Heinlein Spamschutzregeln

classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

Heinlein Spamschutzregeln

Grooz, Marc (regio iT)
Hallo Zusammen,

Kennt jemand den Hintergrund dieser Spamschutzregeln? Hat Mircosoft da ein Problem? 

header HS_HEADER_389            From =~/^.*onmicrosoft\.com/
describe HS_HEADER_389          Heinlein Support Spamschutz Header-389 Spam
score HS_HEADER_389             7

header HS_HEADER_388            Return-Path =~/^.*onmicrosoft\.com/
describe HS_HEADER_388          Heinlein Support Spamschutz Header-388
score HS_HEADER_388             5

Vielen Dank.

Gruß Marc

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Peer Heinlein
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 13.06.2014 13:56, schrieb Grooz, Marc (regio iT):

Hi,

> Kennt jemand den Hintergrund dieser Spamschutzregeln? Hat Mircosoft
> da ein Problem?
>
> header HS_HEADER_389            From =~/^.*onmicrosoft\.com/
> describe HS_HEADER_389          Heinlein Support Spamschutz
> Header-389 Spam score HS_HEADER_389             7
>
> header HS_HEADER_388            Return-Path
> =~/^.*onmicrosoft\.com/ describe HS_HEADER_388          Heinlein
> Support Spamschutz Header-388 score HS_HEADER_388             5

Hmm, also wenn ich mir whois und DNS anschaue, dann sieht das nicht so
aus, als ob das benutzt wird. Die Domain hat noch nichtmal einen
SOA-Record.

Peer




- --
Heinlein Support GmbH
Schwedter Str. 8/9b, 10119 Berlin

http://www.heinlein-support.de

Tel: 030 / 405051-42
Fax: 030 / 405051-19

Zwangsangaben lt. §35a GmbHG: HRB 93818 B / Amtsgericht
Berlin-Charlottenburg,
Geschäftsführer: Peer Heinlein -- Sitz: Berlin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

iQEcBAEBAgAGBQJTmvb3AAoJEAOLLpq5E82HRjsIAJJfoKfC42/K0GS8jc6+YzuG
T+m78/SPsuXndFeNUawj8QlSSWFrDLx1FjHFg49ZdjQeR00GJ/qZXGALSJ4YFkCm
k8L0OwlvmxP4Gw++SGYFDgijt9wAHA7/TtcmpFg8pA/Rk18p2etHow2Wwzy/++hQ
h7pokFGMiZevf7neLC+FZH66B7doMmEyAiMXJiDllVAzphd9F4FElyL0+mJNhhLP
au+UeaVDFMCcDk1nMigkG/+mW3EymgQtC4/GjpxrPYu49DW5ByixGfgaWFpnFf79
uZ6vttl135SccMKgIbc+LwOnfKTHQ0TtCy6458+TlbvKDKRECd9oa695bfV38lU=
=kdUj
-----END PGP SIGNATURE-----
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Ralf Hildebrandt
> > header HS_HEADER_389            From =~/^.*onmicrosoft\.com/
> > describe HS_HEADER_389          Heinlein Support Spamschutz
> > Header-389 Spam score HS_HEADER_389             7
> >
> > header HS_HEADER_388            Return-Path
> > =~/^.*onmicrosoft\.com/ describe HS_HEADER_388          Heinlein
> > Support Spamschutz Header-388 score HS_HEADER_388             5
>
> Hmm, also wenn ich mir whois und DNS anschaue, dann sieht das nicht so
> aus, als ob das benutzt wird. Die Domain hat noch nichtmal einen
> SOA-Record.

Sicher eine Altlast.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Ralf Hildebrandt
* Ralf Hildebrandt <[hidden email]>:

> > > header HS_HEADER_389            From =~/^.*onmicrosoft\.com/
> > > describe HS_HEADER_389          Heinlein Support Spamschutz
> > > Header-389 Spam score HS_HEADER_389             7
> > >
> > > header HS_HEADER_388            Return-Path
> > > =~/^.*onmicrosoft\.com/ describe HS_HEADER_388          Heinlein
> > > Support Spamschutz Header-388 score HS_HEADER_388             5
> >
> > Hmm, also wenn ich mir whois und DNS anschaue, dann sieht das nicht so
> > aus, als ob das benutzt wird. Die Domain hat noch nichtmal einen
> > SOA-Record.
>
> Sicher eine Altlast.

https://productforums.google.com/forum/#!topic/gmail/3Y2JI3taD0E
https://isc.sans.edu/diary/New+spamming+technique+-+onmicrosoft.com/16841

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | http://www.charite.de
           
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Stefan Dorn-2
In reply to this post by Ralf Hildebrandt

Am 13.06.14 15:06, schrieb Ralf Hildebrandt:

>>> header HS_HEADER_389            From =~/^.*onmicrosoft\.com/
>>> describe HS_HEADER_389          Heinlein Support Spamschutz
>>> Header-389 Spam score HS_HEADER_389             7
>>>
>>> header HS_HEADER_388            Return-Path
>>> =~/^.*onmicrosoft\.com/ describe HS_HEADER_388          Heinlein
>>> Support Spamschutz Header-388 score HS_HEADER_388             5
>>
>> Hmm, also wenn ich mir whois und DNS anschaue, dann sieht das nicht so
>> aus, als ob das benutzt wird. Die Domain hat noch nichtmal einen
>> SOA-Record.
>
> Sicher eine Altlast.

