit einem Phishingversuch:
keyhelp.domain.de
xtrd-dre@keyhelp.domain.de
Code: Select all
DATE , HOSTNAME.TLD policyd-spf[11683]: prepend Received-SPF: None (mailfrom) identity=mailfrom; client-ip=194.126.xxx.72; helo=smtp-out.xxx.ee; envelope-from=xtrd-dre@vm-relay1.xxx.ee; receiver=<UNKNOWN>
DATE , HOSTNAME.TLD opendkim[917]: CD6EF841B9F: can't parse From: header value ' "Gran Direon" <xtrd-dre>'
DATE , HOSTNAME.TLD postfix/qmgr[2040]: CD6EF841B9F: from=<xtrd-dre@vm-relay1.xxx.ee>, size=3753, nrcpt=1 (queue active)
DATE , HOSTNAME.TLD postfix/qmgr[2040]: B1115786C07: from=<xtrd-dre@vm-relay1.xxx.ee>, size=4589, nrcpt=1 (queue active)
DATE , HOSTNAME.TLD amavis[10070]: (10070-04) Passed CLEAN {RelayedInbound}, [194.126.xxx.72]:56173 [81.169.xxx.xx] <xtrd-dre@vm-relay1.xxx.ee> -> <kunde123@meine-tolle-domain.de>, Queue-ID: CD6EF841B9F,
Message-ID: <EF155C36B0XXXX7F9353079DD2103139F0@hrw92813.YYYYYYserver.net>, mail_id: l75yropapwQbs, Hits: 3.899, size: 3797, queued_as: B1115786C07, 798 ms
Stimmt was mit meiner postfix config nicht oder warum wird die Mail durchgestellt?
Edit: oder reicht im DNS-Editor ein einfaches
-all anstatt
~all
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 12:34
by stfn116
hier hat niemand eine Lösung parat??
möchte vermeiden, dass dieser Server als Spam Relay umfunktioniert wird.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 13:08
by OlliTheDarkness
stfn116 wrote: ↑Mon 2. Sep 2019, 12:34
hier hat niemand eine Lösung parat??
möchte vermeiden, dass dieser Server als Spam Relay umfunktioniert wird.
Hast mal mit MXToolBox geschaut ob alles I.O ist.
Wenn er Open währe würde dir angezeigt werden das er OpenRelay ist, dann gibt es grund zur besorgnis.
Ist dem nicht so, dann hast den Übeltäter in den eigenen 4 Wänden deines Servers, irgendein böses , unfreundliches Script oder sowas.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 13:23
by stfn116
Hab dir mal eine PN geschickt, die entsprechenden Werte auf MXToolbox sagen erst einmal nichts verdächtiges.
554 5.7.1 Relay access denied
.
Das ist es schon mal nicht, auch ein Script, was unter dem Kunden läuft kann ich ausschließen.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 13:58
by nikko
Du kannst absolut ein Script oder ein Scriptbypass ausschließen?
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 14:24
by stfn116
nikko wrote: ↑Mon 2. Sep 2019, 13:58
Du kannst absolut ein Script oder ein Scriptbypass ausschließen?
der betroffene User hat lediglich die Mailkonten auf dem Server. Die Domain und die darauf laufende Wordpress Installation liegt auf einem anderen Server bei Str**o. So ist physisch keine Verbindung möglich.
Wie gesagt, oben ein Auszug aus den Logs, was mich da nur stutzig macht:
receiver=<UNKNOWN>
Also Inbox des Kunden:
xtrd-dre@keyhelp.domain.de wobei
kein Postfach unter dem Keyhelp Hostnamen existiert.
Meine main.cf ist auch relativ Standard, weshalb mir nur noch die TXT-Records in den DNS Einstellungen als Fehlerquelle in Frage kommen würden.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 15:10
by nikko
Dann kann es ja fast nur Spoofing sein.....
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 15:17
by stfn116
nikko wrote: ↑Mon 2. Sep 2019, 15:10
Dann kann es ja fast nur Spoofing sein.....
