Mailingliste für Spam durchlässig nach Update von 10.0.x auf 10.1.3

schweigstill · 26. Juli 2017

Hallo,

seit einem Update von Axigen 10.0.x auf 10.1.3 ist mindestens eine auf dem Server eingerichtete Mailingliste

sporadisch für Spam durchlässig, trotz Einstellung "Messages can be posted by Subscribers and Moderator".

Sämtliche Versuche mit selbst erstellten E-Mail, die von außerhalb an die Liste geschickt wurden, waren bislang

erfolglos, d.h. sie wurden korrekterweise ignoriert.

Bei den durchgelassenen E-Mails gibt es mehrere Muster:

- gefälschte Absenderadresse der Zieldomain, z.B. Sophie@zieldomain.de

- gefälschte Absenderadresse eines Alias der Zieldomain, z.B. Emma@aliasdomain.de

- Absenderadresse ohne Bezug zur Zieldomain oder Aliasdomain

Unten befindet sich exemplarisch eine E-Mail, die ohne Bezug weitergeleitet wurde. Die

echten Domain- bzw Hostnamen wurden hierbei durch "zieldomain", "aliasdomain" und

"hauptdomain" ersetzt.

Zu beachten ist ggf. auch noch, dass "zieldomain" nicht die Hauptdomain des Server ist, sondern nur

als zusätzliche Domain eingerichtet wurde.

Um zu vermeiden, dass auf den Mailserver mit echten Benutzeraccounts Zugriffe von außen möglich sind,

handelt es sich um einen zweistufigen Aufbau. Der exponierte Mailserver (mail-extern) führt die

Spamklassifizierung durch und leitet alle E-Mails an den internen Server weiter. Dort erfolgen die

Verarbeitung der Mainglisten und die Ausfilterung für Spam für die lokalen Accounts.

Code

Return-Path: <Emma@aliasdomain.de>
Received: from kitz.hauptdomain.de (192.168.16.43) by mailserver (Axigen)
 with ESMTP id 2233BE; Wed, 26 Jul 2017 15:29:35 +0200
Received: from [179.7.42.37] (179.7.42.37) by mail-extern (Axigen)
 with ESMTP id 045CD0; Wed, 26 Jul 2017 15:29:34 +0200
Message-ID: <96001919342694CEA7B8C11D2C7345EA@aliasdomain.de>
From: "Emma" <Emma@aliasdomain.de>
To: "mivoki" <mivoki@aliasdomain.de>
Subject: Emailing: 3318184
Date: Wed, 26 Jul 2017 08:29:33 -0500
MIME-Version: 1.0
Content-Type: multipart/mixed;
	boundary="----=_NextPart_000_0003_894CF357.3C8EA1EB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5931
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.6157
X-CTCH-RefID: str=0001.0A0C0202.59789940.006A,ss=3,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=3,cl=3,cld=1,fgs=2147483648
X-CTCH-VOD: Virus
X-CTCH-Spam: Bulk

This is a multi-part message in MIME format.

------=_NextPart_000_0003_894CF357.3C8EA1EB
Content-Type: multipart/alternative;
	boundary="----=_NextPart_001_0004_894CF357.3C8EA1EB"


------=_NextPart_001_0004_894CF357.3C8EA1EB
Content-Type: text/plain;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


The message is ready to be sent with the following file or link =
attachments:

3318184

Note: To protect against computer viruses, e-mail programs may prevent =
sending or receiving certain types of file attachments.  Check your =
e-mail security settings to determine how attachments are handled.
------=_NextPart_001_0004_894CF357.3C8EA1EB
Content-Type: text/html;
	charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=3D"text/html; charset=3Diso-8859-1" =
http-equiv=3DContent-Type>
<META name=3DGENERATOR content=3D"MSHTML 8.00.6001.19170">
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV>&nbsp;</DIV>The message is ready to be sent with the following file =
or link=20
attachments:<BR>3318184<BR><BR>Note: To protect against computer =
viruses,=20
e-mail programs may prevent sending or receiving certain types of file=20
attachments.&nbsp; Check your e-mail security settings to determine how=20
attachments are handled.</BODY></HTML>

