unerlaubten SMTP-Versand unterbinden?

Ich gehe davon aus, dass dies kein Problem des eigenen Mailservers ist, sondern vielmehr daran liegt, dass da ein Spammer eine beliebige E-Mail-Adresse für den Mailversand gesetzt hat.
Z.B. kann man per PHP-Skript auch jede beliebige Email-Adresse für den Versand verwenden. Was sagt den der Header einer solchen Email?

Verhindern kann man das so gut wie gar nicht.

Wenn man Sicher ist das der eigene Mailserver sicher ist, wurde sichlich nur der absender gefälscht.

Man kann dem empfangenen Mailservern die Chance geben diese fälschung zu erkennen indem man Festlegt welche Server für eine Domain emails versenden dürfen.

Eine möglichkeit ist SPF
http://de.wikipedia.org/wiki/Sender_Policy_Framework

hier wird im Nameserver Einträge der Art angelegt:
"Nur der Server mit der ip 123.123.123.123 darf eine Mail für die domain abc.de versenden"

Testen ob eine Domain diese Einträge hat kann man z.b. hier
http://www.kitterman.com/spf/validate.html

als Test kann man mal google.com eingeben. netcup.de hat nicht diesen Spoofing Schutz.

Eingehende Email sollte man wenn möglich auch mit SPF untersuchen.

Hallo zusammen,
ich habe wohl ein ähnliches Problem, ganz sicher bin ich mir aber nicht. Ich bekomme seit ca 2 Stunden laufend Mails ins Postfach, hier mal ein Beispiel

Subject: undeliverable mail




undeliverable  to info@mail.tomtom-user.dk







Original message follows.




Received: from fl-71-53-145-117.dhcp.embarqhsd.net [71.53.145.117] by post.senzor.dk
with ESMTP
  (SMTPD32-8.05) id AC3D1AEB00A8; Thu, 17 Apr 2008 18:35:09 +0200
Date: Thu, 17 Apr 2008 15:48:48 +0000
Message-ID: <74622.mordecai@lucky>
From: "vigara ciails " <b@chmann.de>
To: <453cedd5.1070000@tomtom-user.dk>
Subject: 80% off for 453cedd5.1070000
MIME-Version: 1.0
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit




Hello, make a right choice, buy your medications from the most well-known shop.
http://www.google.com/pagead/iclk?sa=l&ai=vSJtPN&num=71579&adurl=http://stratos.bg/redir.html
Coupon #k9Nr
devlen hong

Header

Return-Path: <>
X-Original-To: b@chmann.info
Delivered-To: b@chmann.info
Received: from localhost (unknown [10.0.1.1])
     by root.hubutz.de (Postfix) with ESMTP id D03703898A7
     for <b@chmann.info>; Thu, 17 Apr 2008 18:36:13 +0200 (CEST)
X-Spam-Score: 4.787
X-Spam-Level: ****
X-Spam-Status: No, score=4.787 tagged_above=-9.9 required=5
     tests=[DRUGS_ERECTILE=0.1, DRUGS_ERECTILE_OBFU=2.046,
     FUZZY_CPILL=0.881, INVALID_DATE=1.76]
Received: from root.hubutz.de ([10.0.1.1])
     by localhost (root.hubutz.de [10.0.1.1]) (amavisd-new, port 10024)
     with ESMTP id WGAUxdpxsNY0 for <b@chmann.info>;
     Thu, 17 Apr 2008 18:36:10 +0200 (CEST)
Received: from post.senzor.dk (mail.senzor.dk [83.91.83.115])
     by root.hubutz.de (Postfix) with ESMTP id 2628B3898A9
     for <b@chmann.de>; Thu, 17 Apr 2008 18:35:57 +0200 (CEST)
Date: Thu, 17 Apr 2008 18:35:14 
Message-Id: <10804171835.AA87564528@post.senzor.dk>
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
From: "Postmaster" <postmaster@post.senzor.dk>
Sender: <postmaster@post.senzor.dk>
To: <b@chmann.de>
Subject: Undeliverable Mail
X-Mailer: <SMTP32 v8.05>

Ich bin mir jetzt nicht sicher, ob die Mail auch von meinem Server kommt oder ob das ein Fake ist.
Hat jemand ne Idee?
Vllt auch was man dagegen machen könnte? Es stört *ggg*

Okay, ein

grep "info@mail.tomtom-user.dk" *

bringt kein Ergebnis, also ein Fake, ja?
Und verhindern tue ich das ganze jetzt wie? Mit diesem SPF was hier stand? Frage mich nur, warum das auf einmal passiert

//EDIT
ich habe da jetzt mal reingeschaut, aber... Ich verstehe es nciht ganz.
So einen SPF - Eintrag für meine Domains kann ich nicht selbst auf meinem vServer etablieren, oder doch? Eine Mailfilterung die auf SPF-Records zugreift wäre also die Alternative bzw wäre sowieso gut?

Hallo,
SPF ist sicherlich ein möglicher Lösungsansatz, ob man das aber tatsächlich einsetzen möchte, ich weiß nicht so ganz. Schließlich kann ich z.B. auch von meinem GoogleMail-Konto aus eine Mail verschicken, die als Absender-Adresse meine GMX-Adresse trägt. Oder wenn ich diese EMail-Flatrate von T-Mobile nutze werden meine Mails auch über den T-Online Mail-Server verschickt; mit GMX-From-Adresse. Solche Mails würde das SPF dann ebenfalls aussortieren.

