OVH Community, your new community space.

SPAM Mails mit meiner Domain als Abesender


dabla
23.06.15, 19:04
SPF ist nicht weiter kompliziert... ist einfach nen DNS Eintrag. Gibt auch Generatoren dafür. SPF dient dem annehmenden Mailserver dazu, nachgucken zu können von welchen IPs die Mails für diese spezielle Domain kommen dürfen. Stimmt die Mailserverip nicht mit denen in dem SPF Eintrag überein, verweigert der Mailserver die Annahme. Somit bekommst du keine Bounce Nachricht, sondern der eigentliche Absenderserver bekommt ne Fehlermeldung.
Leider haben das noch nicht alle im Einsatz.

Greylisting ist ja eher für dich da. Du weist ankommende Mails erstmal ab um einen erneuten Zugriffsversuch des Absenders abzuwarten und die Mail erst dann durchzulassen. Hat also damit rein gar nichts zutun.

keving
23.06.15, 18:53
Also ist es am besten wenn ich die Emails ins Postfach kommen lasse diese dort aber lösche?
Um nicht auch so eine Bounce Message zu generieren?

Its das Sender Policy Framework schwer anzuwenden?
Hab mich da mal kurz bei wiki eingelesen.

Um reinkommended Spam zu reduzieren hab ich schon GreyListing aktiviert.

dabla
23.06.15, 18:29
ja die mails sind gefaked... ich zitiere mal:
Return-path: <deine@mail.de>
Received: from sergey by mika2.firstvds.ru with local (Exim 4.80)
(envelope-from <deine@mail.de>)
id 1Z7PTr-0002pw-Ik
for empfänger@mail.de; Tue, 23 Jun 2015 17:47:19 +0300
To: "empfänger@mail.de"
Subject: Re Irgendein Spamtopic
X-PHP-Originating-Script: 500:mxn.php(8) : regexp code(1) : eval()'d code(1) : eval()'d code
Date: Tue, 23 Jun 2015 17:47:19 +0300
From: Alex Garcia <deine@mail.de>
Reply-To: Alex Garcia <deine@mail.de>
Message-ID: @www.tehnopapa-uhta.ru>
So in der Art sollten die Mails aussehen. Ich werde auch gerade damit überflutet. Wie du erkennen kannst wurde irgendwas@deineDomain (und du hast nen wildcardeintrag angelegt und bekommst deshalb die emails auch, was auch gut ist) bzw. deine E-Mail Adresse als Return Path angegeben, daher kommen die Mails zurück. Bei received from siehst du von welchem Server sie kommen und anhand der Message-ID siehst du das der Hostname den Postfix verwendet www.tehnoblablaaaaaa.ru ist.

Wichtig ist, und ich habe es schon in die Klammer geschrieben, das du diese E-Mails NICHT bounced. Andernfalls kann es dir passieren, das du selbst auf einer der RBL's landest.

Ich setze seit geraumer Zeit das Sender Policy Framework (spf) für meine Domains und IPs ein. Leider prüfen nicht alle Mailserver die Einträge, aber bei einigen hilft es schon. Mir ist persönlich auch kein anderes Mittel dagegen bekannt, was hier funktionieren kann.

keving
23.06.15, 10:40
Also php mail log hab ich schon eingeschaltet hab auch den origin header dazu gepackt.
Ist bis heute morgen nix in der logdatei.
Und schon wieder emails. Also gehe ich sehr davon aus, das die einfach gefaked sind.
Hab meine email nun von der catchall runter genommen.
Danke dir

skneo
23.06.15, 10:26
phpsendmail log einschalten
http://php.net/manual/de/mail.config...p#ini.mail.log

In den E-Mail header schauen ob der erste Server deine IP-Adresse ist.

Wenn nicht dein Server sondern Fake mit spf einträgen Arbeiten bei manchen Providern Mail Gateways finden dann die falsche MX zu Domain und verweigern die Anahme.

keving
22.06.15, 22:38
Hallo,
Kann ich irgendwie verifizieren ob SPam Mails von meinem Server gesendet wurden anhand von Mail.logs?
Ich bekomm jetzt seit ein paar Tagen Mail Delivery failure emails wo meine domain als absender angegeben wird.
Diese werden wohl mit PHPMailer versendet, hab auch nichts der gleichen gefunden.
hab meinem Server auch eigentlich gut abgesichert.

Nun wollte ich sicher gehen, das diese mails nicht von meinem System ausgehen.

Freundliche Grüße
kevin