------=_NextPart_001_0004_894CF357.3C8EA1EB--

------=_NextPart_000_0003_894CF357.3C8EA1EB
Content-Type: application/zip;
	name="3318184.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
	filename="3318184.zip"
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=

------=_NextPart_000_0003_894CF357.3C8EA1EB--

Alles anzeigen

Code

Return-Path: <vm71956@thecreativecompany.co.uk>
Received: from kitz.hauptdomain.de (192.168.16.43) by mailserver (Axigen)
 with ESMTP id 1D5CD8; Mon, 24 Jul 2017 12:37:18 +0200
Received: from abts-north-dynamic-115.248.161.122.airtelbroadband.in
 (122.161.248.115) by mail-extern (Axigen) with ESMTP id 2263CF;
 Mon, 24 Jul 2017 12:37:19 +0200
Date: Mon, 24 Jul 2017 16:07:29 +0530
Subject: Voice Message Attached from 01257707266 - name unavailable
To: "mivoki" <mivoki@zieldomain.de>
From: <vm71956@thecreativecompany.co.uk>
MIME-Version: 1.0
Content-Type: multipart/mixed;
  boundary="-------------------bOuNdArY-------------------"
Content-Transfer-Encoding: 7bit
Message-Id: <E1cxyRv-607865-E9@tra-vmail-01>
X-CTCH-RefID: str=0001.0A0C0208.5975CDDF.012A,ss=4,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=2,pt=R_604882,cl=4,cld=1,fgs=12
X-CTCH-VOD: High
X-CTCH-Spam: Confirmed

---------------------bOuNdArY-------------------
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding:quoted-printable

Time: 21-Jul-2017 10:15:23
Click attachment to listen to Voice Message
---------------------bOuNdArY-------------------
Content-Type: application/octet-stream;
  name="01257707266_1864488_048305.zip"
Content-Disposition: attachment; filename="01257707266_1864488_048305.zip"
Content-Transfer-Encoding: Base64
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---------------------bOuNdArY---------------------

Alles anzeigen

huestel · 4. August 2017

VIelen Dank! Wir analysieren das weiter. Unsere Erfahrung zeigt, dass diese Art von Spam zur Zeit viel häufiger versendet wird.

Eigentlich sollten doch Mails von extern mit dem Absender einer internen Domain gar nicht erst angenommen werden? Zumindest nicht generell - Ausnahmen könnte man erlauben (wie z.B. Mails eines Webservers).

Wir empfehlen dies generell zu unterbinden, nicht zuletzt wegen Backscattern. Hierzu kann man Mails mit "forged headers" aussortieren:

https://www.axigen.com/knowled…h-forged-headers_245.html

Das mögliche Problem in Ihrem Setup - nimmt der vorgelagerte Server alles für die Domain an? Dann sollte dieser schon ablehnen, kennt jedoch ggf. die Accounts auf dem Hauptserver nicht.

schweigstill · 17. August 2017

Vielen Dank für Ihre Antwort! Leider komme ich erst jetzt dazu, mich weiter um die Angelegenheit zu kümmern.

Entsprechende Regeln, die dafür sorgen, dass E-Mails lokaler Domains aussortiert werden, wenn sie von außen

von einem nicht authentisierten Nutzer kommen, hatte ich schon einmal erstellt, aber aus einem mir nicht

mehr bekannten Grund wieder deaktivieren müssen.

