Spam von eigener Domäne

[proxmoxuser0815]

Hi,

wir haben das Problem, dass Spammer unsere Proxmox-DNS-Internetadresse (mx-Record, ist ja auch öffentlich ) als Absender nutzen und teilweise sogar richtige Mitarbeiteradressen. Kann man das irgendwie filtern? Also in dem Feld From danach suchen und blockieren? Ohne dass es bei Weiterleitungen zu Problemen kommt?

Im Feld envelope-from steht die richtige Absenderadresse. In dem Feld From die gefälschte. Man könnte das Problem andersherum angehen und in Outlook die echten Absenderadressen anzeigen lassen. Ich fürchte aber, dass einige Mitarbeiter damit nicht klarkommen würden (Exchange-Adressbuch...)

Gruß

 

[IEM]

SPF?

 

[tom]

Hi,

wir haben das Problem, dass Spammer unsere Proxmox-DNS-Internetadresse (mx-Record, ist ja auch öffentlich ) als Absender nutzen

Wenn sie einen offenen Relay (also spammer über ihr mail gateway emails verschicken) ist was grob falsch konfiguriert.

 

[proxmoxuser0815]

Die versenden ja nicht wirklich mit unserer Domäne, sondern es wird nur das "From"-Feld gefälscht. Im Tracking-Center sehe ich ja die eigentliche Absenderadresse. Ein Test auf mxtoolbox.com sagt, dass es eben kein Open Relay ist:

220-mail.domain.de ESMTP Proxmox
220 mail.domain.de ESMTP Proxmox [8278 ms]
EHLO EC2AMAZ-14J9QQI.mxtoolbox.com
250-mail.domain.de
250-PIPELINING
250-SIZE 15728640
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 SMTPUTF8 [750 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [946 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>
454 4.7.1 <test@mxtoolboxsmtpdiag.com>: Relay access denied [825 ms]


SPF ist keine Option, dafür sind die meisten Mailgateways nicht konfiguriert und die es bringt Probleme bei Weiterleitungen, soweit ich weiß.

In Outlook sehe ich:
From: <FakeInternerAbsender@mail.domain.de>

Und hier steht der eigentliche Absender:
envelope-from <umashankar@asiaticlinical.com>

 

[IEM]

die jüngste spam-welle mit fakesender == receiver adressen ("wie Sie am Absender sehen können, habe ich Ihren account gehackt". überweisen Sie bitte bitcoins. passen Sie in zukunft besser auf.") habe ich mitbekommen (auf anderen mailservern), aber mein PMG hat die brav geblockt.

ich setze heutger's DNSBL liste ein, und habe soweit keine probleme (sondern bin glücklich):

zen.spamhaus.org*2,bl.spamcop.net*2,psbl.surriel.com*2,spamrbl.imp.ch*2,noptr.spamrats.com*2,escalations.dnsbl.sorbs.net*2,bl.score.senderscore.com*2,bl.spameatingmonkey.net*2,rbl.realtimeblacklist.com*2,dnsbl.dronebl.org*2,ix.dnsbl.manitu.net,b.barracudacentral.org,truncate.gbudb.net,bl.blocklist.de

 

[proxmoxuser0815]

RBL nutzen wir auch, bei ca. 600-700 Mails täglich (laut daily Statistik), kommt halt auch was durch.

 

[IEM]

naja, RBL hängt halt auch viel von den verwendeten listen ab (weswegen ich auch noch einmal die von heutger empfohlenen einstellungen gepostet habe).

 

[proxmoxuser0815]

Habe deine Liste vor Wochen eingetragen, gestern gab es eine neue Welle von .mx und .bo - Servern. RBL nützt nen Scheiß bei neuen Wellen. Schade, dass es dafür keine Proxmox-Lösung gibt

 

[tom]

Habe deine Liste vor Wochen eingetragen, gestern gab es eine neue Welle von .mx und .bo - Servern. RBL nützt nen Scheiß bei neuen Wellen. Schade, dass es dafür keine Proxmox-Lösung gibt

bist du sicher, das die RBL auch funktionieren, wie schauen die detaillierten scores der tests aus (siehe email header)?

