Ausgehende Verbindungen zu proofpoint bzw privax

[Plaintext]

Könnte jemand kurz einen Tipp geben für welchen Dienst PMG ständig zu den IPs von proofpoint (208.83.137.117) bzw privax (5.62.41.173) verbindet (80/443)?

 

[Stoiko Ivanov]

Könnte jemand kurz einen Tipp geben für welchen Dienst PMG ständig zu den IPs von proofpoint (208.83.137.117) bzw privax (5.62.41.173) verbindet

Wie häufig kommen die Verbindungen vor? (stündlich, minütlich, täglich, immer wenn eine mail reinkommt) ? - was wird zu dem Zeitpunkt der Verbindung ins syslog/journal geschrieben?

 

[Plaintext]

Ständig... ca jede Minute.
Es ist der pmg-smtp-filter prozess, wohl für die razor2 checks (die man in der Web-Oberfäche an-abschalten kann.
Habe es erstmal abgeschaltet, da ich nicht beurteilen kann, welche Daten da übertragen werden.

 

[Stoiko Ivanov]

razor2 ist eine SpamAssassin plugin, welches an und für sich nur Checksums der mails mit der Collection im Internet abgleicht - siehe [0,1]


[0] http://razor.sourceforge.net/
[1] https://spamassassin.apache.org/full/3.4.x/doc/Mail_SpamAssassin_Plugin_Razor2.html

 

[Plaintext]

Vielen Dank.
Auch ohne Razor2 wird bisher nicht weniger geblocked/markiert. Ich lasse diese Option mal disabled.

Jetzt mal eine evtl blöde Frage:
Wenn nun aber proofpoint den Hash eines Newsletters haben und die PMGs die Hashes "nach Hause telefonieren", könnte dann nicht Proofpoint feststellen, wo der Newsletter angekommen ist, also wer diesen abonniert hat (also zumindest welche Pfsense-Instanz)?
(Stelle auch gerade fest, dass HMA (ein VPN-Service) die 5.62.41.113 benutzt, die zu (...avast.com/privax) gehört. Also meine Exit-IP gehört zur gleichen Firma, wie mein Mail-Hash-Prüfer.... Aber gut, das hat jetzt nichts mehr mit PMG zu tun.)

 

[Stoiko Ivanov]

Wenn nun aber proofpoint den Hash eines Newsletters haben und die PMGs die Hashes "nach Hause telefonieren", könnte dann nicht Proofpoint feststellen, wo der Newsletter angekommen ist, also wer diesen abonniert hat (also zumindest welche Pfsense-Instanz)?

* Bin mir nicht sicher was das mit pfsense (eine FreeBSD basierende Firewall) zu tun hat?
* ja - die hashsum eines Newletters/Mailinglistenpost sollte im groben und ganzen als zum selben posting gehörig erkannt werden.
* allerdings setzt das voraus, das proofpoint/razor auch den Newsletter hat um daraus die checksum zu generieren, mit der sie vergleichbar ist.
In anderen Worten:
* wenn viele mailboxen dieselbe mail erhalten (Spamwelle, Mailinglistenposting, Newsletter), und viele davon razor nutzen, kann razor (bzw. die Organisation dahinter) erkennen, dass viele mailboxen diese mail erhalten.
* was in dieser Mail steht sollte aus dem Hash aber nicht hervorgehen.

Ich hoffe das hilft!