Nichtsdestotrotz darf der interne Mailserver aber keine E-Mails an die Mailinglisten weiterleiten, wenn sie von

keinem Mitglied der jeweiligen Liste versandt wurden. Mittlerweile habe ich sowohl den Loglevel auf den

Mailservern entsprechend hochgeschraubt (Protocol communication) als auch einen Mitschnitt der Netzwerk-

kommunikation zwischen den beiden Mailservern mittels tcpdump aktiviert. Nun warte ich darauf, dass wieder

eine E-Mail fälschlicherweise weitergeleitet wird. Möglicherweise sind im Envelope noch Informationen enthalten,

die den Mailserver zur Weiterverbreitung veranlassen. Ein direkter Angriff auf die SMTP-Kommunikation lässt

sich ausschließen, da ja jegliche Kommunikation über den externen Mailserver läuft.

schweigstill · 17. August 2017

So, nach nunmehr etlichen Stunden an Fehlersuche usw. habe ich mutmaßlich den Fehler gefunden. Hierbei

handelt es sich definitiv um einen Bug in Axigen.

Wird eine an eine Mailingliste gerichtete E-Mail als Spam klassifiziert, wird sie in den Spam-Ordner des Listenaccounts

abgelegt, und zwar ohne Berücksichtigung der Konfiguration, dass nur Mitglieder und Moderatoren auf die Liste

Zugriff haben. Schickt man als Nichtmitglied eine E-Mail an die Liste, die nicht als Spam klassifiziert wird, wird diese

korrekterweise unterdrückt.

Wenn dieser Spam-Ordner nicht existiert, erfolgt die Zustellung stattdessen in den Posteingang. Von dort

wird die Nachricht dann an alle Listenteilnehmer verteilt. Nach dem manuellen Erstellen des Spam-Ordners (mit dem

Namen SPAM) funktioniert das ganze voraussichtlich korrekt, d.h. es werden keine Spam-Nachrichten mehr

weitergeleitet.

Testweise habe ich mit der aktuellen Axigen-Version 10.1.4 eine neue Mailingliste angelegt. Auch bei dieser fehlt der

Spam-Ordner und muss händisch angelegt werden.

huestel · 18. August 2017

Vielen Dank für die ausführlichen Informationen. Wir versuchen es nachzustellen.

Welcher Spamfilter ist im Einsatz? Bzw. wie wird die Einsortierung nach "Spam" realisiert?

schweigstill · 19. August 2017

Als Spamfilter verwenden wir Comtouch, allerdings auf dem vorgeschalteten externen Mailserver. Die Sortierung erfolgt auf dem

internen Mailserver anhand des Headers "X-CTCH-Spam". Der zugehörige Eintrag in der wasieve-server.sieve lautet:

##Filter id=4 name="X-CTCH-Spam" enabled=1

if anyof (

header :contains ["X-CTCH-Spam"] ["Confirmed"],

header :contains ["X-CTCH-Spam"] ["Bulk"]

) {

fileinto "SPAM";

stop;

}

Da aber durchaus auch automatisch Nachrichten im Papierkorb landen, greifen offenbar auch die anderen

Regeln, die den Header "X-AxigenSpam-Level" auswerten. Dieser erscheint aber nicht mehr in den Headern

der lesbaren Nachrichten. Kann es sein, dass Axigen diesen Header automatisch vor der internen Zustellung

wieder entfernt?

Oder gibt es noch eine Spam-Sortierung außerhalb der sieve-Filter?

Etliche Spam-Nachrichten landen ja direkt im Papierkorb und zusätzlich im Spam-Ordner, letzteres vermutlich

auf Grund des o.a. zusätzlichen Eintrags. Alle sieve-Filtereinträge enthalten aber jeweils eine "stop"-Anweisung,

was ja eigentlich die Abarbeitung beenden sollte. Wie ich aber gerade festgestellt habe, gab es bei meinem

regulären E-Mail-Account noch einen manuellen Eintrag, ebenfalls für den obigen "X-CTCH-Spam"-Header,

den ich aber soeben entfernt habe. Kann dieser Eintrag bewirkt haben, dass es ggf. zwei Kopien der E-Mail in

Spam und Trash gibt?

Teilen