96449
Goto Top

Frage SMTP Dialog via Telnet:25 mit Hoster

Schönen guten Tag Community

Ein Kunde hat mich Heute angerufen und sich über SPAM Mails beklagt mit Viren Inhalt.
Da auf dem PC kein Virus oder Trojaner gefunden wurde, habe ich etwas weiter gesucht.

Absender / Empfänger ist derselbe oder eine andere interne Adresse.

Den Test habe ich von Extern ausgeführt.

Ich öffne Putty und verbinde auf mail.domain.com (Mailserver gehosted bei hoststar.ch)

Folgender Dialog:

220 tuxxyz.hoststar.ch ESMTP Sendmail 8.14.9/8.12.11; Fri, 13 May 2016 10:16:12 +0200
**EHLO office.domain.com**
250-tuxxyz.hoststar.ch Hello **Meine IP Adresse**, pleased to meet you
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-8BITMIME
250-SIZE 52430000
250-DSN
250-AUTH LOGIN PLAIN
250-STARTTLS
250-DELIVERBY
250 HELP
**mail from: test@domain.com**
250 2.1.0 test@domain.com... Sender ok
**rcpt to: mailboxuser@domain.com**
250 2.1.5 mailboxuser@domain.com... Recipient ok
Data
354 Enter mail, end with "." on a line by itself  
**dies ist ein test...bitte löschen..
.**
250 2.0.0 u4D8GCoK020497 Message accepted for delivery

Das Email kommt im Postfach an..

Der Benutzer test@domain.com (gibt es nicht als Mailbox) wird akzeptiert test2@domain.com oder ähnliches geht nicht.
Alle anderen Benutzer mit Mailbox werden auch als Sender akzeptiert.
Ein Relaying auf eine andere Domain ist nicht möglich.

Ich habe den Hoster kontaktiert und habe ihm gesagt, was im SMTP Dialog steht.
Er meinte, dass das Email Spoofing von einem externen Server stattfindet und dass das normal ist.
Ein SPF Record ist eingetragen laut Aussage. Wenn ich mit mxtoolbox einen SPF Check mache bekommei ch folgendes:


Wenn ich das ganze auf 2-3 anderen Email Server teste, wird die Session schon nach der ersten Helo / Ehlo eingabe abgeblockt
oder spätestens beim "RCPT TO:" mit einem "Relaying not Allowed"

Für mich heisst das, dass die einzige "Sicherheitsüberprüfung" die internen Email Adressen sind.
Aus meiner Sicht ist die Aussage bzgl. Email Spoofing zwar die Ursache aber nicht der Grund des Problems.
Die Aussage vom Support, dass dies normal sei, irritiert mich einwenig.

Was denkt Ihr darüber?

Vielen Dank für die Hilfe!

Various5
spf

Content-Key: 304426

Url: https://administrator.de/contentid/304426

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: GuentherH
GuentherH 13.05.2016 um 11:40:57 Uhr
Goto Top
Die Aussage vom Support, dass dies normal sei, irritiert mich einwenig.

Braucht dich nicht irritieren, das ist so. Wie soll der Mailserver ansonsten Mails annehmen. Wenn die Mail an deine Domäne geht, dann muss es der Mailserver einmal annehmen, egal ob der Absender falsch ist oder nicht.

Was dann geschieht, das ist Sache des SPAM Filter.

LG Günther
Mitglied: Lochkartenstanzer
Lochkartenstanzer 13.05.2016 um 12:20:37 Uhr
Goto Top
Zitat von @GuentherH:

Braucht dich nicht irritieren, das ist so. Wie soll der Mailserver ansonsten Mails annehmen. Wenn die Mail an deine Domäne geht, dann muss es der Mailserver einmal annehmen, egal ob der Absender falsch ist oder nicht.


aber nicht, wenn der Absender vorgibt, aus derselben Maildomain zu stammen. Dann sollte zumindest überprüft werden, ob er aus einem IP-bereich kommt, der cdas versenden mit der lokalen domain als Absender erlaubt wird oder eine andere Art der Authentifikation stattfinden.

Sofern die Kiste bei einem externen hoster steht ist das imho auf jeden Fall eine Fehlkonfiguration.

Dann sollte die Kiste zumindest so eingestellt sein, daß sie Mails mit Absender von der lokalen Domain nru authentifiziert annimmt.

lks
Mitglied: 96449
96449 13.05.2016 um 13:15:47 Uhr
Goto Top
Hallo Günther
Hallo lks

Das is das, was mich verunsichert, dass nicht mal von extern->intern eine Authentifizierung benötigt wird, ausser die bestehenden Mailkonten oder der testaccount.

Vielen Dank für die Infos!

Various5
Mitglied: Chonta
Chonta 13.05.2016 aktualisiert um 14:59:50 Uhr
Goto Top
Hallo,

also ein Mailserver OHNE Spamfilter nimmt über SMTP alle Mails an, die an eine Domain gesendet werden für die er zuständig ist und der Empfänger auch existiert.
Einige nehmen auch für nicht existierende mit Status ok an und geben dan einen NDR oder nix.

Eine Autentifizierung kommt normalerweise erst dann zum tragen, wenn man über diesen Mailserver per SMTP Mails versenden will.

Einfachmal über telnet mails an den Server direkt zustellen über die externe IP mit jedem belibigen Absender.

Gruß

Chonta

Nachtrag: Um zu sehen von wo die Spams kamen mus der Header der Mails durchgesehen werden, dann kann man auch chekcen woher die kamen.
Mitglied: Henere
Henere 14.05.2016 um 02:18:48 Uhr
Goto Top
Schau mal hier, hatte das gleiche Problem.

Mail von eigener Domain - trotz SPF

Grüße, Henere