 

[proxmoxuser0815]

Hi, hier zwei Beispiele:

Bei RBL-Blocks gibt es die Meldung:
Nov 7 01:17:23 mail1 postfix/postscreen[24095]: NOQUEUE: reject: RCPT from [184.107.176.163]:54133: 550 5.7.1 Service unavailable; client [184.107.176.163] blocked using b.barracudacentral.org; from=<operaciones@proyectingamycia.com>, to=<Frau.Mustermann@meine-firma.de>, proto=ESMTP, helo=baru.linkedip.com>

Die ging durch, mit Fake-Absender (unsere Domäne bzw. Mitarbeiter):
Nov 6 09:52:30 mail1 postfix/smtpd[14542]: connect from gateway34.websitewelcome.com[192.185.149.62]
Nov 6 09:52:31 mail1 postfix/smtpd[14542]: 42AC9860066: client=gateway34.websitewelcome.com[192.185.149.62]
Nov 6 09:52:31 mail1 postfix/cleanup[14545]: 42AC9860066: message-id=<145332087792217499.DD3AF4BC337332BF@meine-firma.de>
Nov 6 09:52:32 mail1 postfix/qmgr[809]: 42AC9860066: from=<produccion@ridecsa.com.mx>, size=104861, nrcpt=1 (queue active)
Nov 6 09:52:32 mail1 postfix/smtpd[14542]: disconnect from gateway34.websitewelcome.com[192.185.149.62] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Nov 6 09:52:32 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: new mail message-id=<145332087792217499.DD3AF4BC337332BF@meine-firma.de>
Nov 6 09:52:33 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: SA score=0/5 time=0.993 bayes=2.77555756156289e-16 autolearn=ham autolearn_force=no hits=BAYES_00,DKIM_SIGNED,DKIM_VALID,DKIM_VALID_EF,HEADER_FROM_DIFFERENT_DOMAINS,LOTS_OF_MONEY,RCVD_IN_DNSWL_NONE,SPF_HELO_PASS,SPF_PASS
Nov 6 09:52:33 mail1 postfix/smtpd[14550]: connect from localhost.localdomain[127.0.0.1]
Nov 6 09:52:33 mail1 postfix/smtpd[14550]: 240C5860A41: client=localhost.localdomain[127.0.0.1], orig_client=gateway34.websitewelcome.com[192.185.149.62]
Nov 6 09:52:33 mail1 postfix/cleanup[14557]: 240C5860A41: message-id=<145332087792217499.DD3AF4BC337332BF@meine-firma.de>
Nov 6 09:52:33 mail1 postfix/qmgr[809]: 240C5860A41: from=<produccion@ridecsa.com.mx>, size=105087, nrcpt=1 (queue active)
Nov 6 09:52:33 mail1 postfix/smtpd[14550]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
Nov 6 09:52:33 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: accept mail to <max.mustermann@meine-firma.de> (240C5860A41)
Nov 6 09:52:33 mail1 pmg-smtp-filter[14355]: 8608FB5BE156500CEBD: processing time: 1.176 seconds (0.993, 0.049)
Nov 6 09:52:33 mail1 postfix/lmtp[14546]: 42AC9860066: to=<max.mustermann@meine-firma.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.1, delays=0.78/0/0.04/1.2, dsn=2.5.0, status=sent (250 2.5.0 OK (8608FB5BE156500CEBD))
Nov 6 09:52:33 mail1 postfix/qmgr[809]: 42AC9860066: removed
Nov 6 09:52:35 mail1 postfix/smtp[14566]: 240C5860A41: to=<max.mustermann@meine-firma.de>, relay=192.168.10.6[192.168.10.6]:25, delay=1.9, delays=0.12/0/0/1.8, dsn=2.6.0, status=sent (250 2.6.0 <145332087792217499.DD3AF4BC337332BF@meine-firma.de> [InternalId=1925239] Queued mail for delivery)
Nov 6 09:52:35 mail1 postfix/qmgr[809]: 240C5860A41: removed

Header dieser Mail:

