Moin ihrs,
Das Thema hatten wir schon mal vor ein paar Wochen, aber die Antworten damals halfen mir nicht so recht weiter. Bei mir schlägt SPAM ein, der meine eigene Adresse im From-Feld trägt. Ich häng mal den Sendebericht einer solchen Mail an:
------------------------------------------------------------------- From hille Sun Jul 27 01:33:56 2003 Received: from pop3.web.de [217.72.192.134] by localhost with POP3 (fetchmail-5.9.11) for hille@localhost (single-drop); Sun, 27 Jul 2003 01:33:56 +0200 (CEST) Received: from cr2167253112.cable.net.co ([216.72.53.112] helo=web.de) by mx20.web.de with esmtp (WEB.DE 4.99 #420) id 19gXM6-0005bG-00 for hille41@web.de; Sun, 27 Jul 2003 00:17:34 +0200 Received: from pc_1 [216.72.53.112] by web.de with MailMXPro(2195.5656); Sáb, 26 Jul 2003 17:17:39 -0500 Message-ID: <04b701c353c4$c38a0525$b400a8c0@pc_1> From: "jenny hawkert" hille41@web.de To: hille41@web.de Subject: Rates can't stay low forever, why wait Date: Sáb, 26 Jul 2003 17:17:39 -0500 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_F62_D907CFC4.3CB14F14" X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 Abuse-Tracking: <YUdsc2JHVTBNa0IzWldJdVpHVT0=> Sender: hille41@web.de X-Spamblock: caught by rule 8bit char in received X-Spamblock-maybe: Content-Type multipart/html Content-Length: 1691 Lines: 39 ------------------------------------------------------------------- Aus welchem IP-Adressrange diese 216.72.53.112 kommt, weiß ich jetzt nicht, erfahrungsgemäß Korea. Interessant ist, daß von dieser Adresse direkt an mx20.web.de ausgeliefert wird und der das offenbar annimmt. Ist das ein fehlkonfigurierter MX? Wen muß ich schlagen? Hilft mir die Zeile "Abuse-Tracking:" weiter? Was ist dieses MailMXPro?
Fragen über Fragen, Hilmar
P.S.: Ich hab überall hille42 durch hille41 ersetzt.
Hilmar Preusse hille42@web.de wrote:
Moin ihrs,
Das Thema hatten wir schon mal vor ein paar Wochen, aber die Antworten damals halfen mir nicht so recht weiter. Bei mir schlägt SPAM ein, der meine eigene Adresse im From-Feld trägt. Ich häng mal den Sendebericht einer solchen Mail an:
genau das selbe ist mir auch passiert, habe sehr viele mails bekommen, mittlerweile(nach 3-4 Tagen) ist das einigermaßen zurrückgegangen.
Was mich verwundert ist, das nicht ein zentraler server zum versenden benutzt wurde, sondern viele, aus unterschiedlichen Netzwerken.
bei der Werbung handelt es sich um ein Vergrößerungspillen für bestimmte Körperteile...
auch ich hänge einen header an: ---
Return-Path: cyberrobbe@gmx.de Received: (qmail 18609 invoked by uid 0); 25 Jul 2003 07:31:58 -0000 Received: from unknown (HELO postbus03.zonnet.nl) ([10.170.1.115]) (envelope-sender cyberrobbe@gmx.de) by 10.170.1.121 (qmail-ldap-1.03) with SMTP for < >; 25 Jul 2003 07:31:58 -0000 Delivered-To: CLUSTERHOST postbus03.zonnet.nl greenspot@zonnet.nl Received: (qmail 20095 invoked by uid 0); 25 Jul 2003 07:31:58 -0000 Received: from unknown (HELO e7OY9z) ([211.186.130.23]) (envelope-sender cyberrobbe@gmx.de) by postbus03.zonnet.nl (qmail-ldap-1.03) with SMTP for < >; 25 Jul 2003 07:31:57 -0000 From: cyberrobbe cyberrobbe@gmx.de To: ginkel123@zonnet.nl Subject: Hi
Date: Fri, 25 Jul 2003 11:37:54 -0400 Mime-Version: 1.0 Content-Type: text/html X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
Once upon a time, I heard Hilmar Preusse say:
Received: from pc_1 [216.72.53.112] by web.de with MailMXPro(2195.5656); Sáb, 26 Jul 2003 17:17:39 -0500 Message-ID: <04b701c353c4$c38a0525$b400a8c0@pc_1> From: "jenny hawkert" hille41@web.de X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Der X-Mailer und der Name kommt mir bekannt vor. Jenny kann aber auch Jenna oder Hott (mit diversen "Familiennamen") heißen.