Aber was deine konkrete E-Mail angeht, so ist das wie bereits gesagt eindeutig:

Received from post.senzor.dk by root.hubutz.de for <b@achmann.de>

Der Server post.senzor.dk hat eine Verbindung zu deinem Server root.hubutz.de aufgebaut, um darüber eine Mail an b@achmann.de zu übermitteln. Was in dieser E-Mail (nach dem DATA-Befehl) aber als To und From übertragen wird, da können ganz einfach beliebige Mail-Adressen drin stehen. Somit hat einfach irgendein (Spam-)Mailserver dir direkt eine Spam-Nachricht zugeschickt. Die To und From Felder können dabei frei erfunden sein. Von daher, keine Panik, das ist einfach eine ganze normale Spam-Nachricht, so wie sie in jedem Musterbeispiel genannt werden könnte.

Was ich nun aber an dieser Mail konkret bei dir etwas vermisse: Der PolicyD-Weight. Dieser scheint hier nicht zum Einsatz gekommen zu sein. Andernfalls sollte der nämlich auch seine Spuren im Header hinterlassen haben (X-policyd-weight).

Hey,

die ganzen "failure notices" scheinen am PolicyD-Weight vorbeizulaufen.
Hier mal eine die SA rausgefiltert hat:

Return-Path: <>
X-Original-To: b@chmann.info
Delivered-To: b@chmann.info
Received: from localhost (unknown [10.0.1.1])
     by root.hubutz.de (Postfix) with ESMTP id B6B5E3894E0
     for <b@chmann.info>; Thu, 17 Apr 2008 20:48:57 +0200 (CEST)
X-Spam-Flag: YES
X-Spam-Score: 16.987
X-Spam-Level: ****************
X-Spam-Status: Yes, score=16.987 tagged_above=-9.9 required=5
     tests=[MSGID_FROM_MTA_ID=0.927, NO_REAL_NAME=0.55,
     URIBL_AB_SURBL=3.306, URIBL_JP_SURBL=3.36, URIBL_OB_SURBL=2.617,
     URIBL_SBL=1.094, URIBL_SC_SURBL=3.6, URIBL_WS_SURBL=1.533]
Received: from root.hubutz.de ([10.0.1.1])
     by localhost (root.hubutz.de [10.0.1.1]) (amavisd-new, port 10024)
     with ESMTP id nzYnOcvsTOS2 for <b@chmann.info>;
     Thu, 17 Apr 2008 20:48:54 +0200 (CEST)
Received: from s228-127.furanet.com (127-228.furanet.com [195.78.228.127])
     by root.hubutz.de (Postfix) with SMTP id 47816388BEB
     for <b@chmann.de>; Thu, 17 Apr 2008 20:48:54 +0200 (CEST)
Received: (qmail 2397 invoked for bounce); 17 Apr 2008 17:34:26 -0000
Date: 17 Apr 2008 17:34:26 -0000
From: MAILER-DAEMON@s228-127.furanet.com
To: b@chmann.de
Subject: ***SPAM*** failure notice
Message-Id: <20080417184854.47816388BEB@root.hubutz.de>

Schon eigenartig irgendwie. Und ich habe jetzt in den letzten 3 Stunden über 3000 solcher Mails bekommen
(habe sie mit Filtern einigermaßen abfangen können). Aber so kanns nich weitergehen

Okay, 3000 solcher Mails ist natürlich "nicht normal".
Alternative: Könnte es sein, dass dein Server Spam eine eine Adresse ...@furanat.com (in diesem Beispiel) schickt, und der Mail-Server bei Furanat diese Spam-Mail dann einfach wieder an dich zurück schickt (z.B. weil der Empfänger nicht existiert)?
Schau doch da mal in der mail.log nach irgendwelchen Auffälligkeiten. Du kannst auch einfach testweise mal den Apache anhalten und beobachten ob dann eine Besserung eintritt. Wenn da nämlich irgendein PHP-Skript zum Versenden von Spam missbraucht wird, sollte kein Spam mehr rausgehen wenn der Apache nicht läuft.
Sollte es tatsächlich ein PHP-Skript gewesen sein, dass zum Spam-Versand missbraucht wird, bleibt abschließend nach dem Finden des Fehlers noch zu hoffen, dass dein Server dadurch nicht bei Spamhaus&Co. geblacklistet wurde.

Moin,
also... Ich hatte selbstständig auch schon danach geschaut ob es nicht ein PHP war. War es aber nicht (apache war unten, trotzdem kamen vllt noch 200 solcher Mails).
Allerdings hat das ganze dann wohl heute nacht auch wieder aufgehört. Die letzte dieser Mails kam um 23:15 rein.
Find es trotzdme irgendwie krass und hoffe, dass das jetzt nicht nochmal passiert *g*

Was mir dazu gerade noch einfällt:
Es könnte unter Umständen auch der Fall gewesen sein, dass du Opfer einer Brute-Force Spam-Attacke geworden bist. Und zwar gibt es Spam-Bots, die auf der Suche nach neuen Opfern einfach etliche Mail-Adressen einer Domain auf gut Glück durchprobieren, bis sie eine gültige Mail-Adresse gefunden haben. Eine Adresse der Form vorname.nachname@ ist nun relativ lang, und der Spam-Bot würde da nur durch probieren nicht ohne weiter draufkommen. Wenn du als Mail-Adresse allerdings einfach nur b@ hast, dann ist die Chance diese Adresse zu erraten relativ hoch. Vielleicht könnte aus auch damit was zu tun haben, ist aber nur reine Spekulation.

Mhm... Ja, das könnte wohl sein.
Aber verhindern kanni ch es wohl nicht, oder?

Es kommen ab und an noch kleine Mails an, die sind aber tatsächlich immer von "b@chmann.de" - wobei dieses konto gar nicht existiert und nur eine weiterleitung auf .info ist.
Und gerade weil vorname.nachname@... so lang ist hab ich mich mit ner kleinen abwandlung begnügt :o