Spam omzeilt Spam Firewall - Linux en overige clients

donderdag 5 juni 2008 15:01

Acties:

Verwijderd

Topicstarter

Wij maken al 2 jaar tot volle tevredenheid gebruik van een Barracuda Spam Firewall, echter zitten we momenteel met het volgende probleem.

Wij hebben onze eigen servers gefirewalled, en mail die niet via de Barracuda gaat, wordt geblokkeerd. Er wordt alleen e-mail geaccepteerd van het Barracuda IP. Nu hebben we ook een bestelling gekregen voor enkele domeinen van een klant met een Dedicated Server. Hij kan niet van een firewall gebruik maken, aangezien de meeste van zijn domeinen niet beveiligd worden door de Barracuda.

Echter wat nu de situatie is, spammers sturen e-mail naar het serverip, en niet naar de Spam Firewall uit het MX-record van het domein.

Ik weet dat hier veel mensen zijn die ook gebruik maken van een dedicated eigen anti-spam appliance/server of van de voorzieningen van partijen als Cleanport, Spamexperts, e.d.

Zijn jullie tegen het probleem aangelopen dat spammers gewoon direct de Destination Mail Server e-mailen? En hoe gaan jullie hier mee om?

donderdag 5 juni 2008 18:15

Acties:

Verwijderd

Ik weet niet wat voor ene mailserver je hebt staan, maar kan je op de mail server niet gewoon instellen dat hij al de mail voor domein example.com moet rejecten tenzij het van IP van de barracuda komt?

donderdag 5 juni 2008 22:00

Acties:

gertvdijk

Lees ik je bericht nou verkeerd of ligt het niet aan mij?

Verwijderd schreef op donderdag 05 juni 2008 @ 15:01:
Wij hebben onze eigen servers gefirewalled, en mail die niet via de Barracuda gaat, wordt geblokkeerd. Er wordt alleen e-mail geaccepteerd van het Barracuda IP.

Verwijderd schreef op donderdag 05 juni 2008 @ 15:01:
Echter wat nu de situatie is, spammers sturen e-mail naar het serverip, en niet naar de Spam Firewall uit het MX-record van het domein.

Dan is er toch geen probleem? Mail die niet via de Barracuda bak gaat wordt geblokkeerd...

Verwijderd schreef op donderdag 05 juni 2008 @ 15:01:
Zijn jullie tegen het probleem aangelopen dat spammers gewoon direct de Destination Mail Server e-mailen? En hoe gaan jullie hier mee om?

Heel normaal probleem. Spammers proberen het natuurlijk ook op A records... Dat zou elke beheerder van een dedicated bak wel (moeten) weten denk ik. Maar je zegt en doet het zelf toch al: blokkeren (rejecten). En dat is dan toch verder aan je klanten die achter de Barracuda bak willen?

[ Voor 8% gewijzigd door gertvdijk op 05-06-2008 22:03 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 5 juni 2008 22:30

Acties:

Confusion

Fallen from grace

Verwijderd schreef op donderdag 05 juni 2008 @ 15:01:
[..]

Ik begrijp het probleem niet. Wijzen de MX records van die domeinen nu naar een 'Spam Firewall' of doen ze dat niet? Zonee, dan is die Dedicated Server dus gewoon ook een mailserver voor alle domeinen die ernaar wijzen en moet er een spamfilter op geinstalleerd worden. Zoja, dan kan je alleen mail vanaf die 'Spam Firewall' accepteren. Is het deels? Dan telt 'Zonee' en configureer je het spamfilter zo dat mail vanaf de 'Spam Firewall' niet nogmaals gefilterd wordt.

[ Voor 12% gewijzigd door Confusion op 05-06-2008 22:31 ]

Wie trösten wir uns, die Mörder aller Mörder?

donderdag 5 juni 2008 22:32

Acties:

Gomez12

Lijkt mij idd ook heel simpel, alle mail die direct naar de dedicated bak toegaat is niet afkomstig van de baracuda en kan dus gewoon gedropt worden.
Oftewel de dedicated bak accepteert alleen mail van de baracuda...

