Spam-Check über DNS
Hallo Leute,
ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS.
Ein externer Mailserver möchte uns eine E-Mail zustellen. Er meldet sich folgendermaßen bei unserem Mailserver:
In dieser Sekunde fängt der Mailserver bzw. die Spamabwehr an zu arbeiten und checkt die DNS-Ressourcen.
Wird der angegebene Servername Vor- und Rückwärts (A) geprüft oder muss nur der PTR (B) passend sein?
Beispiel Prüfungslogik:
Hintergrund:
Unser SMTP-Gateway bietet die Option "Ungültige HELO/fehlende RDNS ablehnen". Ich verstehe nicht so ganz was die Überprüfung des HELO zu bedeuten hat. Ob der Server wirklich der ist für wen er sich ausgibt bekommt man doch rein durch den RDNS geprüft...oder übersehe ich etwas?
Danke!
ich habe eine kurze Frage zur Überprüfung eines SMTP-Kommunikationspartners mittels DNS.
Ein externer Mailserver möchte uns eine E-Mail zustellen. Er meldet sich folgendermaßen bei unserem Mailserver:
HELO mailserver.extern.de [123.123.123.123]
In dieser Sekunde fängt der Mailserver bzw. die Spamabwehr an zu arbeiten und checkt die DNS-Ressourcen.
Wird der angegebene Servername Vor- und Rückwärts (A) geprüft oder muss nur der PTR (B) passend sein?
Beispiel Prüfungslogik:
zu (A)
Schritt1: Auflösung A-Record: mailserver.extern.de -> 123.123.123.123 -> OK
Schritt2: Auflösung PRT: 123.123.123.123 -> mailserver.extern.de -> OK
Daraus folgt: Prüfung bestanden.
Zu (B)
Einziger Schritt: Auflösung PTR_ 123.123.123 -> mailserver.extern.de ->OL
Daraus folgt: Prüfung bestanden.
Hintergrund:
Unser SMTP-Gateway bietet die Option "Ungültige HELO/fehlende RDNS ablehnen". Ich verstehe nicht so ganz was die Überprüfung des HELO zu bedeuten hat. Ob der Server wirklich der ist für wen er sich ausgibt bekommt man doch rein durch den RDNS geprüft...oder übersehe ich etwas?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 330307
Url: https://administrator.de/forum/spam-check-ueber-dns-330307.html
Ausgedruckt am: 02.04.2025 um 09:04 Uhr
7 Kommentare
Neuester Kommentar
Moin,
Was hier passiert ist, dass der Server per "HELO" den Servername mitschickt. Löst der Angegebende DNS Namen forward auf die IP auf, von der aus der Server connected. Gleichfalls wird geprüft ob es sich dabei um den revese DNS der IP handlt.
Somit hast du 3 Dinge verifiziert und nimmst dadurch keine Mails von fehlerhaft konfigurierten Servern an.
Gruß
Chris
Was hier passiert ist, dass der Server per "HELO" den Servername mitschickt. Löst der Angegebende DNS Namen forward auf die IP auf, von der aus der Server connected. Gleichfalls wird geprüft ob es sich dabei um den revese DNS der IP handlt.
Somit hast du 3 Dinge verifiziert und nimmst dadurch keine Mails von fehlerhaft konfigurierten Servern an.
Gruß
Chris
Hallo,
der Server könnte sich beim HELO mit "mail.google.de" ausgeben.
Es gibt sehr viele Ansätze und Tests zu diesem Thema.
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.
Mailserver sind wegen der Sicherheit und Spamproblematik sehr aufwendig zu konfigurieren.
Stefan
der Server könnte sich beim HELO mit "mail.google.de" ausgeben.
Es gibt sehr viele Ansätze und Tests zu diesem Thema.
Ist der HELO ein vollständiger FQDN, passt es zur IP und zum rDNS?
Dann kommen Dinge wie SPF, DKIM, MS, IP Blacklist checks, TLS, SSL, etc.
Mailserver sind wegen der Sicherheit und Spamproblematik sehr aufwendig zu konfigurieren.
Stefan
Moin,
hier mal eine Aufschlüsselung der DNS Anfragen, die ggf. entstehen:
Forward lookup - A/AAAA
Reverse Lookup - PTR
SPF - SPF oder/und TXT
DKIM - TXT
DNSBL- A/AAAA (1 pro Blacklist)
DANE - TLSA
Also ja, es sind bei einem gut aufgesetzten Server mehr als nur 2 pro Anfrage. ggf. kann man hier durch einen lokalen DNS cache ein bisschen Traffic sparen.
Gruß
Chris
hier mal eine Aufschlüsselung der DNS Anfragen, die ggf. entstehen:
Forward lookup - A/AAAA
Reverse Lookup - PTR
SPF - SPF oder/und TXT
DKIM - TXT
DNSBL- A/AAAA (1 pro Blacklist)
DANE - TLSA
Also ja, es sind bei einem gut aufgesetzten Server mehr als nur 2 pro Anfrage. ggf. kann man hier durch einen lokalen DNS cache ein bisschen Traffic sparen.
Gruß
Chris
Ja, es ist quasi eine Kunst die verschiedenen Stellschrauben richtig gut hinzubekommen und zu pflegen.
Möglich keine korrekten Mails als Spam markieren und gleichzeitig kein Spam durchzulassen.
Die Gegenseite ist allerdings hochqualifiziert und finanziell gut ausgestattet.
Für einen Kniff wie Du Mails an Antispam-System vorbei bekommst, bekommt Jemand schnell mal 500.000 USD bar auf die Kralle.
Ja, es kommen viele Anfragen vom Mail-Server oder vom AntiSpam-Dienst davor.
Stefan
Möglich keine korrekten Mails als Spam markieren und gleichzeitig kein Spam durchzulassen.
Die Gegenseite ist allerdings hochqualifiziert und finanziell gut ausgestattet.
Für einen Kniff wie Du Mails an Antispam-System vorbei bekommst, bekommt Jemand schnell mal 500.000 USD bar auf die Kralle.
Es werden also zwei an sich unabhängige DNS-Anfragen geschickt?
Siehe das was Sheogorath geschrieben hat.Ich frage so genau nach da es bei uns in letzter Zeit ab und zu vorkommt, dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden. Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Ich denke diese Meldungen lassen sich darauf zurückführen, dass das SMTP-Gateway aufgrund der aktivierten Option "Ungültige HELO/fehlende RDNS ablehnen" den A-Record des anfragenden Servers abfragen möchte und das IPS-Systeme diesen DNS-Namen schon als Böse kennt und die Verbindung korrekterweise kappt.
Ja, es kommen viele Anfragen vom Mail-Server oder vom AntiSpam-Dienst davor.
Stefan
Hallo,
Gruß
Chonta
dass DNS-Anfragen vom SMTP-Gateway durch unserer IPS-Firewall mit dem Hinweis auf "Suspicious DNS-Query" geblockt werden.
Solche Systeme sollten aber nicht geblockt werden. Wenn vermutlich ist die Domain die der Mailserver versuchte aufzulösen eine auf einer Blacklsite und deswegen wurde DNS geblockt, um zu verhindern, das ggf ein Client die Webseite (oder was auch immer) eine Verbindung zu der Domain aufbauen kann.Fast zeitgleich zum DNS-Block und entsprechender Meldung kann der Eingang einer SPAM-Mail in den SMTP-Logs nachvollzogen werden.
Dann ist der Spamfilter nicht gründlich oder konnte nicht greifen weil die Auflösung nicht machbar war.Gruß
Chonta