7
Spam-Check über DNS
Hallo Leute,
ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS.
Ein externer Mailserver möchte uns eine E-Mail zustellen. Er meldet sich folgendermaßen bei unserem Mailserver:
In dieser Sekunde fängt der Mailserver bzw. die Spamabwehr an zu arbeiten und checkt die DNS-Ressourcen.
Wird der angegebene Servername Vor- und Rückwärts (A) geprüft oder muss nur der PTR (B) passend sein?
Beispiel Prüfungslogik:
Hintergrund:
Unser SMTP-Gateway bietet die Option "Ungültige HELO/fehlende RDNS ablehnen". Ich verstehe nicht so ganz was die Überprüfung des HELO zu bedeuten hat. Ob der Server wirklich der ist für wen er sich ausgibt bekommt man doch rein durch den RDNS geprüft...oder übersehe ich etwas?
Danke!
ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS.
Ein externer Mailserver möchte uns eine E-Mail zustellen. Er meldet sich folgendermaßen bei unserem Mailserver:
HELO mailserver.extern.de [123.123.123.123]In dieser Sekunde fängt der Mailserver bzw. die Spamabwehr an zu arbeiten und checkt die DNS-Ressourcen.
Wird der angegebene Servername Vor- und Rückwärts (A) geprüft oder muss nur der PTR (B) passend sein?
Beispiel Prüfungslogik:
zu (A)
Schritt1: Auflösung A-Record: mailserver.extern.de -> 123.123.123.123 -> OK
Schritt2: Auflösung PRT: 123.123.123.123 -> mailserver.extern.de -> OK
Daraus folgt: Prüfung bestanden.
Zu (B)
Einziger Schritt: Auflösung PTR_ 123.123.123 -> mailserver.extern.de ->OL
Daraus folgt: Prüfung bestanden.Hintergrund:
Unser SMTP-Gateway bietet die Option "Ungültige HELO/fehlende RDNS ablehnen". Ich verstehe nicht so ganz was die Überprüfung des HELO zu bedeuten hat. Ob der Server wirklich der ist für wen er sich ausgibt bekommt man doch rein durch den RDNS geprüft...oder übersehe ich etwas?
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 330307
Url: https://administrator.de/contentid/330307
Printed on: April 19, 2024 at 21:04 o'clock
7 Comments
Latest comment
Moin,
Was hier passiert ist, dass der Server per "HELO" den Servername mitschickt. Löst der Angegebende DNS Namen forward auf die IP auf, von der aus der Server connected. Gleichfalls wird geprüft ob es sich dabei um den revese DNS der IP handlt.
Somit hast du 3 Dinge verifiziert und nimmst dadurch keine Mails von fehlerhaft konfigurierten Servern an.
Gruß
Chris
Was hier passiert ist, dass der Server per "HELO" den Servername mitschickt. Löst der Angegebende DNS Namen forward auf die IP auf, von der aus der Server connected. Gleichfalls wird geprüft ob es sich dabei um den revese DNS der IP handlt.
Somit hast du 3 Dinge verifiziert und nimmst dadurch keine Mails von fehlerhaft konfigurierten Servern an.
Gruß
Chris
Das erklärt unter anderem also warum das SMTP-Gateway so viel über DNS/Port53 "funkt". Für jede Identifizierungsvorgang eines SMTP-Servers sind mind. 2 gesonderte DNS-Anfragen nötig.
Einmal die Forward-Abfrage nach dem A-Record und völlig losgelöst davon noch mal eine Anfrage für den PTR-Record, richtig?
Einmal die Forward-Abfrage nach dem A-Record und völlig losgelöst davon noch mal eine Anfrage für den PTR-Record, richtig?
Hallo,
der Server könnte sich beim HELO mit "mail.google.de" ausgeben.
Es gibt sehr viele Ansätze und Tests zu diesem Thema.
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.
Mailserver sind wegen der Sicherheit und Spamproblematik sehr aufwendig zu konfigurieren.
Stefan
der Server könnte sich beim HELO mit "mail.google.de" ausgeben.
Es gibt sehr viele Ansätze und Tests zu diesem Thema.
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.
Mailserver sind wegen der Sicherheit und Spamproblematik sehr aufwendig zu konfigurieren.
Stefan
Das bedeutet im Zweifel macht es jeder Hersteller bisschen anders??
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.
Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?
Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Moin,
hier mal eine Aufschlüsselung der DNS Anfragen, die ggf. entstehen:
Forward lookup - A/AAAA
Reverse Lookup - PTR
SPF - SPF oder/und TXT
DKIM - TXT
DNSBL- A/AAAA (1 pro Blacklist)
DANE - TLSA
Also ja, es sind bei einem gut aufgesetzten Server mehr als nur 2 pro Anfrage. ggf. kann man hier durch einen lokalen DNS cache ein bisschen Traffic sparen.
Gruß
Chris
hier mal eine Aufschlüsselung der DNS Anfragen, die ggf. entstehen:
Forward lookup - A/AAAA
Reverse Lookup - PTR
SPF - SPF oder/und TXT
DKIM - TXT
DNSBL- A/AAAA (1 pro Blacklist)
DANE - TLSA
Also ja, es sind bei einem gut aufgesetzten Server mehr als nur 2 pro Anfrage. ggf. kann man hier durch einen lokalen DNS cache ein bisschen Traffic sparen.
Gruß
Chris
Ja, es ist quasi eine Kunst die verschiedenen Stellschrauben richtig gut hinzubekommen und zu pflegen.
Möglich keine korrekten Mails als Spam markieren und gleichzeitig kein Spam durchzulassen.
Die Gegenseite ist allerdings hochqualifiziert und finanziell gut ausgestattet.
Für einen Kniff wie Du Mails an Antispam-System vorbei bekommst, bekommt Jemand schnell mal 500.000 USD bar auf die Kralle.
Ja, es kommen viele Anfragen vom Mail-Server oder vom AntiSpam-Dienst davor.
Stefan
Möglich keine korrekten Mails als Spam markieren und gleichzeitig kein Spam durchzulassen.
Die Gegenseite ist allerdings hochqualifiziert und finanziell gut ausgestattet.
Für einen Kniff wie Du Mails an Antispam-System vorbei bekommst, bekommt Jemand schnell mal 500.000 USD bar auf die Kralle.
Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?
Siehe das was Sheogorath geschrieben hat.Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Ja, es kommen viele Anfragen vom Mail-Server oder vom AntiSpam-Dienst davor.
Stefan
Hallo,
Gruß
Chonta
dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden.
Solche Systeme sollten aber nicht geblockt werden. Wenn vermutlich ist die Domain die der Mailserver versuchte aufzulösen eine auf einer Blacklsite und deswegen wurde DNS geblockt, um zu verhindern, das ggf ein Client die Webseite (oder was auch immer) eine Verbindung zu der Domain aufbauen kann.Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Dann ist der Spamfilter nicht gründlich oder konnte nicht greifen weil die Auflösung nicht machbar war.Gruß
Chonta
