spam van eigen email hoe blokkeren - Linux en overige clients

donderdag 27 augustus 2009 17:08

Acties:

Topicstarter

Hoi

Ik krijg steed meer span die als volgt is bv

van: pietje puk (rich@mijndomein.nl)
aan: rich (rich@mijndomein.nl)

oftewel bij '''van' gebruiken ze mijn email

nu wilde ik dit blokken met postfix een

smtpd_restriction_classes =

reject_spam,

reject_spam = check_client_access regexp:/etc/postfix/class/reject_spam

en in deze file

rich@mijndomein.nl reject_spam

maar helaas werkt dit niet. Is er nog een slimme andere oplossing, ik gebuik postifx, dovecot en mailscanner

donderdag 27 augustus 2009 17:09

Acties:

Verwijderd

www.openspf.org
Wikipedia: Sender Policy Framework

Als je een gedeelde mailserver gebruikt, moet je smtp auth instellen voor het verzenden van emails.

[ Voor 75% gewijzigd door Verwijderd op 27-08-2009 17:10 ]

donderdag 27 augustus 2009 17:10

Acties:

Verwijderd

checken via reverse proxy

een degelijke spamfilter herkent een mail zowiezo wel als spam ook als "lijkt" de afzender ok.

donderdag 27 augustus 2009 17:27

Acties:

GraveR

Vrij simpel middels Helo check:

smtpd_helo_restrictions =       permit_mynetworks,
				check_helo_access hash:/etc/postfix/maps/access_helo,
				reject_unknown_helo_hostname

en in

/etc/postfix/maps/access_helo:

mijndomein.nl	REJECT You are not me. Shoo!
mx.mijndomein.nl	REJECT You are not me. Shoo!
ipvanmxvanmijndomein.nl		REJECT You are not me. Shoo!

donderdag 27 augustus 2009 18:22

Acties:

gertvdijk

SPF record instellen voor je domein is de eerste stap die je zou moeten nemen. Ook een SPF checker (die mogelijk al op je mailserver draait) is aan te raden. Die ziet dan direct dat mail wordt verstuurd vanaf een mailserver die jij niet hebt aangemerkt als legitiem voor jouw domein. Ook andere mailservers die checken op SPF records zullen dan geen mail meer accepteren van andere servers dan die jij hebt insgesteld als legitiem.

Daarnaast is er nog een veelgebruikte andere vorm van spam sturen met spoofing van de afzender.
Onjuist geconfigureerde mailservers (en die zijn er veel!) bouncen domweg naar het From-adres om zo een 'delivery status notification' (de bounce) in jouw mailbox te krijgen die wel vanaf een 'legitieme' bron komt... En jij leest de bounce met als inhoud spam... Dat is wat lastiger tegen te gaan, helaas, omdat niet meer is na te gaan wie de oorspronkelijke versturende partij was die de bounce veroorzaakte.

GraveR schreef op donderdag 27 augustus 2009 @ 17:27:
Vrij simpel middels Helo check:

Je kan met een HELO roepen wat je wil... het zal hooguit een bepaalde score opleveren als die iets vaags is (localhost bijv.). Volgens mij houdt je daarmee geen spam tegen, want die komen niet zozeer via 'eigen HELO's binnen.

[ Voor 23% gewijzigd door gertvdijk op 27-08-2009 18:26 ]

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

donderdag 27 augustus 2009 21:02

Acties:

GraveR

gertvdijk schreef op donderdag 27 augustus 2009 @ 18:22:
Je kan met een HELO roepen wat je wil... het zal hooguit een bepaalde score opleveren als die iets vaags is (localhost bijv.). Volgens mij houdt je daarmee geen spam tegen, want die komen niet zozeer via 'eigen HELO's binnen.

Daar ging het dus niet om hier:

oftewel bij '''van' gebruiken ze mijn email

Deze zullen vrijwel zeker je eigen helo gebruiken. Bovendien levert deze helo check geen score op in een spamscan, maar een keiharde reject voor de data-fase. Hetzelfde geldt voor 'reject_unknown_helo_hostname'. Al pak je met die laatste ook veel clueless MS Exchange-kneuzen die de helo standaard op iets als domein.local hebben staan.

vrijdag 28 augustus 2009 13:36

Acties:

gertvdijk

GraveR schreef op donderdag 27 augustus 2009 @ 21:02:
Daar ging het dus niet om hier:

Het gaat inderdaad niet op HELO's en dat is precies wat ik je probeer te zeggen! Een helo heeft *niks* te maken met wat je opgeeft als 'From", "Envelope-from" of "Return-path" headers.... Dus filteren op HELO is zinloos.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 28 augustus 2009 18:46

Acties:

GraveR

gertvdijk schreef op vrijdag 28 augustus 2009 @ 13:36:
[...]