Aus welchem IP-Adressrange diese 216.72.53.112 kommt, weiß ich jetzt nicht, erfahrungsgemäß Korea.
Nein, was europäisches habe ich auch dabei, wenn ich mich nicht täusche.
Interessant ist, daß von dieser Adresse direkt an mx20.web.de ausgeliefert wird und der das offenbar annimmt.
Dito für web.de. Ich habe allerdings gerade keine Zeit, mich darum zu kümmern, also habe als erstes mein Paßwort geändert.
Ist das ein fehlkonfigurierter MX? Wen muß ich schlagen? Hilft mir die Zeile "Abuse-Tracking:" weiter? Was ist dieses MailMXPro?
Du solltest -- sofern Nerven -- die ganze mail (oder wenn mehrere vorhanden, dann alle) an abuse@gmx.net o.ä. schicken (mails als Anhang) und im Text dazu Stellung nehmen, also schreiben, daß die mails nicht von Dir kommen, daß Du es auf keinen Fall weiter lesen willst und Dich fragst, wieso es überhaupt von GMX angenommen wurde (also auch die Frage nach dem Authentifizierungsverfahren stellen).
Bei anderen Gelegenheiten hat GMX bisher auch ganz freundlich reagiert, so haben sie beispielsweise eine Woche nachdem jemand mit einer GMX- Adresse eine Mailinglist bombardiert hat, den Account ohne weitere Fragen gesperrt und sich höflich entschuldigt.
hej så länge.
On 30.07.03 Stefan Berthold (dingx@atlantis.wh2.tu-dresden.de) wrote:
Once upon a time, I heard Hilmar Preusse say:
Moin,
Received: from pc_1 [216.72.53.112] by web.de with MailMXPro(2195.5656); Sáb, 26 Jul 2003 17:17:39 -0500 Message-ID: <04b701c353c4$c38a0525$b400a8c0@pc_1> From: "jenny hawkert" hille41@web.de X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Der X-Mailer und der Name kommt mir bekannt vor. Jenny kann aber auch Jenna oder Hott (mit diversen "Familiennamen") heißen.
Ja.
Aus welchem IP-Adressrange diese 216.72.53.112 kommt, weiß ich jetzt nicht, erfahrungsgemäß Korea.
Nein, was europäisches habe ich auch dabei, wenn ich mich nicht täusche.
Spanien hatte ich auch schon dabei.
Interessant ist, daß von dieser Adresse direkt an mx20.web.de ausgeliefert wird und der das offenbar annimmt.
Dito für web.de. Ich habe allerdings gerade keine Zeit, mich darum zu kümmern, also habe als erstes mein Paßwort geändert.
Ich bin bei web.de. Paßwort habe ich letzte Woche auch geändert. Hat aber nicht geholfen, 3 Tage später kam der nächste SPAM dieser Art.
Ist das ein fehlkonfigurierter MX? Wen muß ich schlagen? Hilft mir die Zeile "Abuse-Tracking:" weiter? Was ist dieses MailMXPro?
Du solltest -- sofern Nerven -- die ganze mail (oder wenn mehrere vorhanden, dann alle) an abuse@gmx.net o.ä. schicken (mails als Anhang) und im Text dazu Stellung nehmen, also schreiben, daß die mails nicht von Dir kommen, daß Du es auf keinen Fall weiter lesen willst und Dich fragst, wieso es überhaupt von GMX angenommen wurde (also auch die Frage nach dem Authentifizierungsverfahren stellen). ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ich fürchte darum geht es gar nicht. Das Zeug wird ja direkt am MX eingeliefert und nicht bei smtp.web.de. Na gut ich werde abuse@ mal eine Mail schicken und mal sehn, was sie weiter dazu sagen.