Heet in 99% van de mailserver nog niet eens een spamfilter, maar gewoon allowed mailservers... Baracuda is enige allowed mail server voor de dedicated bak, baracuda heeft alle mail servers ter wereld als allowed mail servers ingesteld staan.

Iedereen kan nog steeds connecten op poort 25 van de dedicated bak, alleen wordt alle mail ( uitgezonderd barracuda ) gelijk gereject.

donderdag 5 juni 2008 23:26

Acties:

Verwijderd

Topicstarter

OK. Het probleem is misschien niet duidelijk gemaakt.
Dedicated Server heeft 200 domeinen, 5 hiervan gebruiken de Barracuda.
Deze hebben ook de MX-records op de Barracuda.

Echter mailen spammers naar andere a-records zoals eerder vermeld.Ik kan niet met een firewall de mail gaan rejecten die niet via de Barracuda goed, aangezien 195 domeinen die niet gebruiken.

Ik wil voor 5 domeinen instellen, dat mail alleen door de Barracuda wordt geaccepteerd.
Via iptables is dit niet in te stellen, maar hoe wel?

gertvdijk schreef op donderdag 05 juni 2008 @ 22:00:
Lees ik je bericht nou verkeerd of ligt het niet aan mij?

Op onze eigen servers hebben we het probleem niet, hier weigeren we via iptables alle mail die de Barracuda omzeilt. Dit is mogelijk, omdat alle domeinen op de Barracuda staan. Huidige situatie is helaas anders.

Gomez12 schreef op donderdag 05 juni 2008 @ 22:32:
Lijkt mij idd ook heel simpel, alle mail die direct naar de dedicated bak toegaat is niet afkomstig van de baracuda en kan dus gewoon gedropt worden.
Oftewel de dedicated bak accepteert alleen mail van de baracuda...

Onmogelijk dus, aangezien slechts 5 van de 200 domeinen gebruik maken van de Barracuda Spam Firewall.

donderdag 5 juni 2008 23:35

Acties:

Gomez12

Dan kan je gaan kijken of je mailserver regels accepteert per domein qua allowed mail servers. Weet niet wat voor mail server je hebt, maar met postfix kan dit imho wel.

Vermeld de mail server software eens...

Of gewoon een simpele relaying server ervoor zetten die 195 direct lokaal doorrelayed en 5 relayed naar de baracude.

Of gewoon heel simpel zeggen tegen de eigenaar van de dedicated bak dat dit het probleem van hemzelf is, hij wil dedicated hebben dan moet hij ook maar filteren...

Of alles door je barracuda laten lopen en dan in je barracuda instellen dat er voor 195 geen spamfiltering plaats vind...

vrijdag 6 juni 2008 00:44

Acties:

gertvdijk

Yep. op mailserver niveau inregelen, i.p.v. op firewall.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 6 juni 2008 09:40

Acties:

Confusion

Fallen from grace

De vraag is of de MTA alleen gegevens uit de data van het SMTP pakket kan gebruiken. Als iemand headers spoofed alsof de mail afkomstig is van de Barracuda, dan moet je een (eigenlijk twee) niveau(s) lager gaan om te verifieren dat het pakket echt van die machine afkomstig is. Aan de andere kant gebeurt dat denk ik gewoon niet, dus kan je gerust die 5 domeinen filteren op herkomst in de SMTP headers.

[ Voor 18% gewijzigd door Confusion op 06-06-2008 09:41 ]

Wie trösten wir uns, die Mörder aller Mörder?

vrijdag 6 juni 2008 12:15

Acties:

CrankyGamerOG

Assumption is the mother.....

Welke MTA gebruik je ?
je kunt voor die domeinen instellen dat ze alleen mail accepteren vanaf je spamfirewall

En het probleem wat jij opnoemt komt bij ons ook voor, en daar is soms weinig aan te doen dan alleen wat ik hierboven opper,
Wat de spammer doet is een oud record gebruiken waar de mx wel nog naar die server wijst, en op deze manier zetten ze de spamserver buitenspel

[ Voor 55% gewijzigd door CrankyGamerOG op 06-06-2008 12:16 ]

KPN - Vodafone Ziggo Partner

vrijdag 6 juni 2008 16:36

Acties:

gertvdijk

Confusion schreef op vrijdag 06 juni 2008 @ 09:40:
De vraag is of de MTA alleen gegevens uit de data van het SMTP pakket kan gebruiken.

