kisho
Goto Top

Postfix SMTP Server mit MX Zonen Ueberpruefung ( moeglich? )

Ein Postfix Modul, eine Konfiguration oder etwas ähnliches, was eine Überprüfung eines anderen EmailServers durchführt ob die Adresse (bzw. die Domain) vom Absender auch wirklich vom dazugehörigen Server kommt. Dies soll z.B. so genannte Bounce Emails blockieren bzw. verhindern.

Hallo,

ich suche eine Möglichkeit den Postfix MTA so zu konfigurieren, damit er bei eingehenden Emails, die @domain.name überprüft ob der EmailServer wirklich die IP von der Domain hat, von der die Email ursprünglich her kam. Dies brauche ich daher, weil immer mehr Emails mit z.B. Absender: fritz@gibtes.net usw. kommen und diese Emails von dynamische Hosts bzw. ADSL Internetusern gesendet werden. Der Spamfilter blockiert dies auch einwandfrei, jedoch haben diese Email nicht die Aufgabe letztendlich bei mir zu landen, sondern sind so genannte "Bounce-Mails", dar sie an willkürliche namen gesendet werden wie z.B. kjklgjdsljpafdiort@domain.name , die es logischerweise normal nicht gibt. Der Absend ist also dann z.B. ein fritz@gibtes.net und die Email kam von einem Host mit z.B. einer T-Online IP. Die Domain gibtes.net hat aber dann z.B. einen feste IP Eintrag in DNS Server, die nicht vom T-Online User ist.

Jetzt such ich also ein Programm, Modul, Konfiguration oder etwas dergleichen, wo rüber der Postfix SMTP Server überprüft ob Emails, die von @domain.name kommen auch die IP-Adresse haben, die domain.name bzw. mx.domain.name vertritt. Ist das nicht der Fall, soll es nicht zugestellt werden und keine Fehlermeldung gesendet werden (sonst gibt es ja trotzdem bounce).

OS: Debian Linux 3.2 SID
Kernel: Linux 2.6.16.14
Postfix: Version ist 2.2.10, des weiteren ist Spamassis in Verwendung.

Wäre für Hilfe sehr dankbar und würde sämtliche Configs mit Kommentaren usw. veröffentlichen, wenn da noch mehr Leute Interesse daran haben, weil es doch ein super Projekt ist. Es handelt sich also auch um eine private Geschichte. Habe @home meinen Server mit einer statischen IP Adresse und ein paar .de .org .com Domains.

Content-ID: 32680

Url: https://administrator.de/contentid/32680

Ausgedruckt am: 14.11.2024 um 05:11 Uhr

BigWumpus
BigWumpus 17.05.2006 um 12:38:02 Uhr
Goto Top
Hallo,

da gibt es passende Parameter in Postfix,
aber bedenke: Es gibt immer wieder Mail, die über andere Server (T-Online SMTP-Relay) ausgeliefert werden und dann nicht ankommen würden.

Man kann solche Filter auch übertreiben. (Habe ich selbst schon durch).

Fang erst mal mit RBL-Servern an, da werden viele Dyn-IPs erkannt.
Kisho
Kisho 17.05.2006 um 13:38:19 Uhr
Goto Top
Der Server umfasst knappe 300 Emailaccounts, wo von gut die hälfte täglich genutzt wird. Ich haben bereits RBLs. Das ändert aber nichts daran das die Emails auf dem Server landen und eine Fehlermeldung zurück kommt, weil der Spamassin gar nicht erst dazu kommt die Emails zu überprüfen, weil die an jemanden gesendet wurden, der gar nicht existiert.
Ich will nur irgendeine Möglichkeit haben zumindest mal die gefakte Adressen auszuschliessen. Was dann über Relay von anderen Emailservern kommt, ist mir egal. Und es geht hier nicht um die Zustellung ab Postfach sondern schon um den Empfang am SMTP.

Ich will im endefekt dynamische Hosts, die Emailserver spielen, komplett blocken und erst gar keine Mails von diesen entgegen nehmen. Das würde mir schon langen. Besser ist es, wenn die Domain auf "Echtheit" überprüft werden könnte. Und nur Emails angenommen werden, dessen Domain mit der IP vom SMTP, wo die Email her kammt, passt.

Übrigens hat T-Online so eine Funktion und hat so lange meine Emails blockiert, bis ich auf meiner Domain einen MX Eintrag hatte. Sprich die nehmen von nicht nachvollziehbaren SMTP Servern gar nix mehr an. Wo mir das passiert ist, ist aber auch schon ein paar Jahre her. Da hatte ich noch 602Pro Lansuite 2002 oder 2003 auf Windows Basis. Zu der Zeit war das auch noch nicht so schlimm, aber wenn ich jetzt meine Logs beobachte sind in der Minute 3 Anfragen.

