PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kann es bei folg. Konfig zur Spamerkennung kommen?



altariq
29.11.07, 17:09
Hallo zusammen,

Titel ist schlecht gewählt aber das folgende Thema konnte ich nicht anders beschreiben.

Also gegeben ist folgendes Szenario:

Webserver mit fester IP x.x.x.1 mit www.abc.de
Mailserver mit fester IP x.x.x.2 mit @abc.de

Der Mailserver schickt und empfängt Mails mit der Domain, die aber eigentlich auf dem Webserver liegt. Soweit ja kein Problem. Kann es evtl. passieren, dass ein empfangender Mailserver denkt, die Mails vom Mailserver kommen aus keiner sicheren Quelle, weil er nicht mit der IP von der aufgelösten Domain übereinstimmt? Die IPs unterscheiden sich nur in der letzen Zahl.

Wir haben Tests mit vielen Mailkonten durchgeführt. Bei googlemail, web.de und gmx.de laufen die Emails ohne Probleme durch. Bei 1und1 Konten mit eingeschaltetem Spamfilter gingen sie mal durch, mal nicht. imail.de von Eplus hat sie fast immer in den Spamordner geschoben. Nur sehr wenige sind durchgekommen. (Meist mit anderen Emails im CC)
Das merkwürdige an der Sache ist jetzt, dass der ältere derzeit verwendete Mailserver, ohne direkte eigene feste IP, Mails über genau den gleichen Weg sendet und diese Mails direkt durchgehen.

Der alte ist ein Suse 9.1 Server der über Postfix versendet.
Der neue ein Centos 5 Server der auch über Postfix versendet.


Ich habe schon die Header kontrolliert und bei eingen konnte ich sehen, dass die Spamfilter folgendes angemeckert haben:

TVD_SPACE_RATIO

jedoch meist nur mit 2-3 Punkten versehen, was ja eigentlich zu wenig für Spam ist, oder? Das waren glaube ich aber auch nur Emails mit keinem Inhalt oder keinem Betreff.


Ich weiß mitlerweile nicht mehr weiter. Vieleicht könnt ihr mir ja weiterhelfen, wie ich verbessern kann, dass Mails immer durchgehen.

Ausserdem habe ich noch eine sicherheitsrelevante Frage. Der Server dient als Relay und eine öffentliche feste IP-Adresse. Ich habe schon einen Test bei www.abuse.net/relay.html durchgeführt und jeder Versuch wurde abgeblockt. Gilt der Server dann als relativ sicher? Welche Tests kann ich noch durchführen, um sicherzugehen, dass er nicht irgendwann als OpenRelay verwendet wird?

Besten Dank schon mal

altariq

altariq
30.11.07, 09:39
Mir ist noch was eingefallen.

Kennt jemand noch beondere Testseiten um zum Beispiel die Spam- und Virenfilter zu testen?


So ein paar Standardtests von heise mit Eicarviren habe ich schon durchlaufen aber will, dass alle bestanden werden. Und wichtig, aber da finde ich nichts, wirkliche Spamtester. Gibt es die?

Sagt mir bitte nicht, ich soll mich in irgendwelche Listen oder Newsletter eintragen :D

bla!zilla
30.11.07, 09:48
Die Domain liegt nicht auf dem Webserver. Die Domain liegt auf min. zwei Nameservern. Dein Webserver ist nur ein Host mit dem Namen www in der Domain abc.com. Dein Mailserver ist auch nur ein Host, der Mails verschickt.

TVD_SPACE_RATIO ist ein Standardtest von Spamassassin. Kein Grund zur Besorgnis. Wie hast du dir das mit MX-Record usw. gedacht?

altariq
30.11.07, 10:32
Der Webspace zeigt weiterhin auf die IP, wo die Daten liegen. MX-Record trage ich eine Subdomain ein und diese Subdomain verweißt auf die öffentliche IP des Servers. Funktioniert ja auch schon so.

Ich habe nur gedacht, dass das ein Grund sein könnte, warum die Mails von dem einen Server als Spam erkannt werden, von dem anderen nicht bzw. nicht ankommen.

Der Ausgang der Mail im maillog ist auch immer der gleiche.