Euhm.. ik ga er toch wel vanuit dat een (hedendaagse) MTA rules kan hebben op basis van de connecting host ip...
Dus zoiets als if (rcpt_to_domain = domein_via_barracuda && host != ip_barracuda) then reject else accept in nog te vertalen naar je MTA-config code.

[ Voor 20% gewijzigd door gertvdijk op 06-06-2008 16:39 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 6 juni 2008 19:06

Acties:

Verwijderd

Topicstarter

Er wordt Qmail gebruikt.

Kan iemand me met een link naar een goede handleiding op weg helpen?
Ik heb zelf nog nooit aanpassingen gemaakt aan Qmail.
Waar moet ik aanpassingen maken, indien ik voor een specifiek domein slechts mail van een bepaald IP-adres wil accepteren?

vrijdag 6 juni 2008 23:24

Acties:

BarthezZ

anti voetbal en slechte djs!

Verwijderd schreef op vrijdag 06 juni 2008 @ 19:06:
Er wordt Qmail gebruikt.

Kan iemand me met een link naar een goede handleiding op weg helpen?
Ik heb zelf nog nooit aanpassingen gemaakt aan Qmail.
Waar moet ik aanpassingen maken, indien ik voor een specifiek domein slechts mail van een bepaald IP-adres wil accepteren?

En dat is nou precies wat je eerst zelf had moeten uitzoeken voordat je een topic ging openen

vrijdag 6 juni 2008 23:43

Acties:

daft_dutch

>.< >.< >.< >.<

als iemand naar een IP mailt waar je dat niet wilt hebben kan je dan niet een ipfilter op die bak zetten.
met het IP van de firewall die eigenlijk de mail moet sturen.

>.< >.< >.< >.<

vrijdag 6 juni 2008 23:57

Acties:

Gomez12

@daft_dutch : lees het topic eens door, het gaat om 1 server met 200 maildomeinen en 5 maildomeinen moeten via de baracuda lopen, dat ga je echt niet redden met ipfilters...

zaterdag 7 juni 2008 10:51

Acties:

Confusion

Fallen from grace

daft_dutch schreef op vrijdag 06 juni 2008 @ 23:43:
als iemand naar een IP mailt waar je dat niet wilt hebben kan je dan niet een ipfilter op die bak zetten.
met het IP van de firewall die eigenlijk de mail moet sturen.

ipfilter/iptables interpreteert de data in de pakketjes niet en weet niet wat er in, pakweg, de SMTP To: header staat.

Wie trösten wir uns, die Mörder aller Mörder?

zaterdag 14 juni 2008 19:04

Acties:

Verwijderd

Topicstarter

BarthezZ schreef op vrijdag 06 juni 2008 @ 23:24:
[...]

En dat is nou precies wat je eerst zelf had moeten uitzoeken voordat je een topic ging openen

Dankjeee

Daar heb ik wat aan!
Ik heb op Google gekeken, maar ik zie echt geen opties van Qmail die dit mogelijk ondersteunen.
Ik ga toch geen custom patches moeten installeren voor Qmail hiervoor? Dit zou mogelijk problemen veroorzaken in combinatie met Plesk.

zondag 15 juni 2008 23:52

Acties:

gertvdijk

Verwijderd schreef op zaterdag 14 juni 2008 @ 19:04:
Ik heb op Google gekeken, maar ik zie echt geen opties van Qmail die dit mogelijk ondersteunen.
Ik ga toch geen custom patches moeten installeren voor Qmail hiervoor? Dit zou mogelijk problemen veroorzaken in combinatie met Plesk.

Ik had ook even gekeken en het is niet iets dat je er even in kan knallen. Onmogelijk zal het niet zijn. Zelf gebruik ik Exim en ik kan me niet voorstellen dat het dan niet mogelijk is. Maar Exim is niet gemakkelijk en zal je wel een paar dagen hoofdpijn opleveren voordat het allemaal goed werkt. Postfix heb ik geen ervaringen mee, maar ik betwijfel of het mogelijk is daarmee.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog