Mail von nicht existierenen und ungültigen Domains werden angenommen

Question

Hallo,

es kommen ab und zu Spam Mails von "Fake" Absendern durch, hier ein Beispiel mit Wormly SMTP Tool https://www.wormly.com/test-smtp-server :

1e05hs-0001T1-0c <= Gunnar.Neise@Fake.newscom H=tools.wormly.com [96.126.113.160]:43482 P=esmtps X=TLSv1:DHE-RSA-AES256-SHA:256 S=832 id=856c19122bb6de94e6e917d583ca04fc@blog.wormly.com
SMTP connection from tools.wormly.com [96.126.113.160]:43482 closed by QUIT
1e05hs-0001T1-0c moved to work queue
1e05i0-0001TL-58 <= gunnar.neise@fake.newscom R=1e05hs-0001T1-0c P=INPUT S=203
id="1000" severity="info" sys="SecureMail" sub="smtp" name="email passed" srcip="96.126.113.160" from="gunnar.neise@fake.newscom" to="H*****@neise.de" subject="Wormly SMTP Test Message" queueid="1e05i0-0001TL-58" size="203"
1e05hs-0001T1-0c => work R=SCANNER T=SCANNER
1e05hs-0001T1-0c Completed
1e05i0-0001TL-58 => H*****@neise.de P=<gunnar.neise@fake.newscom> R=static_route_hostlist T=static_smtp H=172.16.40.22 [172.16.40.22]:25 C="250 2.6.0 <856c19122bb6de94e6e917d583ca04fc@blog.wormly.com> [InternalId=43546673414210, Hostname=S-"
1e05i0-0001TL-58 Completed

Bei der Abfrage des SPF bekommt die Sophos diese Meldung:

Host gunnar.neise@fake.newscom not found: 3(NXDOMAIN)

Trotzdem gehen solche Mails durch, kann man das irgendwie verhindern?

VG Gunnar

This thread was automatically locked due to age.

lna · Answer

Hallo Gunnar, 
 im SMPT Protokoll gibt es keinen Mechanismus um die Echtheit oder Legitimation eines Absenders zu &uuml;berpr&uuml;fen. 
 Alle AntiSpam techniken versuchen einen Workaround zu bilden um diese Nachl&auml;ssigkeit im Protokolldesign zu umgehen. 
 So auch SPF: 
 Emails werden erstmal von jedem Mailserver angenommen - wir k&ouml;nnen mit Standart Mitteln im DNS n&auml;mlich nur mitteilen wer f&uuml;r unsere Domain Empfangen darf (MX Record), jedoch nicht wer f&uuml;r unsere Domain senden darf. 
 F&uuml;r den Part "Wer darf f&uuml;r unsere Domain senden" "missbrauchen" wir den TXT Record im DNS und einigen uns auf eine Syntax, die mitteilt, welche Mailserver f&uuml;r eine Domain senden d&uuml;rfen. 
 SPF ist ein freiwilliger TXT Eintrag im DNS, auch wenn es von vielen genutzt wird ist ein fehlender SPF Eintrag kein Fehler im Sinne des SMTP Protokolls oder einer AntiSpam L&ouml;sung (ggf. schlecht f&uuml;r die Reputation). 
 Wenn wir f&uuml;r unsere Domain einen SPF Eintrag pflegen, dann erleichtert es unseren Kommunikationspartnern sicherzustellen, dass eine Email tats&auml;chlich von uns kommt - da es kein verpflichtender Standard ist, muss die Gegenstelle SPF nicht pr&uuml;fen - kann aber. 
 
 --> Da es die Domain fake.newscom nicht gibt, gibt es auch keinen SPF Eintrag zu pr&uuml;fen. SPF hilft also hier nicht. 
 
 Wenn der absendende Mailserver sauber konfiguriert ist (Reverse DNS Eintrag vorhanden, Matcht mit Namen im Helo String, Retry Konfiguriert, etc..) werden auch die anderen AntiSpam techniken nicht weiter helfen und diese Mail kann nur Pattern basiert ausgefiltert werden. 
 schnelle hilfe: Du setzt manuell einen Blacklist Eintrag f&uuml;r die Absenderdomain und den absendenden Mailserver 
 alternativ: du sendest ein Sample an Sophos Labs und wartest ab, dass daraus ein Pattern geschrieben wird: 
 https://community.sophos.com/kb/en-us/23113 
 
 habe es gerade mal ausprobiert: mit striktem Reverse DNS + Helo Check w&auml;re die Mail nicht durchgegangen, weil Reverse DNS nicht mit Helo &uuml;bereinstimmt 
 aber die nichtexistente Domain ist dem UTM Mailproxy egal. 
 ich musste nur geduldig 10 Minuten warten und die Mail nochmal schicken, um durch das Graylisting zu kommen - jetzt liegt sie in meinem Posteingang.

Gru&szlig; Lukas