Mail von nicht existierenen und ungültigen Domains werden angenommen

Hallo,

es kommen ab und zu Spam Mails von "Fake" Absendern durch, hier ein Beispiel mit Wormly SMTP Tool https://www.wormly.com/test-smtp-server :

1e05hs-0001T1-0c <= Gunnar.Neise@Fake.newscom H=tools.wormly.com [96.126.113.160]:43482 P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 S=832 id=856c19122bb6de94e6e917d583ca04fc@blog.wormly.com
SMTP connection from tools.wormly.com [96.126.113.160]:43482 closed by QUIT
1e05hs-0001T1-0c moved to work queue
1e05i0-0001TL-58 <= gunnar.neise@fake.newscom R=1e05hs-0001T1-0c P=INPUT S=203
id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="96.126.113.160" from="gunnar.neise@fake.newscom" to="H*****@neise.de" subject="Wormly SMTP Test Message" queueid="1e05i0-0001TL-58" size="203"
1e05hs-0001T1-0c => work R=SCANNER T=SCANNER
1e05hs-0001T1-0c Completed
1e05i0-0001TL-58 => H*****@neise.de P=<gunnar.neise@fake.newscom> R=static_route_hostlist T=static_smtp H=172.16.40.22 [172.16.40.22]:25 C="250 2.6.0 <856c19122bb6de94e6e917d583ca04fc@blog.wormly.com> [InternalId=43546673414210, Hostname=S-"
1e05i0-0001TL-58 Completed

Bei der Abfrage des SPF bekommt die Sophos diese Meldung:

Host gunnar.neise@fake.newscom not found: 3(NXDOMAIN)

Trotzdem gehen solche Mails durch, kann man das irgendwie verhindern?

VG Gunnar
  • Hallo Gunnar,

    im SMPT Protokoll gibt es keinen Mechanismus um die Echtheit oder Legitimation eines Absenders zu überprüfen.

    Alle AntiSpam techniken versuchen einen Workaround zu bilden um diese Nachlässigkeit im Protokolldesign zu umgehen.

    So auch SPF:

    Emails werden erstmal von jedem Mailserver angenommen - wir können mit Standart Mitteln im DNS nämlich nur mitteilen wer für unsere Domain Empfangen darf (MX Record), jedoch nicht wer für unsere Domain senden darf.

    Für den Part "Wer darf für unsere Domain senden" "missbrauchen" wir den TXT Record im DNS und einigen uns auf eine Syntax, die mitteilt, welche Mailserver für eine Domain senden dürfen.

    SPF ist ein freiwilliger TXT Eintrag im DNS, auch wenn es von vielen genutzt wird ist ein fehlender SPF Eintrag kein Fehler im Sinne des SMTP Protokolls oder einer AntiSpam Lösung (ggf. schlecht für die Reputation).

    Wenn wir für unsere Domain einen SPF Eintrag pflegen, dann erleichtert es unseren Kommunikationspartnern sicherzustellen, dass eine Email tatsächlich von uns kommt - da es kein verpflichtender Standard ist, muss die Gegenstelle SPF nicht prüfen - kann aber.

     

    --> Da es die Domain fake.newscom nicht gibt, gibt es auch keinen SPF Eintrag zu prüfen. SPF hilft also hier nicht.

     

    Wenn der absendende Mailserver sauber konfiguriert ist (Reverse DNS Eintrag vorhanden, Matcht mit Namen im Helo String, Retry Konfiguriert, etc..) werden auch die anderen AntiSpam techniken nicht weiter helfen und diese Mail kann nur Pattern basiert ausgefiltert werden.

    schnelle hilfe: Du setzt manuell einen Blacklist Eintrag für die Absenderdomain und den absendenden Mailserver

    alternativ: du sendest ein Sample an Sophos Labs und wartest ab, dass daraus ein Pattern geschrieben wird:

    https://community.sophos.com/kb/en-us/23113

     

    habe es gerade mal ausprobiert: mit striktem Reverse DNS + Helo Check wäre die Mail nicht durchgegangen, weil Reverse DNS nicht mit Helo übereinstimmt

    aber die nichtexistente Domain ist dem UTM Mailproxy egal.

    ich musste nur geduldig 10 Minuten warten und die Mail nochmal schicken, um durch das Graylisting zu kommen - jetzt liegt sie in meinem Posteingang.

     

    Gruß Lukas

  • In reply to lna:

    Hallo Lukas,

     

    "aber die nichtexistente Domain ist dem UTM Mailproxy egal" => Das wollte ich wissen; schade das man eine solche Prüfung nicht konfigurieren kann.

    Strict RDNS hilft aber auch nicht, da ja nur der SMTP Banner mit dem PTR des Senders übereinstimmen muss, die Absender Adresse ist dabei egal,

     

    VG Gunnar

  • In reply to GunnarNeise:

    Hallo Gunnar,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    Actually "strict" RDNS should block such emails unless the spammer has found an open relay.  In that case the Cyren reputation RBL (you must use the recommended RBLs) should block it.  Are you saying that you have selected recommended RBLs and such traffic still gets through?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hallo Bob,

    "Strict RDNS" hat nichts mit der Absender Adresse zu tun, sondern nur mit dem Host der sendet.

    Proofpoint gibt zB diese Meldung raus:

    MAIL FROM command failed, Domain of sender address does not exist

    553,5.1.8 SMTP server error: MAIL FROM command failed Detail: Domain of sender address does not exist

     

    Die Sophos UTM prüft gar nicht ob es einen DNS für die Absenderdomain gibt und man kann das auch durch Strict RDNS nicht aktivieren.

    Das es keinen SPF gibt, weil es die Domain nicht gibt, sollte die UTM aber meiner Meinung nach prüfen und auch als +Spam scoren,

     

    Viele Grüsse Gunnar