Subdomain mit eMail-Weiterleitung erstellen

  • Knud : ok dann ist alles klar, aber wieso solltest Du einen SPF-Fail bekommen?


    Dein vServer ist z.B. f. test.example.de zuständig,

    und Du willst die Mails alle an master@example.de weiterleiten, oder?


    dann ist Dein vServer ein Relay, welches auch als test.example.de wegschickt

    damit vermeidest SPF Fails ...


    ich hab eine analoge Geschichte, mein Mailserver ist f. meine Domains zuständig und relayed an

    master@isp.tld

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Ja so kann man es auch einrichten. Dann ist das Relay sichtbar und man hat einen Nachteil (so zumindest mein aktueller Stand) : Bounces (Nachrichten über Fehler bei der Zustellung) werden an den Relay-Server geschickt und der eigentlich Absender erfährt unter Umständen gar nicht, dass seine Nachricht nicht zugestellt werden konnte (Bounces werden immer an den Envelope-From und nicht an den Header-From geschickt).


    Mein aktuelles Setup ersetzt aber einfach nur den Empfänger, sodass sich schlicht nur die IP ändert und das gibt natürlich einen SPF-Fail.


    Für beide Formen des Relays ist es auf jeden Fall unschön, dass das Relay erst einmal alle Nachrichten für eine Domain annimmt und nicht weiß, welche Benutzerkonten existieren. Eine Bouncemessage muss dann durch den Empfänger generiert werden, was wiederum bei einem gefälschten Absender für ein Blacklisting des Empfängers sorgen kann (die Netcupmailserver sind auch hin- und wieder auf Blacklists zu finden). Deswegen sollte man Relayserver für den Empfang unbedingt vermeiden.


    Wenn ich das bei mir noch verbessern kann, dass lasse ich mich aber auch gerne eines Besseren belehren :-)

  • Also soweit ich weiß unterstützt zumindest Postfix verschiedene Methoden zur Empfängervalidierung auch im Relay-Betrieb. Neben nativen LDAP/Datenbank/whatever-Abfragen auch dynamische Validierung, die noch während des originalen SMTP-Dialog den finalen Server anfragrt, ob die Adresse existiert. Die Antworten werden selbstverständlich gecached.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Also soweit ich weiß unterstützt zumindest Postfix verschiedene Methoden zur Empfängervalidierung auch im Relay-Betrieb. Neben nativen LDAP/Datenbank/whatever-Abfragen auch dynamische Validierung, die noch während des originalen SMTP-Dialog den finalen Server anfragrt, ob die Adresse existiert. Die Antworten werden selbstverständlich gecached.

    Dafür müsste Netcup LDAP/Datenbank zur Verfügung stellen. Denn wir wollen hier einem Kunden helfen, der ein Webhosting Vertrag hat und keinen Server.


    Aber aus Interesse: wie verhält sich Postfix auf dem Relay dann, wenn der Server an den zugestellt wird nicht erreichbar ist?

  • Knud : da bin ich mir nicht sicher ob hier nicht der Return-Path im Mail-Header eine Rolle spielt;


    das mit dem Annehmen der Mails durch das Relay;

    genaugenommen werfe ich 95% der Mails retour, weil

    (a) Empfängeradresse ungültig (postfix: check_recipient_access)

    (b) Connecting-Host unerwünscht (postfix: check_client_access)

    (c) Senderdomain unerwünscht (postfix: check_sender_access)

    der Rest wird erfolgreich zugestellt;


    und Mails welche der Zielserver als SPAM klassifizieren sollte,

    das Relay aber angenommen hat, dessen Bounces können beruhigt ignoriert werden;


    und das Relay ist nur auf meiner Seite sichtbar, und das ist ja kein Problem, sind ja meine Mails;

    in die andere Richtung ist das Relay mein ausgehender Mailserver;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Aber aus Interesse: wie verhält sich Postfix auf dem Relay dann, wenn der Server an den zugestellt wird nicht erreichbar ist?

    die Mail befindet sich in der Queue, und es werden mehrere Versuche unternommen, und wenn nach einer Zeit - mehrere Tage - immer noch keine Zustellung möglich ist, wird eine Bounce Nachricht zurück geschickt;