DNS geht doch?

$ dig mx onmicrosoft.com +short
0 ns3.bdm.microsoftonline.com.
0 ns1.bdm.microsoftonline.com.

So wie ich das mitbekommen habe, wird die *.onmicrosoft.com als
Weiterleitungsadresse benutzt, wenn man Office365 einsetzt, aber z.B.
noch einen eigenen MX betreibt.
Also eigener MX nimmt mal an [hidden email] an und leitet weiter
an [hidden email].
Bei ausgehenden Mails von Office365 werden die From: und Return-Path:
Header wieder richtig auf die eigentliche Domain gesetzt
(meinedomain.tld). Deswegen kann es m.E. nicht sein, dass jemand eine
Email in die freie Wildbahn verschickt, in der in From: und Return-Path:
irgendwas mit "onmicrosoft.com" drin steht.

Ob die RegEx 100% korrekt ist, kann ich nicht beurteilen.

Gruß
Stefan


--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Grooz, Marc (regio iT)
Hallo Stefan,

Genau das ist es. Ich habe wohl genau so einen Fall. Im Header kommen die
Mails mit [hidden email] und werden nicht wieder auf die eigene
Domain [hidden email] umgesetzt???

Ich kann aber eine Mail an die „komische“ Adresse [hidden email]
senden und diese kommt auch beim User [hidden email] an!?

Das muss wohl ein Fehler von M$ sein.

Gruß Marc

Am 13.06.14 15:18 schrieb "Stefan Dorn" unter <[hidden email]>:

>
>Am 13.06.14 15:06, schrieb Ralf Hildebrandt:
>>>> header HS_HEADER_389            From =~/^.*onmicrosoft\.com/
>>>> describe HS_HEADER_389          Heinlein Support Spamschutz
>>>> Header-389 Spam score HS_HEADER_389             7
>>>>
>>>> header HS_HEADER_388            Return-Path
>>>> =~/^.*onmicrosoft\.com/ describe HS_HEADER_388          Heinlein
>>>> Support Spamschutz Header-388 score HS_HEADER_388             5
>>>
>>> Hmm, also wenn ich mir whois und DNS anschaue, dann sieht das nicht so
>>> aus, als ob das benutzt wird. Die Domain hat noch nichtmal einen
>>> SOA-Record.
>>
>> Sicher eine Altlast.
>
>DNS geht doch?
>
>$ dig mx onmicrosoft.com +short
>0 ns3.bdm.microsoftonline.com.
>0 ns1.bdm.microsoftonline.com.
>
>So wie ich das mitbekommen habe, wird die *.onmicrosoft.com als
>Weiterleitungsadresse benutzt, wenn man Office365 einsetzt, aber z.B.
>noch einen eigenen MX betreibt.
>Also eigener MX nimmt mal an [hidden email] an und leitet weiter
>an [hidden email].
>Bei ausgehenden Mails von Office365 werden die From: und Return-Path:
>Header wieder richtig auf die eigentliche Domain gesetzt
>(meinedomain.tld). Deswegen kann es m.E. nicht sein, dass jemand eine
>Email in die freie Wildbahn verschickt, in der in From: und Return-Path:
>irgendwas mit "onmicrosoft.com" drin steht.
>
>Ob die RegEx 100% korrekt ist, kann ich nicht beurteilen.
>
>Gruß
>Stefan
>
>
>--
>_______________________________________________
>Postfixbuch-users -- http://www.postfixbuch.de
>Heinlein Professional Linux Support GmbH
>
>[hidden email]
>https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Wolfgang Zeikat
In reply to this post by Stefan Dorn-2
Hi,

Stefan schrieb:

> Bei ausgehenden Mails von Office365 werden die From: und Return-Path:
> Header wieder richtig auf die eigentliche Domain gesetzt
> (meinedomain.tld). Deswegen kann es m.E. nicht sein, dass jemand eine
> Email in die freie Wildbahn verschickt, in der in From: und Return-Path:
> irgendwas mit "onmicrosoft.com" drin steht.

