philipp711
23.02.2017, aktualisiert um 13:15:14 Uhr
view3004
view7
0
Beitrags-Menü
  • Ausdrucken
  • Internen Beitrags-Link kopieren
  • Externen Beitrags-Link kopieren

Spam-Check über DNS

FrageInternetE-Mail
Hallo Leute,

ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS.

Ein externer Mailserver möchte uns eine E-Mail zustellen. Er meldet sich folgendermaßen bei unserem Mailserver:

HELO mailserver.extern.de [123.123.123.123]

In dieser Sekunde fängt der Mailserver bzw. die Spamabwehr an zu arbeiten und checkt die DNS-Ressourcen.
Wird der angegebene Servername Vor- und Rückwärts (A) geprüft oder muss nur der PTR (B) passend sein?

Beispiel Prüfungslogik:
zu (A)
Schritt1: Auflösung A-Record: mailserver.extern.de -> 123.123.123.123 -> OK
Schritt2: Auflösung PRT: 123.123.123.123 -> mailserver.extern.de -> OK
Daraus folgt: Prüfung bestanden. 

Zu (B)
Einziger Schritt: Auflösung PTR_ 123.123.123 -> mailserver.extern.de ->OL
Daraus folgt: Prüfung bestanden.

Hintergrund:

Unser SMTP-Gateway bietet die Option "Ungültige HELO/fehlende RDNS ablehnen". Ich verstehe nicht so ganz was die Überprüfung des HELO zu bedeuten hat. Ob der Server wirklich der ist für wen er sich ausgibt bekommt man doch rein durch den RDNS geprüft...oder übersehe ich etwas?

Danke!
Share articleTeilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 330307

Url: https://administrator.de/forum/spam-check-ueber-dns-330307.html

Ausgedruckt am: 26.04.2025 um 07:04 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
Sheogorath
Sheogorath 23.02.2017 um 13:16:56 Uhr
Goto Top
Moin,

Was hier passiert ist, dass der Server per "HELO" den Servername mitschickt. Löst der Angegebende DNS Namen forward auf die IP auf, von der aus der Server connected. Gleichfalls wird geprüft ob es sich dabei um den revese DNS der IP handlt.

Somit hast du 3 Dinge verifiziert und nimmst dadurch keine Mails von fehlerhaft konfigurierten Servern an.

Gruß
Chris
Philipp711
Philipp711 23.02.2017 aktualisiert um 13:28:41 Uhr
Goto Top
Das erklärt unter anderem also warum das SMTP-Gateway so viel über DNS/Port53 "funkt". Für jede Identifizierungsvorgang eines SMTP-Servers sind mind. 2 gesonderte DNS-Anfragen nötig.

Einmal die Forward-Abfrage nach dem A-Record und völlig losgelöst davon noch mal eine Anfrage für den PTR-Record, richtig?
StefanKittel
StefanKittel 23.02.2017 um 13:28:26 Uhr
Goto Top
Hallo,

der Server könnte sich beim HELO mit "mail.google.de" ausgeben.

Es gibt sehr viele Ansätze und Tests zu diesem Thema.
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.

Mailserver sind wegen der Sicherheit und Spamproblematik sehr aufwendig zu konfigurieren.

Stefan
Philipp711
Philipp711 23.02.2017 aktualisiert um 14:36:23 Uhr
Goto Top
Zitat von @StefanKittel:
Es gibt sehr viele Ansätze und Tests zu diesem Thema.

Das bedeutet im Zweifel macht es jeder Hersteller bisschen anders??

Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.

Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?

Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.

Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Sheogorath
Sheogorath 23.02.2017 um 14:41:42 Uhr
Goto Top
Moin,

hier mal eine Aufschlüsselung der DNS Anfragen, die ggf. entstehen:

Forward lookup - A/AAAA
Reverse Lookup - PTR
SPF - SPF oder/und TXT
DKIM - TXT
DNSBL- A/AAAA (1 pro Blacklist)
DANE - TLSA

Also ja, es sind bei einem gut aufgesetzten Server mehr als nur 2 pro Anfrage. ggf. kann man hier durch einen lokalen DNS cache ein bisschen Traffic sparen.

Gruß
Chris
StefanKittel
StefanKittel 23.02.2017 um 14:55:36 Uhr
Goto Top
Zitat von @Philipp711:
Das bedeutet im Zweifel macht es jeder Hersteller bisschen anders??
Ja, es ist quasi eine Kunst die verschiedenen Stellschrauben richtig gut hinzubekommen und zu pflegen.
Möglich keine korrekten Mails als Spam markieren und gleichzeitig kein Spam durchzulassen.

Die Gegenseite ist allerdings hochqualifiziert und finanziell gut ausgestattet.
Für einen Kniff wie Du Mails an Antispam-System vorbei bekommst, bekommt Jemand schnell mal 500.000 USD bar auf die Kralle.

Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?
Siehe das was Sheogorath geschrieben hat.

Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.

Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.

Ja, es kommen viele Anfragen vom Mail-Server oder vom AntiSpam-Dienst davor.

Stefan
Chonta
Chonta 23.02.2017 um 15:10:49 Uhr
Goto Top
Hallo,

dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden.
Solche Systeme sollten aber nicht geblockt werden. Wenn vermutlich ist die Domain die der Mailserver versuchte aufzulösen eine auf einer Blacklsite und deswegen wurde DNS geblockt, um zu verhindern, das ggf ein Client die Webseite (oder was auch immer) eine Verbindung zu der Domain aufbauen kann.

Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Dann ist der Spamfilter nicht gründlich oder konnte nicht greifen weil die Auflösung nicht machbar war.

Gruß

Chonta
FrageInternetE-Mail
Mehr von Philipp711Philipp711Authentifizierung mit Zertifikat für Remote-Access-VPNPhilipp711 - 4 KommentarePhilipp711Built-In iOS-VPN Auto-Disconnect bei DisplaysperrePhilipp711 - 9 KommentarePhilipp711RAID Manager auf Ubuntu Server installieren (Fujitsu RX2540)Philipp711 - 6 KommentarePhilipp711Sophos UTM Mail Security - Empfängerverifizierung im ProfilmodusPhilipp711 - 6 Kommentare
Heiß diskutiert
MysticFoxDEWindows 11 - Unerträgliche Ressourcenverschwendung - groteske RAM ReservierungenMysticFoxDE - 93 KommentareMaba90Batch oder PS Skript startet Programm nur als Prozess ohne GUIMaba90 - 45 KommentarekreuzbergerGängelung, neu erfunden. Diesmal: SYNOLOGYkreuzberger - 37 Kommentarepsimon87Serverschrank im Garten (in der "Gartenhütte")psimon87 - 19 KommentareManuManu2021Handelsregister.de nicht aufrufbarManuManu2021 - 16 KommentareTenniscrackUSB Stick mit Windows 2 Go erstellenTenniscrack - 15 Kommentaregerry56Netzwerk-Problem mit unterschiedlichen Betriebssystemengerry56 - 15 KommentareYan2021Mauszeiger springt während Backup od. Programm-Installation etcYan2021 - 14 KommentarekreuzbergerLTFS und LTO5-Laufwerke im DELL TL4000kreuzberger - 14 KommentareYan2021Thunderbolt USB-C auf USB-A Stecker bessere Lösung?Yan2021 - 14 KommentarespinnifexMein Explorer bringt mich zum Wahnsinn (Einstellungen merken)spinnifex - 14 KommentarefloriaugsBackup Cloud - Empfehlungfloriaugs - 14 KommentareNominisHeimnetzwerk - Aufteilung aktualisierenNominis - 13 Kommentare