H.
Once upon a time, I heard Hilmar Preusse say:
(also auch die Frage nach dem Authentifizierungsverfahren stellen). ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Ich fürchte darum geht es gar nicht. Das Zeug wird ja direkt am MX eingeliefert und nicht bei smtp.web.de. Na gut ich werde abuse@ mal eine Mail schicken und mal sehn, was sie weiter dazu sagen.
Was ist ein "MX" anderes als ein SMTP-Server? Ich meine jetzt außer der Tatsache, daß mx0.gmx.net auf ein "MAIL FROM:[...]" mit "OK" antwortet und mail.gmx.net mir erzählen will, daß ich zuerst mal meine mails mit POP3 abholen soll...
Da hat das große Sicherheits-Team etwas verpaßt, oder?
hej så länge.
On Wed, Jul 30, 2003 at 12:52:13PM +0200, Stefan Berthold wrote:
Ich fürchte darum geht es gar nicht. Das Zeug wird ja direkt am MX eingeliefert und nicht bei smtp.web.de. Na gut ich werde abuse@ mal eine Mail schicken und mal sehn, was sie weiter dazu sagen.
Was ist ein "MX" anderes als ein SMTP-Server? Ich meine jetzt außer der Tatsache, daß mx0.gmx.net auf ein "MAIL FROM:[...]" mit "OK" antwortet und mail.gmx.net mir erzählen will, daß ich zuerst mal meine mails mit POP3 abholen soll...
Da hat das große Sicherheits-Team etwas verpaßt, oder?
Warum, auch der mx0 kann noch ablehnen, wenn er weiß, an wen's geht. Vielleicht ist das Ziel ja innerhalb vom gmx und er läßt gewähren:
Escape character is '^]'. 220 {mx017} GMX Mailservices ESMTP ehlo x 250-{mx017} GMX Mailservices 250 8BITMIME mail from: hs@schlittermann.de 250 {mx017} ok rcpt to: heiko@debian.org 550 {mx017} We do not relay - access denied
Heiko
Once upon a time, I heard Heiko Schlittermann say:
Warum, auch der mx0 kann noch ablehnen, wenn er weiß, an wen's geht. Vielleicht ist das Ziel ja innerhalb vom gmx und er läßt gewähren:
Klar, nur werden eben so die SPAM-Mails durchgelassen, während sie am mail.gmx.net scheitern. Durch den SPAM-Filter von GMX kommen die mails scheinbar auch durch, weil der Absender ja für diesen Account quasi auf der Whitelist steht.
Außerdem kann man so sicherlich vortäuschen, daß ein GMX-Nutzer einem anderen Nutzer eine mail geschrieben hat.
Alles in allem nicht das, was GMX verspricht zu sein...
hej så länge.
On 30.07.03 Stefan Berthold (dingx@atlantis.wh2.tu-dresden.de) wrote:
Once upon a time, I heard Heiko Schlittermann say:
Warum, auch der mx0 kann noch ablehnen, wenn er weiß, an wen's geht. Vielleicht ist das Ziel ja innerhalb vom gmx und er läßt gewähren:
Klar, nur werden eben so die SPAM-Mails durchgelassen, während sie am mail.gmx.net scheitern. Durch den SPAM-Filter von GMX kommen die mails scheinbar auch durch, weil der Absender ja für diesen Account quasi auf der Whitelist steht. Außerdem kann man so sicherlich vortäuschen, daß ein GMX-Nutzer einem anderen Nutzer eine mail geschrieben hat.
Deswegen sollte der MX ja so konfiguriert sein, daß er die Mail nur annimmt, wenn der Rechner, der versucht bei im einzuliefern, *kein* Dialup-Host ist.
H.
