fqdn_helo_hostname - backscattering​

    Habe momentan massive Probleme mit email backscattering ... es kommen laufend Beschwerden von Hotmail und Co. das die Mails an gefakte Return Adressen rejected werden ...
    Ich habe jetzt in policyd-weight $dnsbl_checks_only = 1 gesetzt und in der main.cf diese checks auskommentiert:


    Code
    1. reject_non_fqdn_helo_hostname,
    2. reject_invalid_helo_hostname


    jetzt kommt natürlich noch mehr Spam rein ....
    hat jemand einen Vorschlag bzw. ist meine Massnahme too much?

    Die Mails wurden vorher an die gefakte hotmail adresse zurückgesendet bis ich die obigen checks deaktiviert habe, meinste das ist noch OK wenn die reject_non_fqdn_helos deaktiviert sind?

    Code
    1. Sep 11 07:41:20 host2 postfix/smtp[23507]: A7AB911CBCCF: lost connection with mx3.hotmail.com[65.55.33.135] while sending RCPT TO
    2. Sep 11 07:58:00 host2 postfix/policyd-weight[14822]: weighted check: IN_DYN_PBL_SPAMHAUS=3.25 IN_SBL_XBL_SPAMHAUS=4.35 NOT_IN_SPAMCOP=-1.5 CL_IP_NE_HELO=9.1 (check from: .hotmail. - helo: .hotmail. - helo-domain: .hotmail.) MAIL_SEEMS_FORGED=2.5 RESOLVED_IP_IS_NOT_HELO=1.5; <client=unknown[112.111.185.181]> <helo=hotmail.com> <[email protected]> <[email protected]>; rate: 19.2
    3. Sep 11 07:58:00 host2 postfix/policyd-weight[14822]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: hotmail.com, MTA hostname: unknown[112.111.185.181] (helo/hostname mismatch); <client=unknown[112.111.185.181]> <helo=hotmail.com> <[email protected]> <[email protected]>; delay: 1s
    4. Sep 11 07:58:00 host2 postfix/smtpd[19105]: NOQUEUE: reject: RCPT from unknown[112.111.185.181]: 550 5.7.1 <[email protected]>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: hotmail.com, MTA hostname: unknown[112.111.185.181] (helo/hostname mismatch); from=<[email protected]> to=<[email protected]> proto=ESMTP helo=<hotmail.com

    In dem Fall kannst Du den check für die FQDN helos ja temporär weg lassen bis sich das ganze gelegt hat.
    Fehlt Dir dann zwar ein Puzzelteil um den SPAM schon mal direkt an der Front bei der Übergabe an den MTA abzuwehren, solange es aber für Dich was bringt sollte es Ok sein.

    au weia, nachdem jetzt DKIM noch zusätzlich zu SPF installiert wurde und die Rejects rausgenommen worden sind, beanstandet Hotmail jetzt die Weiterleitungen von Kunden Emails auf Hotmail Konten (Gmail übrigens auch). Anstatt weiterzuleiten sollen die Kunden den POP3 Abholdiemst bei Hotmail usw. verwenden ...
    Wäre vieleicht über IMSCP Backend machbar ... keine Weiterleitungen aus Liste oder Weiterleitungen nur intern oder Weiterleitungen deaktivieren

    ich schätze ich habs jetzt hinbekommen ;)
    die Helo Host checks habe ich wieder aktiviert
    und die main.cf erweitert:

    es geht immer noch weiter ... anscheinened ist hier auch das Problem das Spamassassin vor den Helo checks und reject rules die Mail bereits als Spam markiert, geht die dann zurück an Yahoo, Hotmail z.b. über eine Weiterleitung etc. wird sie natürlich auch wieder rejected weil sie zuvor von hier als Spam markiert wurde ...
    Hat dazu jemand eine Idee?


    Ich komme mehr und mehr zu dem Schluss das die ganzen Spamfilter noch mehr Spam produzieren und eher schaden als nützen ...
    Wenn ich mir die Junkmails von heute so anschaue, sind davon fast 70% mit einwandfreien SPF und DKIM ausgestattet.

    Also ich kenne das eigentlich nur so, dass man nur dann backscatter erzeugt, wenn der eigene Server die Mail annimmt, der Server an den man weiterleitet die Mail aber nicht annimmt.


    Die einfachste Variante wäre es also Weiterleitungen komplett abzuschalten. Eine andere Variante wäre es, mehr zu blockieren als der Server an den es geht. Was für einen Sinn es hat, die Filter abzuschalten, erschließt sich mir da nicht.

    Quote from f4Nm1Z9k2P

    Also ich kenne das eigentlich nur so, dass man nur dann backscatter erzeugt, wenn der eigene Server die Mail annimmt, der Server an den man weiterleitet die Mail aber nicht annimmt.


    Die einfachste Variante wäre es also Weiterleitungen komplett abzuschalten. Eine andere Variante wäre es, mehr zu blockieren als der Server an den es geht. Was für einen Sinn es hat, die Filter abzuschalten, erschließt sich mir da nicht.

    ja genau das ist das Problem, also die Weiterleitungen auf Hotmail & Co ... habe auch schon Kunden informiert damit die den POP3 Service von Gmail oder Hotmail zum abrufen verwenden anstatt ungeprüfte Weiterleitungen.
    Es gibt viele Kunden die das nicht akzeptieren wollen und drohen damit zu einem anderen Provider zu wechseln bei dem das möglich ist ...
    Meinst Du mit mehr blockieren z.b. im Spamassassin auch rejecten?


    Ich verwende ipset mit der Liste von blocklist.de cronjob alle 15 Minuten
    zusätzlich eigene Ipset Blacklist
    Policyd weight
    Spamassassin incl. Razor, pyzor
    ClamAV
    Im Postfix blocke ich schon alles mögliche ab (siehe oben)

    Quote from fulltilt

    Meinst Du mit mehr blockieren z.b. im Spamassassin auch rejecten?

    Ja genau. Da muss man dann halt schauen, dass es kein Overblocking gibt. Was der Server aber annimmt, muss er bouncen, wenn der nächste Server die Nachricht nicht annehmen will. Da gibt es AFAIK auch rechtliche Gründe.

    Quote from fulltilt

    Es gibt viele Kunden die das nicht akzeptieren wollen und drohen damit zu einem anderen Provider zu wechseln bei dem das möglich ist ...

    Ich frage mich, wie das die größeren Webhoster lösen. Den Massenhostern traue ich ja zu, dass die die Warnungen der großen Mailanbieter ignorieren. Ist halt eine blöde Sache, bei der man nicht viel tun kann. Oder gibt es irgendwo eine Möglichkeit die Annahme einer Mail solange rauszuzögern, bis man sie selbst weitergeschickt hat?