So nehmen wir gleich die ersten Zeilen als Beispiel: Email kam angeblich von bordelon@ichbineinspammer.com wobei ichbineinspammer.com nicht die IP 82.217.252.8 hat und das sollte geblockt werden bzw. erkannt werden und geblockt. Jetzt sendet natürlich mein Server eine Fehlermeldung an die Email bordelon@ichbineinspammer.com vom angeblichen Sender, mit den Inhalt von dem Spamer, das er die Mail nicht zustellen konnte, weil die Email adolphraymondsubsist@brainstorm.de nicht existiert.

Und warum das ganze Theater? Ich habe nur eine primtive SDSL Leitung und irgendwann ist die Performance auch ausgeschöpft und das ist hier der Fall, das der Email Server mittlerweile mehr Power brauch, als ein Webserver. Vielleicht sind die Nutzerzahlen des Mailservers auch schuld, aber alleine diese Bounce Geschichte frisst oftmals gleich 20% der 4,6Mbit, wenn da Viren und anderer kram geschickt werden. Dann löscht der Clamv diese Viren natürlich, was wieder CPU brauch, weil erkennen und löschen usw. und dann wird ne Fehlermeldung an den angeblichen Absender der Email geschickt, mit dem ursprünglichen Inhalt (meisten zum Glück ohne den Anhang, weil der Virenverseucht war und daher entfernt wurde).

Bin also Überfragt und sehe das nicht als Schande, daher hier im Forum zu fragen.

EDIT: Logs wurden wieder aus diesem Beitrag entfernt, dar sich manche Leute darüber beschwert haben das ihre Domains gepostet wurden.
floriannn
floriannn 04.09.2006 um 11:55:58 Uhr
Goto Top
Hi,

ich denke du solltest dich mal nach "Reverse DNS" oder auch "SPF (Sender Policy Framework)" umschauen...

Auf dieser Seite könntest du unter "Blocking E-Mail Based on the SMTP Client" einiges finden:
http://www.securityfocus.com/infocus/1593

Durch die Einstellung "smtpd_client_restrictions = reject_unknown_client" hast du natürlich wie bei fast jeder Anti-Spam Massnahme sogenannte "false positives", d.h. mitunter werden natürlich auch harmlose und vor allem legitimierte Nachrichten nicht zugelassen.

Gruß,
Florian
Kisho
Kisho 04.09.2006 um 14:01:04 Uhr
Goto Top
Danke!

Es scheint auf den ersten Anhieb zu funktionieren. Ich werde es denn noch ein paar Wochen testen, sollte es keine größeren nennenswerte Probleme geben, werde ich Teile meiner Konfiguration veröffentlichen (hier und auf ein paar andere Seiten noch). Selbstverständlich mit Quellen Angabe, wer mir die Links gab, welche Links usw.

Ich denke das es später evtl. noch ein paar mehr Leute gibt, die ein gleiches Problem haben und eine Lösung suchen ...

Nochmals danke!
Kisho
Kisho 10.09.2006 um 17:58:25 Uhr
Goto Top
Also nach mehreren Tests bin ich zum Ergebnis gekommen, das es wahnsinnig schwer ist solche Bounce Email Spammer zu blockieren.

Jedoch schafte das hier ein wenig Abhilfe in der Postfix Config:

smtpd_helo_required = yes
smtpd_helo_restrictions = reject_unknown_hostname

So muss jeder SMTP Client ein Helo mit Domain senden. Meistens sendet die Spamsoftware dann eine Domain, die gar nicht existiert und Postfix wird dies dann überprüfen und feststellen das es diese Domain nicht gibt.

Zum Beispiel:

helo dersupermailcheck.de
250 kisho.domain
mail from:kisho@andere.domain
250 2.1.0 Ok
rcpt to:kisho@kisho.domain
450 4.7.1 <dersupermailcheck.de>: Helo command rejected: Host not found

Das Problem an der Geschichte ist leider nur, wenn jetzt der Spammer helo web.de oder so eingibt, dann lässt Postfix die Mails wieder trotzdem durch, weil es ja die Domain gibt. Ist also keine 100%ige Lösung, aber sie bringt schonmal etwas.

Ich bin also noch fleißig am testen, wie es meine Freizeit zulässt ...

*UPDATE*

Die Methode das Helo mit einer echten Domain senden zu müssen ist zwar vom Grundsatz her effektiv, jedoch werden bestimmt über 30% der Emailserver blockiert. Vorallem Server die nicht zu großen Providern gehören werden blockiert, weil diese z.B. mail.domain.de senden jedoch dieser DNS Eintrag nicht existiert.

Die Methode ist also nicht wirklich sinnvoll

Bin weiter am testen ...