Neuer Mailserver (Mail landet im Spam)


Nov 29 16:42:39 Groupware postfix/smtpd[7383]: connect from localhost.localdomain[127.0.0.1]
Nov 29 16:42:39 Groupware postfix/smtpd[7383]: 7FE5CB8837: client=localhost.localdomain[127.0.0.1]
Nov 29 16:42:39 Groupware postfix/cleanup[7379]: 7FE5CB8837: message-id=<25567987.1196350957364.OPEN-XCHANGE.WebMail.tomcat@Groupware>
Nov 29 16:42:39 Groupware postfix/qmgr[24538]: 7FE5CB8837: from=<mein.name@meine-domain.de>, size=1132, nrcpt=1 (queue active)
Nov 29 16:42:39 Groupware postfix/smtpd[7383]: disconnect from localhost.localdomain[127.0.0.1]
Nov 29 16:42:39 Groupware amavis[32650]: (32650-19) Passed CLEAN, [127.0.0.1] <mein.name@meine-domain.de> -> <test@extern.de>, Message-ID: <25567987.1196350957364.OPEN-XCHANGE.WebMail.tomcat@Groupware>, mail_id: qEyw9atoOwcT, Hits: -0.232, size: 689, queued_as: 7FE5CB8837, 1745 ms
Nov 29 16:42:39 Groupware postfix/smtp[7380]: 5CBE6B8836: to=<test@extern.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=2.2, delays=0.42/0.01/0/1.7, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 7FE5CB8837)
Nov 29 16:42:39 Groupware postfix/qmgr[24538]: 5CBE6B8836: removed
Nov 29 16:42:39 Groupware imap[7274]: seen_db: user mein^name opened /var/lib/imap/user/m/mein^name.seen
Nov 29 16:42:39 Groupware imap[7274]: open: user mein^name opened INBOX/Gesendet
Nov 29 16:42:39 Groupware postfix/smtp[7380]: 7FE5CB8837: to=<test@extern.de>, relay=smtp.1und1.com[212.227.15.145]:25, delay=0.25, delays=0.02/0.01/0.12/0.1, dsn=2.0.0, status=sent (250 Message 0ML31I-1IxlWk2sRd-0002pw accepted by mrelayeu8.kundenserver.de)
Nov 29 16:42:39 Groupware postfix/qmgr[24538]: 7FE5CB8837: removed


Alter Mailserver (Mail geht durch)


Nov 29 08:09:18 meine-domain postfix/smtpd[28272]: connect from user[192.168.1.10]
Nov 29 08:09:18 meine-domain postfix/smtpd[28272]: 77755532DA: client=user[192.168.1.10]
Nov 29 08:09:18 meine-domain postfix/cleanup[28276]: 77755532DA: message-id=<00ce01c83256$2abcc650$200101c0@egepc1>
Nov 29 08:09:18 meine-domain postfix/qmgr[6965]: 77755532DA: from=<mein.name@meine-domain.de>, size=3339, nrcpt=1 (queue active)
Nov 29 08:09:18 meine-domain postfix/smtpd[28272]: disconnect from user[192.168.1.10]
Nov 29 08:09:18 meine-domain amavis[27678]: (27678-09) ESMTP::10024 /var/spool/amavis/amavis-20071129T080114-27678: <mein.name@meine-domain.de> -> <test@extern.de> Received: SIZE=3339 from meine-domain.de ([127.0.0.1]) by localhost (meine-domain [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 27678-09 for <test@extern.de>; Thu, 29 Nov 2007 08:09:18 +0100 (CET)
Nov 29 08:09:18 meine-domain amavis[27678]: (27678-09) Checking: <mein.name@meine-domain.de> -> <test@extern.de>
Nov 29 08:09:21 meine-domain amavis[27678]: (27678-09) spam_scan: hits=-1.656 tests=AWL,BAYES_00,HTML_MESSAGE
Nov 29 08:09:21 meine-domain amavis[27678]: (27678-09) FWD via SMTP: [127.0.0.1]:10025 <mein.name@meine-domain.de> -> <test@extern.de>
Nov 29 08:09:21 meine-domain postfix/smtpd[28280]: connect from localhost[127.0.0.1]
Nov 29 08:09:21 meine-domain postfix/smtpd[28280]: B5691604F6: client=localhost[127.0.0.1]
Nov 29 08:09:21 meine-domain postfix/cleanup[28276]: B5691604F6: message-id=<00ce01c83256$2abcc650$200101c0@egepc1>
Nov 29 08:09:21 meine-domain postfix/qmgr[6965]: B5691604F6: from=<mein.name@meine-domain.de>, size=3754, nrcpt=1 (queue active)
Nov 29 08:09:21 meine-domain postfix/smtpd[28280]: disconnect from localhost[127.0.0.1]
Nov 29 08:09:21 meine-domain amavis[27678]: (27678-09) Passed, <mein.name@meine-domain.de> -> <test@extern.de>, Message-ID: <00ce01c83256$2abcc650$200101c0@egepc1>, Hits: -1.656
Nov 29 08:09:21 meine-domain amavis[27678]: (27678-09) TIMING [total 3297 ms] - SMTP EHLO: 1 (0%), SMTP pre-MAIL: 0 (0%), SMTP pre-DATA-flush: 1 (0%), SMTP DATA: 40 (1%), body hash: 0 (0%), mime_decode: 25 (1%), get-file-type: 11 (0%), get-file-type: 9 (0%), decompose_part: 1 (0%), decompose_part: 0 (0%), parts: 0 (0%), AV-scan-1: 2907 (88%), SA msg read: 1 (0%), SA parse: 2 (0%), SA check: 240 (7%), fwd-connect: 5 (0%), fwd-mail-from: 2 (0%), fwd-rcpt-to: 2 (0%), write-header: 3 (0%), fwd-data: 0 (0%), fwd-data-end: 43 (1%), fwd-rundown: 1 (0%), unlink-2-files: 3 (0%), rundown: 0 (0%)
Nov 29 08:09:21 meine-domain postfix/smtp[28302]: 77755532DA: to=<test@extern.de>, relay=127.0.0.1[127.0.0.1], delay=3, status=sent (250 2.6.0 Ok, id=27678-09, from MTA: 250 Ok: queued as B5691604F6)
Nov 29 08:09:21 meine-domain postfix/qmgr[6965]: 77755532DA: removed