Received: from mail1.meine-firma.de (IP Proxmom) by mein-exchange.local
(192.168.10.6) with Microsoft SMTP Server id 14.3.408.0; Tue, 6 Nov 2018
09:52:33 +0100
Received: from mail1.meine-firma.de (localhost.localdomain [127.0.0.1]) by
mail1.meine-firma.de (Proxmox) with ESMTP id 240C5860A41 for
<max.mustermanns@meine-firma.de>; Tue, 6 Nov 2018 09:52:33 +0100 (CET)
Received: from gateway34.websitewelcome.com (gateway34.websitewelcome.com
[192.185.149.62]) by mail1.meine-firma.de (Proxmox) with ESMTP id 42AC9860066
for <max.mustermanns@meine-firma.de>; Tue, 6 Nov 2018 09:52:31 +0100 (CET)
Received: from cm13.websitewelcome.com (cm13.websitewelcome.com [100.42.49.6])
by gateway34.websitewelcome.com (Postfix) with ESMTP id A45CB61128 for
<max.mustermanns@meine-firma.de>; Tue, 6 Nov 2018 02:27:27 -0600 (CST)
Received: from cruze.websitewelcome.com ([192.185.81.92]) by cmsmtp with SMTP
id Jwhrgxo40FxNhJwhrgDFQo; Tue, 06 Nov 2018 02:27:27 -0600
X-Authority-Reason: nr=8
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=ridecsa.com.mx; s=default; h=Content-Type:MIME-Version:Subject:Message-ID:
To:Fromate:Sender:Reply-To:Cc:Content-Transfer-Encoding:Content-ID:
Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
List-Subscribe:List-Post:List-Owner:List-Archive;
bh=29n4NPCOWRfrx5vpLiqRQsvWAis7IcHgZxADvg1Ewkc=; b=YAAtH9BaHR1xmCUTrX5DCKOymo
5y5JNa7429/S4LxzCF/1xJFDEMGWtj17VF0jzW4sOzThQnMK3yQjJ2hafxoFwrDwwQYg0V6rNgC29
AWRYRIZZtoEqKuy0sRoazycFL0TxeMJtNjZ5688gX47qjwDuofCrvLEQqJg2HLEYykfo=;
Received: from 28.176.15.62.static.jazztel.es ([62.15.176.28]:64830
helo=10.10.45.122) by cruze.websitewelcome.com with esmtpsa
(TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.91) (envelope-from
<produccion@ridecsa.com.mx>) id 1gJwhr-003rsk-37 for
max.mustermanns@meine-firma.de; Tue, 06 Nov 2018 02:27:27 -0600
Date: Tue, 6 Nov 2018 09:27:26 +0100
From: <FakeSender@mail1.meine-firma.de>, Fake <Fake.Sender@fake-firma.de>
To: <max.mustermanns@meine-firma.de>
Message-ID: <145332087792217499.DD3AF4BC337332BF@meine-firma.de>
Subject: Ihre neue Rechnung ist online M8D80045 vom 06 November 2018
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_Part_23709_1129561087.2278666882912914927"
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - cruze.websitewelcome.com
X-AntiAbuse: Original Domain - meine-firma.de
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - ridecsa.com.mx
X-BWhitelist: no
X-Source-IP: 62.15.176.28
X-Source-L: No
X-Exim-ID: 1gJwhr-003rsk-37
X-Source:
X-Source-Args:
X-Source-Dir:
X-Source-Sender: 28.176.15.62.static.jazztel.es (10.10.45.122) [62.15.176.28]:64830
X-Source-Auth: produccion@ridecsa.com.mx
X-Email-Count: 162
X-Source-Cap: cmlkZWNzYWM7Y2hhcmx5aGc7Y3J1emUud2Vic2l0ZXdlbGNvbWUuY29t
X-Local-Domain: yes
Return-Path: produccion@ridecsa.com.mx
X-MS-Exchange-Organization-AuthSource: mein-exchange.local
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Organization-AVStamp-Mailbox: NAI;60099083;0;novirus



Was mache ich falsch?

 

[tom]

Im Email Header sollten die genauen Spam detection results stehen, hier ein Beispiel:

X-SPAM-LEVEL: Spam detection results:  0
    DKIM_SIGNED               0.1 Message has a DKIM or DK signature, not necessarily valid
    DKIM_VALID               -0.1 Message has at least one valid DKIM or DK signature
    DKIM_VALID_AU            -0.1 Message has a valid DKIM or DK signature from author's domain
    HEADER_FROM_DIFFERENT_DOMAINS   0.25 From and EnvelopeFrom 2nd level mail domains are different
    HTML_MESSAGE            0.001 HTML included in message
    MIME_HTML_MOSTLY        0.001 Multipart message mostly text/html MIME
    MPART_ALT_DIFF          0.724 HTML and text parts are different
    RCVD_IN_DNSWL_LOW        -0.7 Sender listed at http://www.dnswl.org/, low trust
    SPF_PASS               -0.001 SPF: sender matches SPF record

Wenn diese Detailinfo nicht drin sind, laufen die Email nicht richtig durch das Regelsystem oder diese Regel ist nicht aktiv.

