Mailingliste für Spam durchlässig nach Update von 10.0.x auf 10.1.3

  • Hallo,


    seit einem Update von Axigen 10.0.x auf 10.1.3 ist mindestens eine auf dem Server eingerichtete Mailingliste

    sporadisch für Spam durchlässig, trotz Einstellung "Messages can be posted by Subscribers and Moderator".

    Sämtliche Versuche mit selbst erstellten E-Mail, die von außerhalb an die Liste geschickt wurden, waren bislang

    erfolglos, d.h. sie wurden korrekterweise ignoriert.


    Bei den durchgelassenen E-Mails gibt es mehrere Muster:

    - gefälschte Absenderadresse der Zieldomain, z.B. Sophie@zieldomain.de

    - gefälschte Absenderadresse eines Alias der Zieldomain, z.B. Emma@aliasdomain.de

    - Absenderadresse ohne Bezug zur Zieldomain oder Aliasdomain


    Unten befindet sich exemplarisch eine E-Mail, die ohne Bezug weitergeleitet wurde. Die

    echten Domain- bzw Hostnamen wurden hierbei durch "zieldomain", "aliasdomain" und

    "hauptdomain" ersetzt.


    Zu beachten ist ggf. auch noch, dass "zieldomain" nicht die Hauptdomain des Server ist, sondern nur

    als zusätzliche Domain eingerichtet wurde.


    Um zu vermeiden, dass auf den Mailserver mit echten Benutzeraccounts Zugriffe von außen möglich sind,

    handelt es sich um einen zweistufigen Aufbau. Der exponierte Mailserver (mail-extern) führt die

    Spamklassifizierung durch und leitet alle E-Mails an den internen Server weiter. Dort erfolgen die

    Verarbeitung der Mainglisten und die Ausfilterung für Spam für die lokalen Accounts.



  • VIelen Dank! Wir analysieren das weiter. Unsere Erfahrung zeigt, dass diese Art von Spam zur Zeit viel häufiger versendet wird.


    Eigentlich sollten doch Mails von extern mit dem Absender einer internen Domain gar nicht erst angenommen werden? Zumindest nicht generell - Ausnahmen könnte man erlauben (wie z.B. Mails eines Webservers).


    Wir empfehlen dies generell zu unterbinden, nicht zuletzt wegen Backscattern. Hierzu kann man Mails mit "forged headers" aussortieren:

    https://www.axigen.com/knowled…h-forged-headers_245.html


    Das mögliche Problem in Ihrem Setup - nimmt der vorgelagerte Server alles für die Domain an? Dann sollte dieser schon ablehnen, kennt jedoch ggf. die Accounts auf dem Hauptserver nicht.

  • Vielen Dank für Ihre Antwort! Leider komme ich erst jetzt dazu, mich weiter um die Angelegenheit zu kümmern.

    Entsprechende Regeln, die dafür sorgen, dass E-Mails lokaler Domains aussortiert werden, wenn sie von außen

    von einem nicht authentisierten Nutzer kommen, hatte ich schon einmal erstellt, aber aus einem mir nicht

    mehr bekannten Grund wieder deaktivieren müssen.


    Nichtsdestotrotz darf der interne Mailserver aber keine E-Mails an die Mailinglisten weiterleiten, wenn sie von

    keinem Mitglied der jeweiligen Liste versandt wurden. Mittlerweile habe ich sowohl den Loglevel auf den

    Mailservern entsprechend hochgeschraubt (Protocol communication) als auch einen Mitschnitt der Netzwerk-

    kommunikation zwischen den beiden Mailservern mittels tcpdump aktiviert. Nun warte ich darauf, dass wieder

    eine E-Mail fälschlicherweise weitergeleitet wird. Möglicherweise sind im Envelope noch Informationen enthalten,

    die den Mailserver zur Weiterverbreitung veranlassen. Ein direkter Angriff auf die SMTP-Kommunikation lässt

    sich ausschließen, da ja jegliche Kommunikation über den externen Mailserver läuft.

  • So, nach nunmehr etlichen Stunden an Fehlersuche usw. habe ich mutmaßlich den Fehler gefunden. Hierbei

    handelt es sich definitiv um einen Bug in Axigen.


    Wird eine an eine Mailingliste gerichtete E-Mail als Spam klassifiziert, wird sie in den Spam-Ordner des Listenaccounts

    abgelegt, und zwar ohne Berücksichtigung der Konfiguration, dass nur Mitglieder und Moderatoren auf die Liste

    Zugriff haben. Schickt man als Nichtmitglied eine E-Mail an die Liste, die nicht als Spam klassifiziert wird, wird diese

    korrekterweise unterdrückt.


    Wenn dieser Spam-Ordner nicht existiert, erfolgt die Zustellung stattdessen in den Posteingang. Von dort

    wird die Nachricht dann an alle Listenteilnehmer verteilt. Nach dem manuellen Erstellen des Spam-Ordners (mit dem

    Namen SPAM) funktioniert das ganze voraussichtlich korrekt, d.h. es werden keine Spam-Nachrichten mehr

    weitergeleitet.


    Testweise habe ich mit der aktuellen Axigen-Version 10.1.4 eine neue Mailingliste angelegt. Auch bei dieser fehlt der

    Spam-Ordner und muss händisch angelegt werden.

  • Als Spamfilter verwenden wir Comtouch, allerdings auf dem vorgeschalteten externen Mailserver. Die Sortierung erfolgt auf dem

    internen Mailserver anhand des Headers "X-CTCH-Spam". Der zugehörige Eintrag in der wasieve-server.sieve lautet:


    ##Filter id=4 name="X-CTCH-Spam" enabled=1

    if anyof (

    header :contains ["X-CTCH-Spam"] ["Confirmed"],

    header :contains ["X-CTCH-Spam"] ["Bulk"]

    ) {

    fileinto "SPAM";

    stop;

    }

    Da aber durchaus auch automatisch Nachrichten im Papierkorb landen, greifen offenbar auch die anderen

    Regeln, die den Header "X-AxigenSpam-Level" auswerten. Dieser erscheint aber nicht mehr in den Headern

    der lesbaren Nachrichten. Kann es sein, dass Axigen diesen Header automatisch vor der internen Zustellung

    wieder entfernt?


    Oder gibt es noch eine Spam-Sortierung außerhalb der sieve-Filter?

    Etliche Spam-Nachrichten landen ja direkt im Papierkorb und zusätzlich im Spam-Ordner, letzteres vermutlich

    auf Grund des o.a. zusätzlichen Eintrags. Alle sieve-Filtereinträge enthalten aber jeweils eine "stop"-Anweisung,

    was ja eigentlich die Abarbeitung beenden sollte. Wie ich aber gerade festgestellt habe, gab es bei meinem

    regulären E-Mail-Account noch einen manuellen Eintrag, ebenfalls für den obigen "X-CTCH-Spam"-Header,

    den ich aber soeben entfernt habe. Kann dieser Eintrag bewirkt haben, dass es ggf. zwei Kopien der E-Mail in

    Spam und Trash gibt?