bla!zilla
30.11.07, 10:37
Das mit der Subdomain ist nicht gültig. Als MX Record muss eine IP oder ein A Record, inkl. gültigem PTR Record eingetragen sein. Domains und Webserver haben mit DNS nix zu tun. Trage einen im DNS ein, z.B. mail.domain.de und trage diesen als MX Record ein. Schau dir die Header von als Spam markierten Mails an. Da steht in aller Regel drin, warum eine Mail als Spam erkannt wurde.

altariq
30.11.07, 10:48
Wir haben die Domains bei 1und1.

externe-domain.de dort im MX steht entweder 1und1 Mailserver oder anderer Mailserver.
Leider ist es dort nicht möglich, eine IP Adresse einzutragen. Mir wurde an der Hotline gesagt, dass ich dort nur eine andere Domain oder Subdomain eintragen kann. Also soll ich eine Subdomain á lá mail.externe-domain.de eintragen. Diese natürlich anlegen und dort im A-Record steht dann die IP des Mailservers. Was muss da denn geändert werden?

PTR Record Wo kann man den denn eintragen?

bla!zilla
30.11.07, 15:22
Leider ist es dort nicht möglich, eine IP Adresse einzutragen. Mir wurde an der Hotline gesagt, dass ich dort nur eine andere Domain oder Subdomain eintragen kann. Also soll ich eine Subdomain á lá mail.externe-domain.de eintragen. Diese natürlich anlegen und dort im A-Record steht dann die IP des Mailservers. Was muss da denn geändert werden?


Eine IP ist als MX Record auch nicht zulässig. Und mail.externe-domain.de ist _keine_ Domain, sondern ein vollqualifizierter Hostname.

altariq
05.12.07, 14:19
Hallo mal wieder,

muss das mit dem Spam noch intensiv testen und die Header genauer studieren.

Kann mir denn aber auch jemand was sagen, ob der Server sicher genug ist?
Gestern kamen solche Versuche, die wahrscheinlich normal sind aber vieleicht gibt es noch Wege, den Server noch sicherer zu machen.

Gesichert wird mit IPTables. Erreichbar sind nur der Port 25 und bald der Port 80, weil noch ein Webinterface auf dem Server liegt. Wie oben schon erwähnt, den Relaytest bei abuse.net/relay.html besteht der Server aber vieleicht gibt es noch etwas intensivere Tests um zu gucken, dass wirklich nichts durchgeht.



Dec 5 11:45:24 Groupware postfix/smtpd[23161]: connect from unknown[80.253.80.12]
Dec 5 11:45:24 Groupware postfix/smtpd[23161]: NOQUEUE: reject: RCPT from unknown[80.253.80.12]: 550 5.1.1 <b.revers@meinedomain.de>: Recipient address rejected: User unknown in local recipient table; from=<wichtigd@gmx.de> to=<b.revers@meinedomain.de> proto=SMTP helo=<gmx.de>
Dec 5 11:45:24 Groupware postfix/smtpd[23161]: lost connection after RCPT from unknown[80.253.80.12]
Dec 5 11:45:24 Groupware postfix/smtpd[23161]: disconnect from unknown[80.253.80.12]

Roger Wilco
05.12.07, 16:59
Was stört dich an den Logeinträgen? Die E-Mail mit dem offensichtlich gefälschten Absender und dem nicht existierenden Empfänger wurde abgelehnt. Was willst du mehr?

Netfilter/iptables bringt dir in diesem Umfeld übrigens genau nichts.

altariq
06.12.07, 07:58
Worauf soll ich denn noch achten? Iptables bringen nichts? Und dann soll ich ssh und ähnliche offen lassen, damit jemand sich dran austoben kann?

Ich weiß doch nicht, was Spammer noch für Wege gehen können ausser einfach Absendedaten fälschen. Deswegen frage ich euch hier doch....