 

[proxmoxuser0815]

Die Regel ist aktiv, greift aber viel zu selten. Es ist seit dem Update auf v5 so, glaub ich. Die Regel hat die Priorität 80, davor sind nur Regeln wie Block Viruses etc. Der Spamfilter-Level ist auf Level 8 eingestellt, der war mal auf 7 eingestellt, hatte dann aber vieles falsch erkannt. Wieder auf 7 stellen?

 

[heutger]

Hallo,

also die Spam Score-Verteilung zeigt entweder, daß Sie kaum Spam bekommen oder die Regeln eher ungeeignet sind. Schauen Sie sich meinen Advanced-Thread für weitere Tweaks an.

RBL sind stets ein Katz-und-Mausspiel. Ich nutze noch weitere Listen als geposted, diese sind aber kommerziell (Invaluement), aber selbst das ist kein Garant. Im Zweifel testen Sie selbst, indem Sie Spammails die einliefernde IP unter multirbl.valli.org, wo diese auftauchen und testen Sie die Listen mit warn_if_reject in der main.cf.in, checken Sie den Tracker, ob sie gewünscht funktionieren und nicht zu viele false-positives erzeugen, wenn sie passen, schalten Sie sie scharf. Mit meinen Tweaks können auch im Log sich den angezeigten Absender, Betreff und Empfänger anzeigen lassen, da ESPs diese durch technische Adressen verstecken (wie Amazon SES, Mailchimp usw.).

Weitere Möglichkeiten: Trainieren Sie Bayes, bei ähnlichem Content (bspw. Bitcoin-Erpressungen), filtern Sie diese Mails oder (mit Vorsicht zu genießen) aktivieren Sie SPF für Ihre Domain(s) und aktivieren Sie SPF in Ihrem Setup. Leider gibt es zu viele Admins, die SPF falsch konfiguriert haben oder schlichtweg vergessen, zu aktualisieren und Sie filtern legitime Server. Auch könnten Sie DKIM hinzufügen, jedoch ist ein invalider DKIM-Header kein guter Spamindiz, denn Spammer haben das auch entdeckt, gefühlt erhalten wir mehr signierten Spam als legitime Mail.

 

[marcobockelbrink]

die jüngste spam-welle mit fakesender == receiver adressen ("wie Sie am Absender sehen können, habe ich Ihren account gehackt". überweisen Sie bitte bitcoins. passen Sie in zukunft besser auf.") habe ich mitbekommen (auf anderen mailservern), aber mein PMG hat die brav geblockt.

ich setze heutger's DNSBL liste ein, und habe soweit keine probleme (sondern bin glücklich):

zen.spamhaus.org*2,bl.spamcop.net*2,psbl.surriel.com*2,spamrbl.imp.ch*2,noptr.spamrats.com*2,escalations.dnsbl.sorbs.net*2,bl.score.senderscore.com*2,bl.spameatingmonkey.net*2,rbl.realtimeblacklist.com*2,dnsbl.dronebl.org*2,ix.dnsbl.manitu.net,b.barracudacentral.org,truncate.gbudb.net,bl.blocklist.de

Habt ihr die Spamlisten einfach in der DNSBL eingetragen?

 

[marcobockelbrink]

Kurze Frage nochmal dazu. Normal sollte SPF das Thema erschlagen. Aber viele nutzen es nicht. Wenn ich das richtig verstehe ist Promox so eingestellt das wenn ich auf SFP prüfe es auch aktiv sein muss sonst wird geblockt oder? gibt es hier auch Quarantäne Möglichkeit wenn SPF nicht passt?

 

[heutger]

Kurze Frage nochmal dazu. Normal sollte SPF das Thema erschlagen. Aber viele nutzen es nicht. Wenn ich das richtig verstehe ist Promox so eingestellt das wenn ich auf SFP prüfe es auch aktiv sein muss sonst wird geblockt oder? gibt es hier auch Quarantäne Möglichkeit wenn SPF nicht passt?

Ja, wenn Sie auf SPF prüfen wollen im Postfix, um die Mails dann auch zu rejecten, muss SPF aktiviert sein. Ist es nicht aktiviert, checkt der SpamAssassin weiterhin auf SPF, aber Sie müssten dann den Score anpassen und eine Regel bauen, die darauf hin auch blockt oder Quarantäneaktionen durchführt.

Das essentielle Problem bei SPF ist halt, dass einige es vergessen, was sie eingestellt haben, weil es halt kaum genutzt wird. Ich meine auch, in PMG ist es, wenn aktiv, auf hard block, wenn man auf soft fail gehen würde, wäre es wohl unkritischer, aber leider kann man das nicht anpassen.