Once upon a time, I heard Hilmar Preusse say:
Deswegen sollte der MX ja so konfiguriert sein, daß er die Mail nur annimmt, wenn der Rechner, der versucht bei im einzuliefern, *kein* Dialup-Host ist.
Dann gehört aber jeder Student schon zu den Privilegierten mit fester IP, weil jedes URZ in der Regel Login-Server zur Verfügung stellt.
Dann doch lieber alles ablehnen, was angeblich vom eigenen Server kommt, also GMX lehnt eben auf den MXes alles ab, was als Absender ein "@gmx.(net|de|...)" hat. Dafür ist ja eigentlich auch der mail.gmx.net zuständig und der hat auch die versprochene "Sicherheit" am Kochen.
hej så länge.
On 30.07.03 Stefan Berthold (dingx@atlantis.wh2.tu-dresden.de) wrote:
Once upon a time, I heard Hilmar Preusse say:
Deswegen sollte der MX ja so konfiguriert sein, daß er die Mail nur annimmt, wenn der Rechner, der versucht bei im einzuliefern, *kein* Dialup-Host ist.
Dann gehört aber jeder Student schon zu den Privilegierten mit fester IP, weil jedes URZ in der Regel Login-Server zur Verfügung stellt.
Die zukünftige Elite...
Dann doch lieber alles ablehnen, was angeblich vom eigenen Server kommt, also GMX lehnt eben auf den MXes alles ab, was als Absender ein "@gmx.(net|de|...)" hat. Dafür ist ja eigentlich auch der mail.gmx.net zuständig und der hat auch die versprochene "Sicherheit" am Kochen.
Eben. Das würde zwar alle Leute ausschließen, die keine Relays benutzen, aber eben auch den SPAM, der direkt auf den MX geht.
H.
Stefan Berthold schrieb:
Once upon a time, I heard Hilmar Preusse say:
Deswegen sollte der MX ja so konfiguriert sein, daß er die Mail nur annimmt, wenn der Rechner, der versucht bei im einzuliefern, *kein* Dialup-Host ist.
Dann gehört aber jeder Student schon zu den Privilegierten mit fester IP, weil jedes URZ in der Regel Login-Server zur Verfügung stellt.
Nicht unbedingt, der Server von dem die Mail kommt sollte einen gültigen MX-Record im DNS haben, sonst wird er abgelehnt. Dialups haben das nicht. Und das sollte auch nicht jeder Unirechner haben bzw. sollte dieser dann auch nur Mails von bekannten Usern annehmen. Eine feste IP ist nicht mit einem MX-Record vergleichbar. Man bräuchte schon eine feste IP und Zugriff auf einen DNS-Server, der dieser IP bzw. dem zugehörigen Hostnamen einen MX-Record verpaßt. Ist sowas mit den gängigen DynIP-Anbietern möglich? Eigentlich sind auch die Dialups feste IPs aus der Sicht des Internets, nur bekommt sie jedesmal ein anderer Host.
Dann doch lieber alles ablehnen, was angeblich vom eigenen Server kommt, also GMX lehnt eben auf den MXes alles ab, was als Absender ein "@gmx.(net|de|...)" hat. Dafür ist ja eigentlich auch der mail.gmx.net zuständig und der hat auch die versprochene "Sicherheit" am Kochen.
Das geht auch nicht, wenn dieser mx* ein Router ist, kommt wahrscheinlich nur noch die Hälfte der korrekten Mails an.
Es sollte so aussehen: Mails an|von @gmx.* werden akzeptiert, wenn Absende-Server einen MX-Record hat. Dann sollte die Echtheit des Absenders schon geprüft sein. Ansonsten müßte sich der Absender authentifizieren. Mails von und nach fremden Adressen werden ganz abgelehnt. Wenn der Server ein Spam-Relay ist, landet er ganz schnell auf einer BL. Wenn ein Account mißbraucht wird, wird dieser (hoffentlich) gesperrt. Wenn die Sicherheitslücke hier beim Server liegt, sollte sich der $Betreiber schnell um Abhilfe bemühen, sonst wird er gar keine Mails mehr los.
