philipp711
23.02.2017, aktualisiert um 13:15:14 Uhr
view2983
view7
0
Goto Top

Spam-Check über DNS

FrageInternetE-Mail
Hallo Leute,

ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS.

Ein externer Mailserver möchte uns eine E-Mail zustellen. Er meldet sich folgendermaßen bei unserem Mailserver:

HELO mailserver.extern.de [123.123.123.123]

In dieser Sekunde fängt der Mailserver bzw. die Spamabwehr an zu arbeiten und checkt die DNS-Ressourcen.
Wird der angegebene Servername Vor- und Rückwärts (A) geprüft oder muss nur der PTR (B) passend sein?

Beispiel Prüfungslogik:
zu (A)
Schritt1: Auflösung A-Record: mailserver.extern.de -> 123.123.123.123 -> OK
Schritt2: Auflösung PRT: 123.123.123.123 -> mailserver.extern.de -> OK
Daraus folgt: Prüfung bestanden. 

Zu (B)
Einziger Schritt: Auflösung PTR_ 123.123.123 -> mailserver.extern.de ->OL
Daraus folgt: Prüfung bestanden.

Hintergrund:

Unser SMTP-Gateway bietet die Option "Ungültige HELO/fehlende RDNS ablehnen". Ich verstehe nicht so ganz was die Überprüfung des HELO zu bedeuten hat. Ob der Server wirklich der ist für wen er sich ausgibt bekommt man doch rein durch den RDNS geprüft...oder übersehe ich etwas?

Danke!
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 330307

Url: https://administrator.de/forum/spam-check-ueber-dns-330307.html

Ausgedruckt am: 02.04.2025 um 09:04 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
Sheogorath
Sheogorath 23.02.2017 um 13:16:56 Uhr
Goto Top
Moin,

Was hier passiert ist, dass der Server per "HELO" den Servername mitschickt. Löst der Angegebende DNS Namen forward auf die IP auf, von der aus der Server connected. Gleichfalls wird geprüft ob es sich dabei um den revese DNS der IP handlt.

Somit hast du 3 Dinge verifiziert und nimmst dadurch keine Mails von fehlerhaft konfigurierten Servern an.

Gruß
Chris
Philipp711
Philipp711 23.02.2017 aktualisiert um 13:28:41 Uhr
Goto Top
Das erklärt unter anderem also warum das SMTP-Gateway so viel über DNS/Port53 "funkt". Für jede Identifizierungsvorgang eines SMTP-Servers sind mind. 2 gesonderte DNS-Anfragen nötig.

Einmal die Forward-Abfrage nach dem A-Record und völlig losgelöst davon noch mal eine Anfrage für den PTR-Record, richtig?
StefanKittel
StefanKittel 23.02.2017 um 13:28:26 Uhr
Goto Top
Hallo,

der Server könnte sich beim HELO mit "mail.google.de" ausgeben.

Es gibt sehr viele Ansätze und Tests zu diesem Thema.
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.

Mailserver sind wegen der Sicherheit und Spamproblematik sehr aufwendig zu konfigurieren.

Stefan
Philipp711
Philipp711 23.02.2017 aktualisiert um 14:36:23 Uhr
Goto Top
Zitat von @StefanKittel:
Es gibt sehr viele Ansätze und Tests zu diesem Thema.

Das bedeutet im Zweifel macht es jeder Hersteller bisschen anders??

Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.

Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?

Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.

Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Sheogorath
Sheogorath 23.02.2017 um 14:41:42 Uhr
Goto Top
Moin,

hier mal eine Aufschlüsselung der DNS Anfragen, die ggf. entstehen:

Forward lookup - A/AAAA
Reverse Lookup - PTR
SPF - SPF oder/und TXT
DKIM - TXT
DNSBL- A/AAAA (1 pro Blacklist)
DANE - TLSA

Also ja, es sind bei einem gut aufgesetzten Server mehr als nur 2 pro Anfrage. ggf. kann man hier durch einen lokalen DNS cache ein bisschen Traffic sparen.

Gruß
Chris
StefanKittel
StefanKittel 23.02.2017 um 14:55:36 Uhr
Goto Top
Zitat von @Philipp711:
Das bedeutet im Zweifel macht es jeder Hersteller bisschen anders??
Ja, es ist quasi eine Kunst die verschiedenen Stellschrauben richtig gut hinzubekommen und zu pflegen.
Möglich keine korrekten Mails als Spam markieren und gleichzeitig kein Spam durchzulassen.

Die Gegenseite ist allerdings hochqualifiziert und finanziell gut ausgestattet.
Für einen Kniff wie Du Mails an Antispam-System vorbei bekommst, bekommt Jemand schnell mal 500.000 USD bar auf die Kralle.

Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?
Siehe das was Sheogorath geschrieben hat.

Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.

Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.

Ja, es kommen viele Anfragen vom Mail-Server oder vom AntiSpam-Dienst davor.

Stefan
Chonta
Chonta 23.02.2017 um 15:10:49 Uhr
Goto Top
Hallo,

dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden.
Solche Systeme sollten aber nicht geblockt werden. Wenn vermutlich ist die Domain die der Mailserver versuchte aufzulösen eine auf einer Blacklsite und deswegen wurde DNS geblockt, um zu verhindern, das ggf ein Client die Webseite (oder was auch immer) eine Verbindung zu der Domain aufbauen kann.

Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Dann ist der Spamfilter nicht gründlich oder konnte nicht greifen weil die Auflösung nicht machbar war.

Gruß

Chonta
FrageInternetE-Mail
Mehr von Philipp711Philipp711Built-In iOS-VPN Auto-Disconnect bei DisplaysperrePhilipp711 - 8 KommentarePhilipp711RAID Manager auf Ubuntu Server installieren (Fujitsu RX2540)Philipp711 - 6 KommentarePhilipp711Sophos UTM Mail Security - Empfängerverifizierung im ProfilmodusPhilipp711 - 6 KommentarePhilipp711Graylog-Sidecar - Filebeat konfigurationPhilipp711
Heiß diskutiert
r2d2r3poNetzwerk Ausfäller2d2r3po - 46 KommentareTschakalakaNetzwerkscan - Suche nach inkompatiblen Windows 10 Clients für Windows 11 UpgradeTschakalaka - 41 Kommentareratzekahl1Batch-Datei mit Admin-Rechten ausführen ohne das Passwort raus zu gebenratzekahl1 - 41 KommentarepanguuRouter gesucht (Mikrotik, OPNsense)panguu - 33 KommentareTenniscrackTablet sagt: Nicht genügend SpeicherplatzTenniscrack - 31 KommentarejimmmySFP-Ports adaptieren?jimmmy - 30 KommentareaxlemoxleDeutsche Telefon, 3cx, Wildix, Yeastar Easybell, Peoplefone, was ist das richtigeaxlemoxle - 25 KommentarekreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 23 Kommentarefatih.yaylaSBLenovo Notebook friert immer wieder einfatih.yaylaSB - 19 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 19 KommentarekpunktMicrosoft entfernt BypassNRO.cmdkpunkt - 19 KommentaremaddocPlötzlich keinen Sound mehr, neue Soundkarte keine Besserungmaddoc - 17 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 Kommentare