Weil, so schloss er messerscharf, nicht sein kann was nicht sein darf?. Gegenbeispiel von vorgestern (local Adressteil von mir getarnt):

Return-Path: <[hidden email]>
...
Received: from emea01-db3-obe.outbound.protection.outlook.com (mail-db3hn0252.outbound.protection.outlook.com [157.55.234.252])
        (using TLSv1 with cipher AES128-SHA (128/128 bits))
        (No client certificate requested)
        by smtp1.desy.de (DESY-SMTP1) with ESMTPS id B9C75C9F
        for <[hidden email]>; Wed, 11 Jun 2014 19:32:14 +0200 (MEST)
Received: from [172.16.10.7] (37.0.123.180) by
 DB4PR04MB0606.eurprd04.prod.outlook.com (10.242.195.154) with Microsoft SMTP
 Server (TLS) id 15.0.954.9; Wed, 11 Jun 2014 17:32:12 +0000
Content-Type: text/plain; charset="iso-8859-1"
MIME-Version: 1.0
Content-Transfer-Encoding: quoted-printable
Content-Description: Mail message body
Subject: Portfolio
To: Recipients <[hidden email]>
From: Peter <[hidden email]>
Date: Wed, 11 Jun 2014 19:31:52 +0200
Reply-To: <[hidden email]>
Message-ID: <[hidden email]>
...
X-OriginatorOrg: gonp.onmicrosoft.com

Bei uns gehen täglich Spams von *.onmicrosoft.com-Adressen via outlook.com-Server ein ...

Wir setzen allerdings weniger heftige Scores deswegen ein ...

Hope this helps,

wolfgang

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Wolfgang Zeikat
Ich schrieb:

> Bei uns gehen täglich Spams von *.onmicrosoft.com-Adressen via
> outlook.com-Server ein ...
>
> Wir setzen allerdings weniger heftige Scores deswegen ein ...

Denn es gehen ebenso täglich erwünschte HAM-Mails von Geschäftspartnern ein, die ebenfalls @<subdomain>.onmicrosoft.com verwenden.

>
> Hope this helps,
>
> wolfgang
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Stefan Dorn-2
In reply to this post by Wolfgang Zeikat

Am 13.06.14 15:30, schrieb Zeikat, Wolfgang:
>
> Stefan schrieb:
>> Bei ausgehenden Mails von Office365 werden die From: und Return-Path:
>> Header wieder richtig auf die eigentliche Domain gesetzt
>> (meinedomain.tld). Deswegen kann es m.E. nicht sein, dass jemand eine
>> Email in die freie Wildbahn verschickt, in der in From: und Return-Path:
>> irgendwas mit "onmicrosoft.com" drin steht.
>
> Weil, so schloss er messerscharf, nicht sein kann was nicht sein darf?.

OK Korrektur - "deswegen *darf* es m.E. nicht sein, dass..." ;-)

> Gegenbeispiel von vorgestern (local Adressteil von mir getarnt):
>
> Return-Path: <[hidden email]>
> ...
> From: Peter <[hidden email]>
>
> Bei uns gehen täglich Spams von *.onmicrosoft.com-Adressen via outlook.com-Server ein ...

Gibt ja kostenlos das 30 Tag-Test-Spam-Konto bei o365 ;-)

> Wir setzen allerdings weniger heftige Scores deswegen ein ...

Macht Sinn, solange M$ erlaubt, mit diesen Subdomains Mails raus zu
schicken. Aber wenn "echte" Nutzer von o365 sowas machen, dürfte das
doch eher eine Fehlkonfiguration sein, oder? Ich hab den Kram noch nie
ausprobiert.

Gruß
Stefan
--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
Reply | Threaded
Open this post in threaded view
|

Re: Heinlein Spamschutzregeln

Jens Adam
In reply to this post by Wolfgang Zeikat
Fri, 13 Jun 2014 15:51:54 +0200 (CEST)
"Zeikat, Wolfgang" <[hidden email]>:

> Denn es gehen ebenso täglich erwünschte HAM-Mails von Geschäftspartnern
> ein, die ebenfalls @<subdomain>.onmicrosoft.com verwenden.

Insgesamt hat das Volumen dieser Masche bei uns in den letzten Monaten
ziemlich abgenommen, aber ganz Murphy-like kam natürlich genau dann noch
mal einer rein, als ich den header_check schon wieder rausgenommen hatte.

 /^To: Recipients <[[:graph:]]+@[[:alnum:]]+\.onmicrosoft\.com>$/  REJECT

Bisher hab ich immer nur dieses unspezifische "Recipients" plus Absender =
Empfänger in den Headern gesehen, von daher mache ich mir da keine Sorgen
bzgl. Ham.

Gruß,
Jens

--
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de
Heinlein Professional Linux Support GmbH

[hidden email]
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

signature.asc (465 bytes) Download Attachment