Code: Select all
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_multi_recipient_bounce,
reject_unauth_destination
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
# check_helo_access regexp:/etc/postfix/helo_access,
reject_invalid_hostname,
reject_non_fqdn_hostname
## concerning the envelope
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unknown_reverse_client_hostname,
reject_non_fqdn_sender,
reject_unauth_destination,
reject_unknown_sender_domain,
reject_unknown_client,
reject_non_fqdn_hostname
das ist der Auszug aus der main.cf
Kann jemand sagen, ob es eher an den DNS Settings oder an der Postfix-Konfiguration (evtl. auch master.cf) liegt - um es ein bisschen einzugrenzen.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 15:56
by nikko
Ich hoffe, dass Florian hier mal mit reinschaut..., vielleicht hat er eine heiße Idee.....
Und ein FAIL (-) statt Softfail (~) wäre ein Test wert.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 16:05
by stfn116
nikko wrote: ↑Mon 2. Sep 2019, 15:56
Ich hoffe, dass Florian hier mal mit reinschaut..., vielleicht hat er eine heiße Idee.....
Und ein FAIL (-) statt Softfail (~) wäre ein Test wert.
ich hoff es ist im richtigen Forum, deswegen denk ich mal, dass dort früher oder später jemand reinschaut.
Soft-Fail auf Fail habe ich bereits umgestellt, ansonsten bin ich gespannt welche Hinweise noch kommen. Danke erst einmal für deine Hilfe bzw. Tipps.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 17:47
by Florian
Hi,
ist denn für die Serverdomain auch wirklich ein SPF Eintrag aktiv im verantwortlichen DNS?
Das Setzen im Keyhelp-DNS-Zoneneditor ist sinnlos, wenn ein ganz anderer Server für die Zone verantwortlich ist.
Re: spam von localdomain
Posted: Mon 2. Sep 2019, 18:00
by stfn116
Florian wrote: ↑Mon 2. Sep 2019, 17:47
Hi,
ist denn für die Serverdomain auch wirklich ein SPF Eintrag aktiv im verantwortlichen DNS?
Das Setzen im Keyhelp-DNS-Zoneneditor ist sinnlos, wenn ein ganz anderer Server für die Zone verantwortlich ist.
Hallo Florian,
vielen Dank für dein Feedback.
Für die Keyhelp-Instanz:
server.domain.de nicht, allerdings für
domain.de ist ein SPF-Eintrag vorhanden.
Meinst du beim externen DNS den Eintrag für
server.domain.de noch zusätzlich
v=spf..... setzen?
domain.de ist gehört einem Nutzer und wird auch für E-Mails genutzt,
server.domain.de ist das Adminpanel, E-Mailserver etc.
Ich habe soweit die Einträge aus dem DNS-Zoneneditor in Keyhelp genommen und bei meinem externen DNS-Zonenverwalter eingetragen.
Re: spam von localdomain
Posted: Tue 3. Sep 2019, 11:27
by Florian
Hi,
SPF Records für eine Domain werden nicht auf Subdomains durchgereicht. Für server.domain.de muss also ein exklusiver SPF Eintrag im DNS gesetzt.werden.
Bei der Abfrage, z.B. via host -t TXT server.domain.de, muss dieser dann auch erscheinen.
Re: spam von localdomain
Posted: Tue 3. Sep 2019, 19:34
by stfn116
Florian wrote: ↑Tue 3. Sep 2019, 11:27
Hi,
Bei der Abfrage, z.B. via host -t TXT server.domain.de, muss dieser dann auch erscheinen.
Hallo, da hatte ich ein Wissens-Gap, um mal mit Anglizismen um mich zu werfen.
Wie läuft das auf einem Keyhelp Server mit eigener Nameserver-Verwaltung? Habe eine Testinstanz und mir alle Bind-Configs ausgelesen um die auf dem Produktivsystem einzuspielen. Aber über den TXT-Record für die keyhelp/server.domain.de habe ich in den Settings nichts gefunden.
Ich werde mich melden, ob dass das Spam-Aufkommen reduziert. Danke nochmal.
Re: spam von localdomain
Posted: Wed 4. Sep 2019, 09:31
by Martin
Hallo,
für die Serverdomain selbst ist folgende Datei zuständig:
/etc/bind/keyhelpdomain.conf
Prinzipiell sollte dort auch ein entsprechender TXT Record enthalten sein.