SPF-Reject und anschließender NDR vom Absender

proxmoxuser0815

Active Member
Mar 16, 2018
58
5
28
45
Hallo,

ich habe folgendes Problem (?):

Absender: cPanel@meinedomäne.de (Fake)

Empfänger: Postfach@meinedomäne.de (legitim)

1) Der Absender verschickt von extern mit der Absenderadresse cPanel@meinedomäne.de
2) Proxmox erkennt per SPF, dass der Absender das nicht darf
3) Absender bekommt eine entsprechende Fehlermeldung (NDR)
4) Absender schickt seinerseits einen NDR mit der gefährlichen Originalmail im Anhang an cPanel@meinedomäne.de



Code:
May 25 11:47:17 mail1 postfix/smtpd[20047]: connect from server14.unlimitedsoftware.it[136.144.200.202]
May 25 11:47:17 mail1 postfix/smtpd[20047]: Anonymous TLS connection established from server14.unlimitedsoftware.it[136.144.200.202]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)
May 25 11:47:17 mail1 postfix/smtpd[20047]: NOQUEUE: reject: RCPT from server14.unlimitedsoftware.it[136.144.200.202]: 554 5.7.1 <Postfach@meinedomäne.de>: Recipient address rejected: Rejected by SPF: 136.144.200.202 is not a designated mailserver for cPanel@meinedomäne.de (context mfrom, on mail1.meinedomäne.de); from=<cPanel@meindomäne.de> to=<Postfach@meinedomäne.de> proto=ESMTP helo=<server14.unlimitedsoftware.it>
May 25 11:47:17 mail1 postfix/smtpd[20047]: disconnect from server14.unlimitedsoftware.it[136.144.200.202] ehlo=2 starttls=1 mail=1 rcpt=0/1 data=0/1 rset=1 quit=1 commands=6/8

Code:
May 25 11:47:17 mail1 postfix/smtpd[20047]: connect from server14.unlimitedsoftware.it[136.144.200.202]
May 25 11:47:17 mail1 postfix/smtpd[20047]: Anonymous TLS connection established from server14.unlimitedsoftware.it[136.144.200.202]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)
May 25 11:47:17 mail1 postfix/smtpd[20047]: D856041171: client=server14.unlimitedsoftware.it[136.144.200.202]
May 25 11:47:17 mail1 postfix/cleanup[20051]: D856041171: message-id=<20210525094717.A9EAEF40206@server14.unlimitedsoftware.it>
May 25 11:47:17 mail1 postfix/qmgr[31549]: D856041171: from=<>, size=42965, nrcpt=1 (queue active)
May 25 11:47:17 mail1 postfix/smtpd[20047]: disconnect from server14.unlimitedsoftware.it[136.144.200.202] ehlo=2 starttls=1 mail=1 rcpt=1 data=1 quit=1 commands=7
May 25 11:47:17 mail1 pmg-smtp-filter[20089]: 4118060ACC7A5EFA33: new mail message-id=<20210525094717.A9EAEF40206@server14.unlimitedsoftware.it>#012
May 25 11:47:18 mail1 pmg-smtp-filter[20089]: 4118060ACC7A5EFA33: SA score=4/5 time=0.925 bayes=0.00 autolearn=no autolearn_force=no hits=ANY_BOUNCE_MESSAGE(3),BAYES_00(-1.9),BOUNCE_MESSAGE(0.1),HTML_MESSAGE(0.001),KAM_DMARC_STATUS(0.01),KAM_MAILBOX2(6.25),PDS_OTHER_BAD_TLD(1.997),RCVD_IN_DNSWL_HI(-5),SPF_HELO_NONE(0.001),T_KAM_HTML_FONT_INVALID(0.01),URIBL_BLOCKED(0.001),URI_TRUNCATED(0.001)
May 25 11:47:18 mail1 postfix/smtpd[20056]: connect from localhost.localdomain[127.0.0.1]
May 25 11:47:18 mail1 postfix/smtpd[20056]: E981D41263: client=localhost.localdomain[127.0.0.1], orig_client=server14.unlimitedsoftware.it[136.144.200.202]
May 25 11:47:18 mail1 postfix/cleanup[20063]: E981D41263: message-id=<20210525094717.A9EAEF40206@server14.unlimitedsoftware.it>
May 25 11:47:19 mail1 postfix/qmgr[31549]: E981D41263: from=<>, size=43162, nrcpt=1 (queue active)
May 25 11:47:19 mail1 postfix/smtpd[20056]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 xforward=1 mail=1 rcpt=1 data=1 commands=5
May 25 11:47:19 mail1 pmg-smtp-filter[20089]: 4118060ACC7A5EFA33: accept mail to <cPanel@meinedomäne.de> (E981D41263) (rule: default-accept)
May 25 11:47:19 mail1 postfix/smtp[20057]: Untrusted TLS connection established to 10.10.10.10[10.10.10.10]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
May 25 11:47:19 mail1 pmg-smtp-filter[20089]: 4118060ACC7A5EFA33: processing time: 1.062 seconds (0.925, 0.039, 0)
May 25 11:47:19 mail1 postfix/lmtp[20052]: D856041171: to=<cPanel@meinedomäne.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.3, delays=0.17/0/0/1.1, dsn=2.5.0, status=sent (250 2.5.0 OK (4118060ACC7A5EFA33))
May 25 11:47:19 mail1 postfix/qmgr[31549]: D856041171: removed
May 25 11:47:19 mail1 postfix/smtp[20057]: E981D41263: to=<cPanel@meinedomäne.de>, relay=10.10.10.10[10.10.10.10]:25, delay=0.65, delays=0.09/0/0.02/0.54, dsn=2.6.0, status=sent (250 2.6.0 <20210525094717.A9EAEF40206@server14.unlimitedsoftware.it> [InternalId=54924041781386, Hostname=exchange.meinedomäne.de] 44536 bytes in 0.531, 81,868 KB/sec Queued mail for delivery)
May 25 11:47:19 mail1 postfix/qmgr[31549]: E981D41263: removed