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Ich nehme die Mails erst gar nicht an die den Richtlinien nicht entsprechen, dann wird der Bounce nämlich vom Server des vermeintlichen Absender an diesen geschickt. Was passiert zum Beispiel wenn ich die Mails rejecte, dann kann es durchaus passieren, dass meine IP auf der Blacklist landet, den ich vermute mal der Absender der in der Mail steht ist nicht wirklich der Absender. Dieser vermutet mit dem reject, dann aber zutreffenderweise, dass ich der SPAMMER bin:


    smtpd_recipient_restrictions = permit_sasl_authenticated,

    permit_mynetworks,

    reject_unauth_pipelining,

    reject_non_fqdn_sender,

    reject_non_fqdn_recipient,

    reject_invalid_hostname,

    reject_unknown_sender_domain,

    reject_unknown_recipient_domain,

    reject_unauth_destination,

    reject_unknown_address,

    check_policy_service inet:127.0.0.1:10023,

    reject_rbl_client zen.spamhaus.org,

    reject_rbl_client ix.dnsbl.manitu.net,

    reject_unverified_recipient,

    permit


    Geht natürlich noch ein bisschen besser einzustellen.

  • die Mail befindet sich in der Queue, und es werden mehrere Versuche unternommen, und wenn nach einer Zeit - mehrere Tage - immer noch keine Zustellung möglich ist, wird eine Bounce Nachricht zurück geschickt;

    Du bist also ein Backscatter? :|

    LinkeIn und XING - Schreibt mir einfach eine PN.


    "Security is like an onion - the more you dig in the more you want to cry"

  • Hä?

    Bei deiner Beschreibung verschickt dein Server einen Bounce an den angeblichen Absender. Das heißt wenn ein "Angreifer" das Postfach einer Firma zuspammen möchte, sucht er sich eine Mailadresse die bei dir ziemlich sicher nicht existiert, schick im Namen dieser Firma an dich eine Mail und diese Firma bekommt dann von dir eine Bounce-Nachricht. Das Ganze dann 1000 mal und auf unterschiedlichen Servern und bums ist das Postfach zugespammt. Und du wunderst dich warum dein Server geblacklistet ist.


    Deswegen sollte ein SMTP-Server schon beim Kontakt dem verschickenden SMTP-Server mitteilen, dass er die Mail nicht zustellen kann. Dann ist der verschickende Mailserver für den Bounce zuständig. Wenn dann die falschen Bounce Nachrichten verschickt werden, dann wird halt der Angreifer geblacklistet, also alles richtig. Als Empfänger sollte man sich niemals um Bounce-Nachrichten für eine fremde Domain kümmern.


    Und das sicherzustellen wird durch ein Relay auf jeden Fall anspruchsvoller, wie wir hier ja gerade feststellen. Deswegen würde ich, wenn es nicht einen guten Grund dafür gibt, immer auf ein Relay verzichten. Ist nur eine weitere Fehlerquelle.

  • Das heißt wenn ein "Angreifer" das Postfach einer Firma zuspammen möchte, sucht er sich eine Mailadresse die bei dir ziemlich sicher nicht existiert

    da hast leider eine Fehleinschätzung meines Mailservers ...


    und was das Backscatting angeht; Bounce-Mails zu unterdrücken ist ebenso nicht richtig; weil z.B. ein eingehender Postfix keine Ahnung über den Zustand eines MXS-Postfaches hat, und es hier unumgänglich ist, daß z.B. eine 'Postfach voll'-Meldung gesendet wird ...


    wobei erklär mir wie Du was zuspammst, was nicht existiert?:D

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Ich habe das mit den Mails über Subdomains früher mit mailgun gelöst.


    Einfach kostenlosen Account erstellen, Subdomain einrichten (benötigte DNS-Einträge werden angezeigt) und unter Routen eine Weiterleitung einrichten.


    Vorteil: kostenlos (bis 10.000 Mails) und einfach

    Nachteil: Mails machen einen Umweg über dir unbekannte Server

  • und was das Backscatting angeht; Bounce-Mails zu unterdrücken ist ebenso nicht richtig; weil z.B. ein eingehender Postfix keine Ahnung über den Zustand eines MXS-Postfaches hat, und es hier unumgänglich ist, daß z.B. eine 'Postfach voll'-Meldung gesendet wird ...

    Annahmen für das Beispiel:

    • Dein Mailserver ist für die Domain "example.org" zuständig.
    • Ich möchte "target@hecke29.de" angreifen

    Ich schreibe ein Script, dass eine Mail mit From-Header "target@hecke29.de" an "nonexistant-verysure@example.org" versendet.

    Dein Mailserver stellt fest, dass ein Postfach "nonexistant-verysure@example.org" nicht existiert und versendet eine Bounce-Mail an... ??