Gruß Rico
On 13.08.03 Rico Koerner (rico.koerner@heico.net) wrote:
Moin,
[Mails über MXe von gmx.de]
Mails an|von @gmx.* werden akzeptiert, wenn Absende-Server einen MX-Record hat.
Ganz kurze Frage: Wie kriegt man das raus? In letzter Zeit tauchen Mails der Form ??hille42?@aol.com auf, die wahrscheinlich von Dialup-Kisten kommen und über Rechner, wie mx18.web.de eingeliefert werden. Laut "host -t mx web.de" ist dieser mx18.web.de kein MX...
H.
Hilmar Preusse schrieb:
On 13.08.03 Rico Koerner (rico.koerner@heico.net) wrote:
Moin,
[Mails über MXe von gmx.de]
Mails an|von @gmx.* werden akzeptiert, wenn Absende-Server einen MX-Record hat.
Ganz kurze Frage: Wie kriegt man das raus?
Keine Ahnung, muß aber irgendwie gehen. Ich hab mal Mails zurückbekommen, als ich sie direkt ausliefern wollte und als Absender eine dyn. IP hatte. In der Fehlermeldung wurde bemängelt daß der Absender keinen MX-Record vorweisen kann.
Bei mir ist das so eingerichtet, daß ich nur Mails für die von mir verwalteten Domains annehme. Damit läßt sich Spam natürlich noch nicht verhindern, wenn er direkt zugestellt wird. Den Rest schluckt der SpamAssassin. Für alle anderen Empfängeradressen wird SMTP_AUTH benötigt. Ich weiß nicht, ob im postfix ein dns_check für den MX-Record drinsteckt.
In letzter Zeit tauchen Mails der Form ??hille42?@aol.com auf, die
Wie hast Du das geschafft: Linux+AOL? ;-)
wahrscheinlich von Dialup-Kisten kommen und über Rechner, wie mx18.web.de eingeliefert werden. Laut "host -t mx web.de" ist dieser mx18.web.de kein MX...
Achso, du wolltest herausfinden ob der mx18 einen MX-Record besitzt. Hab ich auch nicht herasugefunden. :-(
Und was ist vor oder nach dem mx18? Davor nur der Client, dann ist der mx18 ein OpenRelay. Oder geht die Mail an eine web.de-Zieladresse? Dann wäre es sogar halbwegs korrekt. Aber itgendwie muß das auch gehen, da ich ja selbst schon bei direkter Mailzustellung abgelehnt wurde.
Rico
On Wed, Aug 13, 2003 at 04:41:10PM +0200, Rico Koerner wrote:
Ich hab mal Mails zurückbekommen, als ich sie direkt ausliefern wollte und als Absender eine dyn. IP hatte. In der Fehlermeldung wurde bemängelt daß der Absender keinen MX-Record vorweisen kann.
Vielleicht haben die Spammer kurzzeitig einen gültigen MX-Record. Nur so 'ne Idee...
Bert
On 13.08.03 Bert Lange (bert.lange@web.de) wrote:
On Wed, Aug 13, 2003 at 04:41:10PM +0200, Rico Koerner wrote:
Ich hab mal Mails zurückbekommen, als ich sie direkt ausliefern wollte und als Absender eine dyn. IP hatte. In der Fehlermeldung wurde bemängelt daß der Absender keinen MX-Record vorweisen kann.
Vielleicht haben die Spammer kurzzeitig einen gültigen MX-Record. Nur so 'ne Idee...
Wenn sie noch nicht einmal immer einen auflösbaren Namen haben, werden sie wohl kaum einen MX-Record haben... OK, EOT. Von der Mail an abuse@web.de habe ich bisher nichts weiter gehört als die üblichen Ratschläge, daß man bitte den SPAM-Filter verwenden soll. Ich habe sie dann nochmal darauf hingewiesen, daß sie selber das offene Relay darstellen aber bisher trudeln weiter fröhlich Mails ein, die zumindest 7hille42@aol.com heißen. Mal sehn, ob sich nochmal was tut.
