Bounced SMTP-Relay nach Weiterleitung von SPAM - oder wie ein Server ungewollt selber als Spammer klassifiziert wird

D

deepblue

New Member
Hallo in die Runde,

auf einem Server mit ISPConfig (z.B. mailportal.sender.de) sind eine Reihe von Mail-Domains mit Mail-Konten (z.B. user@example.de) und Weiterleitungen (z.B. user@example.de -> verteiler@ziel.de) eingerichtet. Für jede Mail-Domain sind im DNS korrekte SPF, DKIM und PTR Einträge hinterlegt.


Problem:
Führt der ISPConfig-Server einen SMTP-Relay von einem Sender durch, der zwar am empfangenden Mailserver bereits als blacklisted, aber am ISPConfig noch nicht als solcher geführt wird, so blockiert der empfangende Mailserver den SMTP Relay durch den ISPConfig-Server.


Beispiel:
Sender (evil@sender.de) -> ISPConfig (mailportal.server.de) user@example.de -> Weiterleitung SMTP-Relay -> verteiler@receiver.de


Sep 22 14:51:22 mailportal postfix/smtp[3213896]: 1497F5FE6F: to=<user@example.de>, orig_to=<verteiler@receiver.de>, relay= receiver.de[***]:25, delay=477, delays=477/0.05/0.09/0.08, dsn=5.0.0, status=bounced (host receiver.de[***] said: 550 mailportal.server.de is not allowed to send mail from sender.de (in reply to RCPT TO command))


Fragen:
1) Erfolgt vor dem Relay der RBl-Check durch Postfix bzw. RSPAMD-Check ?

2) Wie kann ich dem herunterstufen der Vertrauenswürdigkeit am empfangenden Server durch relayen von Spam entgegenwirken ? (also ungewollt selber als SPAM Sender klassifiziert werden) ?

Besten Dank.

deepblue


Nachtrag:

SMTP-Check MxToolBox


SMTP Reverse DNS MismatchOK - resolves to mailportal.sender.de
Status Ok SMTP Valid HostnameOK - Reverse DNS is a valid Hostname
Status Ok SMTP Banner CheckOK - Reverse DNS matches SMTP Banner
Status Ok SMTP TLSOK - Supports TLS.
Status Ok SMTP Connection Time0.435 seconds - Good on Connection time
Status Ok SMTP Open RelayOK - Not an open relay.
 
Zuletzt bearbeitet:
T

Till

Administrator
Zitat von deepblue:
1) Erfolgt vor dem Relay der RBl-Check durch Postfix bzw. RSPAMD-Check ?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Beides. Die von Postfix verwendeten Blacklists kannst Du ja unter system > server config konfigurieren.
Zitat von deepblue:
2) Wie kann ich dem herunterstufen der Vertrauenswürdigkeit am empfangenden Server durch relayen von Spam entgegenwirken ? (also ungewollt selber als SPAM Sender klassifiziert werden) ?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Unter Spamfilter user/Domain einen passenden Eintrag für die Domain für die Du relayst anlegen und dort dann eine passende policy auswählen.

Zitat von deepblue:
Sep 22 14:51:22 mailportal postfix/smtp[3213896]: 1497F5FE6F: to=<user@example.de>, orig_to=<verteiler@receiver.de>, relay= receiver.de[***]:25, delay=477, delays=477/0.05/0.09/0.08, dsn=5.0.0, status=bounced (host receiver.de[***] said: 550 mailportal.server.de is not allowed to send mail from sender.de (in reply to RCPT TO command))
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das ist meines Erachtens aber ein ganz anderes Problem, der Zielserver versucht das Relay via SPF zu verifizieren und da das relay natürlich nicht im SPF Record des senders drin steht, lehnt der Zielserver ab. Stichwort SRS oder im Fall von Postfix postsrs, das Du dann aufsetzen müsstest auf deinem server. Wenn es sich um ein klassisches Setup spamfilter vor internem mail system (z.b. outlook) handelt, dann müsste an sich der empfangende server so konfiguriert werden dass er darauf vertraut dass das relay alles bereits gecheckt hat und er darf dann eben keine mails die vom Relay kommen ablehnen, denn sonst hast Du halt diesen backscatter Spam. Das heißt im Grunde ist der empfangende Mailserver falsch konfiguriert, da er Emails vom Relay eben nicht ablehnen sollte.
 
D

deepblue

New Member
Hallo Till,

besten Dank für Deine Ausführungen.

1) Erweiterung RBL Listen
Wir haben die Quellen für RBL Listen entsprechend erweitert (+cbl.abuseat.org, +dul.dnsbl.sorbs.net, +ix.dnsbl.manitu.net)

2) Einrichtung einer SPF Verifikation am ISPConfig Server
Wir haben den Daemon policyd-spf zusätzlich am Postfix (ISPConfig) Server eingerichtet (https://www.howtoforge.com/hardening-postfix-for-ispconfig-3), damit u.A. beim SMTP Relay keine Mails weitergeleitet werden, die den SPF Check am Empfänger eh nicht bestehen würden.

3) Strict SPF Entry ( -all) und SMTP Relay
Zielserver versucht das Relay via SPF zu verifizieren und da das relay natürlich nicht im SPF Record des senders drin steht, lehnt der Zielserver ab.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Wir haben am Postfix (ISPConfig Server) das Sender Rewriting Scheme (SRS) per postsrsd (https://github.com/roehling/postsrsd) eingerichtet.

VG,
Claus
 
T

Till

Administrator
Zitat von deepblue:
2) Einrichtung einer SPF Verifikation am ISPConfig Server
Wir haben den Daemon policyd-spf zusätzlich am Postfix (ISPConfig) Server eingerichtet (https://www.howtoforge.com/hardening-postfix-for-ispconfig-3), damit u.A. beim SMTP Relay keine Mails weitergeleitet werden, die den SPF Check am Empfänger eh nicht bestehen würden.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Das macht nicht wirklich Sinn, da die RBL ja bereits in Postfix von ISPConfig eingerichtet werden wenn Du Sie in ISPConfig unter System > Server config > mail einfügst und somit Absender die darauf verzeichnet sind bereits abgelehnt werden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top