    Der "richtige" Weg ist schon in der eingehenden Verbindung die Annahme mit Begründung abzulehnen. Das sendende System ist dafür zuständig intern eine Bounce-Mail an den Absender zuzustellen.


    Wenn ich von meinem privaten GMX-Konto eine Mail versende und der Ziel-Mailserver lehnt die ab "wegen Postfach voll", dann bekomme ich von mailer@gmx.de eine Mail und nicht von bounce@hecke29.de

  • Wenn ich von meinem privaten GMX-Konto eine Mail versende und der Ziel-Mailserver lehnt die ab "wegen Postfach voll", dann bekomme ich von mailer@gmx.de eine Mail und nicht von bounce@hecke29.de

    das funktioniert aber nur so, wenn der eingehende Mailserver (MX-Record) die Kenntnis davon hat oder die Postfächer hostet;

    dies ist nicht generell so

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • Ich schreibe ein Script, dass eine Mail mit From-Header "target@hecke29.de" an "nonexistant-verysure@example.org" versendet.


    Dein Mailserver stellt fest, dass ein Postfach "nonexistant-verysure@example.org" nicht existiert und versendet eine Bounce-Mail an... ??

    die Adresse welche im Mailheader unter Return-Path steht ...:D


    kannst mal probieren eine Mail an daniel.duesentrieb@liwest.at zu schicken?;)

    Grüße / Greetings

    Walter H.


    RS 1000 SAS G8 xRAM; RS 500 SSD G8; S 1000 G7; VPS 200 G8 Akt.; Webhost. 1000 m. 75%

  • das funktioniert aber nur so, wenn der eingehende Mailserver (MX-Record) die Kenntnis davon hat oder die Postfächer hostet;

    dies ist nicht generell so

    Und wie löst du das Problem ohne ein Backscatter zu sein? An wen sendest du die Bounce-Mail? An die E-Mail im from-header?


    Ich hatte früher auch mal einen Backup-MX betrieben (gleiche Problematik wie beim Relay), aber genau aus diesen Gründen wieder abgeschaltet, weil das Missbrauchspotential zu groß ist bzw. technisch sehr komplex werden kann die Mail direkt abzulehnen. Und so wichtig war es mir dann auch nicht ;)


    Alle großen mir bekannte Anbieter lehnen E-Mails direk ab und schicken keinen Bounce, z.B. auch GMail:

    Code
    1. ... while talking to gmail-smtp-in.l.google.com.:
    2. >>> DATA
    3. <<< 550-5.1.1 The email account that you tried to reach does not exist. Please try
    4. <<< 550-5.1.1 double-checking the recipient's email address for typos or
    5. <<< 550-5.1.1 unnecessary spaces. Learn more at
    6. <<< 550 5.1.1 https://support.google.com/mail/?p=NoSuchUser c187-v6si3153949wmd.52 - gsmtp
    7. 550 5.1.1 <hndfskjhgdfsgdfklsghdfklhfgklbgfs@gmail.com>... User unknown
    8. <<< 503 5.5.1 RCPT first. c187-v6si3153949wmd.52 - gsmtp

    Postfach voll konnte ich leider nicht nachstellen bei GMail ^^

  • das funktioniert aber nur so, wenn der eingehende Mailserver (MX-Record) die Kenntnis davon hat oder die Postfächer hostet;

    dies ist nicht generell so

    Das ist in einem sauberem Setup so sein. Selbst der Backup-MX weiß, für welche Postfächer er was annehmen darf.

    LinkeIn und XING - Schreibt mir einfach eine PN.


    "Security is like an onion - the more you dig in the more you want to cry"

  • Wenn ich von meinem privaten GMX-Konto eine Mail versende und der Ziel-Mailserver lehnt die ab "wegen Postfach voll", dann bekomme ich von mailer@gmx.de eine Mail und nicht von bounce@hecke29.de

    Beim Beispiel "Postfach voll" ist es nicht ganz so einfach. Einerseits weiß der Mailserver an vorderster Front oft nichts von der Postfachgröße des finalen Ziels. Und was machst Du, wenn eine Mail mit RCPT TO für Max und Moritz herein kommt, aber nur das Postfach von Moritz voll ist? Die ganze Mail ablehnen, für alle Empfänger? Das wäre nicht richtig.


    Ergänzung: Vor allem bei Weiterleitungen (egal ob an eine oder mehrere lokale Adressen) kracht es schnell bzw. wird es unmöglich, das rechtzeitig zu rejecten.