H.
On 13.08.03 Rico Koerner (rico.koerner@heico.net) wrote:
Hilmar Preusse schrieb:
On 13.08.03 Rico Koerner (rico.koerner@heico.net) wrote:
Moin,
[Mails über MXe von gmx.de]
Mails an|von @gmx.* werden akzeptiert, wenn Absende-Server einen MX-Record hat.
Ganz kurze Frage: Wie kriegt man das raus?
Keine Ahnung, muß aber irgendwie gehen. Ich hab mal Mails zurückbekommen, als ich sie direkt ausliefern wollte und als Absender eine dyn. IP hatte. In der Fehlermeldung wurde bemängelt daß der Absender keinen MX-Record vorweisen kann.
Ja und das ist auch gut so.
Für alle anderen Empfängeradressen wird SMTP_AUTH benötigt. Ich weiß nicht, ob im postfix ein dns_check für den MX-Record drinsteckt.
So auf die Schnelle hab ich nis gefunden.
wahrscheinlich von Dialup-Kisten kommen und über Rechner, wie mx18.web.de eingeliefert werden. Laut "host -t mx web.de" ist dieser mx18.web.de kein MX...
Achso, du wolltest herausfinden ob der mx18 einen MX-Record besitzt. Hab ich auch nicht herasugefunden. :-(
Und was ist vor oder nach dem mx18?
Vor dem mx18 nur die IP des einliefernden Rechners. Danach dann nur noch pop3.web.de, ungefähr so:
Received: from pop3.web.de [217.72.192.134] by localhost with POP3 (fetchmail-5.9.11) for hille@localhost (single-drop); Mon, 18 Aug 2003 14:03:12 +0200 (CEST) Received: from pd9e6622d.dip.t-dialin.net ([217.230.98.45] helo=web.de) by mx07.web.de with esmtp (WEB.DE 4.99 #448) id 19oi16-0003B3-00 for hille42@web.de; Mon, 18 Aug 2003 13:17:40 +0200 Received: from stephanus [192.168.0.3] by web.de with SMTP(333); Fr, 04 Jul 2003 13:17:52 +0200
Davor nur der Client, dann ist der mx18 ein OpenRelay.
Ja und mx18.web.de gehört zu web.de ist aber nicht MX (lt. host -t mx). Entweder hier wurde ein Name geklaut oder die Büchse gehört zu denen und die Open Relay.
Oder geht die Mail an eine web.de-Zieladresse? Dann wäre es sogar halbwegs korrekt. Aber itgendwie muß das auch gehen, da ich ja selbst schon bei direkter Mailzustellung abgelehnt wurde.
Ja natürlich, die Mail geht an mich. Aber der MX soll Mails, die von anderen Rechnern kommen und keinen MX-Record haben ablehnen. Zum Einliefern sind die Relays da.
H.
On 30.07.03 Stefan Berthold (dingx@atlantis.wh2.tu-dresden.de) wrote:
Moin,
Was ist ein "MX" anderes als ein SMTP-Server? Ich meine jetzt außer der Tatsache, daß mx0.gmx.net auf ein "MAIL FROM:[...]" mit "OK" antwortet und mail.gmx.net mir erzählen will, daß ich zuerst mal meine mails mit POP3 abholen soll...
Ich hab das bisher immer so verstanden:
- SMTP-Relay: Nimmt alle Mails an, aber nur, wenn Einlieferer sich authentifiziert hat (SMTP AUTH, SMTP AFTER POP) - MX: nimmt alle Mails an, wenn er sich für die Adresse im TO-Field zuständig fühlt. Sollte keine Mails dierkt von Dialup-hosts annehmen (was bei mir der Fall war).
Da hat das große Sicherheits-Team etwas verpaßt, oder?
IMHO ja.
H.
lug-dd@mailman.schlittermann.de
-
Andre Leubner -
Bert Lange -
Heiko Schlittermann -
Hilmar Preusse -
Rico Koerner -
Stefan Berthold