Het gaat inderdaad niet op HELO's en dat is precies wat ik je probeer te zeggen! Een helo heeft *niks* te maken met wat je opgeeft als 'From", "Envelope-from" of "Return-path" headers.... Dus filteren op HELO is zinloos.

Zucht, kreun. Hij krijgt dus mail van 'zichzelf', om de spoof volledig te maken doen de spambots alsof ze de/een mx van dat domein zijn:

zgrep "Shoo\!" /var/log/mail.log.*.gz | wc -l
302

Zo zinloos is het dus schijnbaar niet

vrijdag 28 augustus 2009 18:56

Acties:

Dysmael

Weiger gewoon alle mail vanaf je eigen domein. Mail van je eigen domein zal nooit van buiten komen

Een goed spamfilter werkt ook op NDR spam.

[ Voor 10% gewijzigd door Dysmael op 28-08-2009 18:57 ]

vrijdag 28 augustus 2009 18:57

Acties:

gertvdijk

GraveR schreef op vrijdag 28 augustus 2009 @ 18:46:
Zucht, kreun. Hij krijgt dus mail van 'zichzelf', om de spoof volledig te maken doen de spambots alsof ze de/een mx van dat domein zijn:

Ja, dat *kan* een spambot doen, maar het is logischer en authentieker als een spambot de reverse-dns pakt van waarvan hij verbindt... Dat is voldoen aan de richtlijnen en dus een lagere spam score...

GraveR schreef op vrijdag 28 augustus 2009 @ 18:46:
Zo zinloos is het dus schijnbaar niet

In mijn mail log staan geen HELO's, alleen remote hostnames/IPs, dus ik denk dat je grep actie wat anders matcht (message IDs ofzo).

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

vrijdag 28 augustus 2009 19:03

Acties:

GraveR

gertvdijk schreef op vrijdag 28 augustus 2009 @ 18:57:
[...]In mijn mail log staan geen HELO's, alleen remote hostnames/IPs, dus ik denk dat je grep actie wat anders matcht (message IDs ofzo).

Jij denkt teveel:

reject: RCPT from 118-168-111-227.dynamic.hinet.net[118.168.111.227]: 554 5.7.1 <ipmx>: Helo command rejected: You are not me. Shoo!; from=<f38dsnaf@mijndomein.invalid> to=<f38dsnaf@mijndomein.invalid> proto=SMTP helo=<ipmx>

vrijdag 28 augustus 2009 19:19

Acties:

gertvdijk

GraveR schreef op vrijdag 28 augustus 2009 @ 19:03:
Jij denkt teveel:

Ik las niet goed, sorry. Ik zag over het hoofd dat "Shoo!" blijkbaar onderdeel was van je reject message.

Kia e-Niro 2021 64kWh DynamicPlusLine. 3x Victron MP-II op 15kWh US5000 3f thuisbatterij met 3x25A→3x40A PowerAssist, Victron EVCS, 3200Wp HoyMiles zp. my GitHub, my blog

maandag 31 augustus 2009 13:06

Acties:

smesjz

Postfix manual zegt hierover:

http://www.postfix.org/BACKSCATTER_README.html#real
Je kan dan een negatieve match maken tegen je eigen Received headers zoals Postfix die maakt wanneer jij legitieme mail stuurt. Dus als jij altijd mailt vanaf 192.168.1.1 (bijv) als je dat info@ adres gebruikt, moet dat IP-adres in de Received header voorkomen en anders is het spam.

Ik heb destijds de smtpd_sender_restrictions gebruikt om af te dwingen dat mail vanaf info@onsdmein.org alleen vanaf mynetworks verstuurd mag worden. Op de secundaire MX werd mail vanaf info@onsdomein.org direct geweigerd.

Misschien ook iets om te overwegen?