Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Postfix u. Exchange. Spammail mit internen Absender kommt durch

Mitglied: wush2007

wush2007 (Level 1) - Jetzt verbinden

12.03.2010 um 14:45 Uhr, 5116 Aufrufe, 9 Kommentare

Postfix blockiert externe Mails mit der eigenen Domain
Trotzdem schafft es ein Spammer eine Mail an eine Mailaktivierte Exchange-Gruppe mit dessen Absender zu schicken:

Mar 12 09:55:28 mail postfix/smtpd[11165]: connect from 60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:28 mail postfix/smtpd[11165]: F08D736B1A: client=60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:37 mail postfix/qmgr[1624]: E4B9836C96: from=<snickeredxn@royalamerican.com>, size=216052, nrcpt=1 (queue active)
Mar 12 09:55:37 mail amavis[11066]: (11066-07) Passed CLEAN, [85.207.75.60] [85.207.75.60] <snickeredxn@royalamerican.com> -> <sales@xxx.com>, Message-ID: <000d01cac1c1$aa1bd4c0$6400a8c0@snickeredx
n>, mail_id: 0r+LGqPYlAkM, Hits: -, queued_as: E4B9836C96, 6571 ms



Die Gruppe Sales erhält eine Mail mit dem Absender Sales@xxx.com inkl. Virusdatei und ohne SPAM-Tack.

kann sich das jemand erklären?
Mitglied: 45877
12.03.2010 um 15:13 Uhr
Zitat von wush2007:
Postfix blockiert externe Mails mit der eigenen Domain
Trotzdem schafft es ein Spammer eine Mail an eine Mailaktivierte Exchange-Gruppe mit dessen Absender zu schicken:

Mar 12 09:55:28 mail postfix/smtpd[11165]: connect from 60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:28 mail postfix/smtpd[11165]: F08D736B1A: client=60-75-207-85.cechy.dsl.static.bluetone.cz[85.207.75.60]
Mar 12 09:55:37 mail postfix/qmgr[1624]: E4B9836C96: from=<snickeredxn@royalamerican.com>, size=216052, nrcpt=1 (queue
active)
Mar 12 09:55:37 mail amavis[11066]: (11066-07) Passed CLEAN, [85.207.75.60] [85.207.75.60] <snickeredxn@royalamerican.com>
-> <sales@xxx.com>, Message-ID: <000d01cac1c1$aa1bd4c0$6400a8c0@snickeredx
n>, mail_id: 0r+LGqPYlAkM, Hits: -, queued_as: E4B9836C96, 6571 ms



Die Gruppe Sales erhält eine Mail mit dem Absender Sales@xxx.com inkl. Virusdatei und ohne SPAM-Tack.

kann sich das jemand erklären?

Ohne deine Header_Checks zu sehen sicher nicht.
Bitte warten ..
Mitglied: wush2007
12.03.2010 um 15:46 Uhr
/etc/postfix/header_checks:
/^Received:.*from.*exch\.xxx\.de.*192\.168\.9\.30\]\)(.*)/ REPLACE Received: from smtp-int.xxx.de (smtp-int.xxx.de [10.20.30.40])$1
/^Received:.*192\.168\.1\./ IGNORE
/^Received:.*192\.168\.4\./ IGNORE
/^Received:.*192\.168\.2\./ IGNORE
/^Received:.*192\.168\.3\.100/ IGNORE
/^Content-class:.*urn:content-classes:message/ IGNORE
/^Thread-Index:/ IGNORE
/^Thread-Topic:/ IGNORE
/^X-MS-Has-Attach:/ IGNORE
/^X-Mailer:/ IGNORE
/^X-MS-TNEF-Correlator:/ IGNORE
/^X-MimeOLE:/ IGNORE
/^X-MIME-Autoconverted:/ IGNORE
/^Message-ID:/ IGNORE
/^Received:.*127\.0\.0\.1/ IGNORE
/^X-Virus-Scanned:/ IGNORE


Header von der Mail:
Microsoft Mail Internet Headers Version 2.0
Received: from mail.xxx.de ([192.168.9.100]) by exch.xxx.de with Microsoft SMTPSVC(6.0.3790.3959);
Fri, 12 Mar 2010 09:55:37 +0100
X-Spam-Score: -
X-Spam-Level:
X-Spam-Status: No, score=x tagged_above=-99 required=5 tests=[]
Received: from 60-75-207-85.cechy.dsl.static.bluetone.cz (60-75-207-85.cechy.dsl.static.bluetone.cz [85.207.75.60])
by mail.xxx.de (Postfix) with ESMTP id F08D736B1A
for <sales@xxx.de>; Fri, 12 Mar 2010 09:55:28 +0100 (CET)
Received: from 85.207.75.60 by mail.messaging.microsoft.com; Fri, 12 Mar 2010 09:54:46 +0100
From: "Philip Sibbons" <sales@xxx.de>
To: <sales@xxx.de>
Subject: Online order for airplane ticket N0SVWAGP4
Date: Fri, 12 Mar 2010 09:54:46 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0006_01CAC1C1.AA1BD4C0"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20100312085536.E4B9836C96@mail.xxx.de>
Return-Path: snickeredxn@royalamerican.com
X-OriginalArrivalTime: 12 Mar 2010 08:55:37.0065 (UTC) FILETIME=[C8877590:01CAC1C1]

------=_NextPart_000_0006_01CAC1C1.AA1BD4C0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-1";
reply-type=original
Content-Transfer-Encoding: 7bit

------=_NextPart_000_0006_01CAC1C1.AA1BD4C0
Content-Type: application/zip;
name="eTicket.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="eTicket.zip"


------=_NextPart_000_0006_01CAC1C1.AA1BD4C0--
Bitte warten ..
Mitglied: 45877
12.03.2010 um 16:31 Uhr
Hallo,

in deiner header_checks sehe ich nix, wo du geforgde Mails rejecten würdest.
Am besten schaust du dir das hier mal an und passt es entsprechend an.

http://www.postfix.org/BACKSCATTER_README.html#forged_sender
Bitte warten ..
Mitglied: wush2007
12.03.2010 um 17:34 Uhr
Hallo,
mir leuchtet das noch nicht ein.
Die Mail stammt von snickeredxn@royalamerican.com aber taucht in Outlook als sales@xxx.com auf.
Wie funktioniert das?

Wenn ich eine geforgde Mail schicke sieht das so aus:
Mar 12 10:34:36 mail postfix/smtpd[11567]: NOQUEUE: reject: RCPT from unknown[87.230.9.100]: 554 5.7.1 <mailx.xxx.com>: Helo command rejected: You are not me; from=<root@xxx.com> to=<sales@xxx.com> proto=ESMTP helo=<mailx.xxx.com>

Die Mail wird durch helo_access blockiert.


Danke für Deine Hilfe
Viele Grüße
Bitte warten ..
Mitglied: 45877
12.03.2010 um 18:17 Uhr
Hallo,

die fälschen wohl das from und return to feld im header.
Bitte warten ..
Mitglied: filippg
12.03.2010 um 19:30 Uhr
Hallo,

für die Anzeige des Absenders nehmen Mailclients das Header-From, nicht das Envelope-From - das wird nämlich beim Ablegen der Mail im Postfach nicht mit gespeichert. Und Header-From und Envelope-From müssen nicht gleich sein.

Gruß

Filipp
Bitte warten ..
Mitglied: wush2007
15.03.2010 um 15:47 Uhr
Hallo,
vielen Dank für die Hilfe. Tatsache, das from Feld im Header wurde gefälscht und das wird nicht überprüft.
Was würdet ihr mir empfehlen?
Blockiert ihr solche Mails?

Gruß
Bitte warten ..
Mitglied: 45877
15.03.2010 um 16:14 Uhr
Hallo,

unsere header_checks lässt keine Mails von außen durch, die behaupten von uns zu sein.
Bitte warten ..
Mitglied: wush2007
15.03.2010 um 17:58 Uhr
zeigst du mir deine header_checks?


Nachtrag:
Habe mal für Testzwecke diesen hinzugefügt (regexp):
/^(From|Return-Path):.*@xxx\.com/ WARN
Bitte warten ..
Ähnliche Inhalte
E-Mail

Mailumleitung an externe Adresse, Postfix u. Exchange

gelöst Frage von samreinE-Mail7 Kommentare

Hallo zusammen, leider stehe ich gerade vor einem Problem in der Hoffnung das jemand den richtigen Input für mich ...

E-Mail

Spammail mit Anhängen und Links nutzen unsere Domain

gelöst Frage von M.MarzE-Mail12 Kommentare

Hallo zusammen, ich wollte mal von den erfahreneren unter euch wissen, was ein IT-Admin machen kann, wenn er des ...

Netzwerkmanagement

Fernwartungssoftware intern

Frage von inno-itNetzwerkmanagement11 Kommentare

Hallo Zusammen, wir nutzen im Unternehmen aktuell zur Fernwartung der internen Rechner Lansweeper. Die Software kopiert bei Verbindungsaufbau UVNC ...

Linux

Postfix TLS einrichten

Frage von EmheonivekLinux1 Kommentar

Ich bin neu im Thema SSL-Zertifikate und versuche die Situation zu erläutern. Ich habe vor einiger Zeit ein Wildcard ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 20 StundenViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 1 TagWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 2 TagenHumor (lol)5 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 3 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
Switche und Hubs
Glasfaser-Anschluss Telekom muss verteilt werden
Frage von cansoniSwitche und Hubs23 Kommentare

Vorweg: Bin nur Anwender und kein Experte Die Situation: Der Vermieter stellt einen Glasfaseranschluss in der Wohnung bereit. Wir ...

Hyper-V
VMs von Hyper-V auf externer Festplatte
Frage von SnowbirdHyper-V15 Kommentare

Hallo, ich möchte gerne von VirtualBox auf Hyper-V umsteigen und würde auch gerne weiterhin meine VMs auf der externen ...

Windows Server
Name einer neuen AD Gesamtstruktur ? immer .local?
gelöst Frage von Motte990Windows Server11 Kommentare

Hallo ihr Lieben Ich bin gerade dabei auf einem Windows Server 2019 Core oder Desktop eine neu Active Directory ...

Ubuntu
Download manchmal langsam oder komplette Abbrüche bzw. Videos spielen nicht bis zum Schluss
Frage von stefanstpUbuntu11 Kommentare

Immer wieder berichten unsere Kunden, dass Downloads abbrechen oder super langsam sind oder Videos nicht abgespielt werden können bzw. ...