Die Mail wird vom Exchange abgefangen, weil cPanel@meinedomäne.de nicht existiert. Trotzdem würde es mich interessieren, wo der Fehler ist.
 
Last edited:
Absender: cPanel@meinedomäne.de (Fake)
Nur zur Sicherheit - wird cPanel vl. vom Hoster/Domainprovider verwendet?

3) Absender bekommt eine entsprechende Fehlermeldung (NDR)
der absendende Server erhaelt keine NDR mail - sondern die zustellung wird zum Zeitpunkt des SMTP-dialogs mit einem permanent error beendet (554) - der sendende Server schickt dann die NDR an cPanel@

gegen solche mails kann prinzipiell wenig gemacht werden - allerdings sollte recipient verification verhindern, dass sie vom PMG akzeptiert werden
GUI->Configuration->Mail Proxy->Options)

Ich hoffe das hilft!
 
  • Like
Reactions: proxmoxuser0815
Hi,

danke für deine Antwort.

cPanel@meinedomäne.de hat mit uns nichts zu tun. Ich denke, es soll einem vorgaukeln, dass wir ein Problem hätten. cPanel ist ja ein web-basiertes Konfigurationstool, das von vielen Hostern zur Verfügung gestellt wird. recipient verification ist auf dem Proxmox aktiviert (550), hier kommt aber der NDR vom Exchange und nicht von Proxmox aber das ist ein anderes Problem :)

Wie dem auch sei, wenn es eine gültige (vorhandene) Adresse wäre, würde sie durchkommen und das ist das eigentliche Problem. Die Spammer lassen sich immer wieder was neues einfallen...
 
Last edited:
Wie dem auch sei, wenn es eine gültige (vorhandene) Adresse wäre, würde sie durchkommen und das ist das eigentliche Problem.
Leider laesst sich das nicht in jedem Fall verhindern (eine Mail an eine gueltige Addresse sollte ja auch ankommen ;)

Bei den logs der bounce faellt folgendes auf:
URIBL_BLOCKED(0.001)

Da wuerde ich empfehlen einen dedizierten DNS-Resolver fuer das PMG aufsetzen - siehe:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
 
  • Like
Reactions: proxmoxuser0815
Cool. Eigentlich habe ich immer einen lokalen DNS-Server installiert, aber bei der Neuinstallation von Proxmox wohl ausgelassen. Aber das mit Unbound ist noch besser, danke dir!
 
  • Like
Reactions: Stoiko Ivanov

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!