abuse-Reporting verbessern

classic Classic list List threaded Threaded
11 messages Options
Reply | Threaded
Open this post in threaded view
|

abuse-Reporting verbessern

Patrick Ben Koetter-2
Postmaster aufgepasst!

Ihr wollt *bitte* die Absenderadresse [hidden email]
whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr
hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller
einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.

Danke

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

J. Fahrner
Am 2018-09-11 12:06, schrieb Patrick Ben Koetter:
> Ihr wollt *bitte* die Absenderadresse [hidden email]
> whitelisten.

Wozu whitelisten? Werden deren Mails so leicht mit Spam verwechselt? :-D
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Kai Fürstenberg
In reply to this post by Patrick Ben Koetter-2
Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
> Postmaster aufgepasst!
>
> Ihr wollt *bitte* die Absenderadresse [hidden email]
> whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr
> hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller
> einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.

Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach
durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee,
is klar.

Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse
whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?

Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den
übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die
Absenderadresse...?

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Patrick Ben Koetter-2
* Kai Fürstenberg <[hidden email]>:

> Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
> > Postmaster aufgepasst!
> >
> > Ihr wollt *bitte* die Absenderadresse [hidden email]
> > whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr
> > hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller
> > einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
>
> Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach
> durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee,
> is klar.
>
> Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse
> whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?

Ich sehe das ähnlich kritisch und habe noch keine zufriedenstellende Antwort
darauf.

> Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den
> übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die
> Absenderadresse...?

Ich frag mal nach.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Patrick Ben Koetter-2
In reply to this post by Kai Fürstenberg
* Kai Fürstenberg <[hidden email]>:

> Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
> > Postmaster aufgepasst!
> >
> > Ihr wollt *bitte* die Absenderadresse [hidden email]
> > whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr
> > hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller
> > einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
>
> Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach
> durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee,
> is klar.
>
> Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse
> whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
>
> Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den
> übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die
> Absenderadresse...?

Die Mails von [hidden email] werden über den Host
reportsmx.cert-bund.de versendet. Er besitzt eine IPv4, die ihr whitelisten
könnt. Eine IPv6 besitzt er nicht:

[p@x1 ~]$ dig A reportsmx.cert-bund.de +short
194.94.208.36
[p@x1 ~]$ dig AAAA reportsmx.cert-bund.de +short

Die Domain hat zusätzlich einen SPF-Record, der auch auf den
reportsmx.cert-bund.de verweist:

[p@x1 ~]$ dig TXT reports.cert-bund.de +short
"google-site-verification=COs-ESeFBr7uef1s5FdHsK6KdAyfro5pSH3mQP-clBY"
"v=spf1 mx ip4:194.94.208.36 -all"

Wer die Envelope-Sender-Adresse in der Postfix SMTP Session whitelisten möchte
kann das wie folgt (Beispiel) tun:

smtpd_sender_restrictions=
    ...
    hash:/etc/postfix/cert-bund

Und dann in /etc/postfix/cert-bund:
[hidden email]        OK

Wer die Adresse in SpamAssassin whitelisten möchte trägt z.b. in die local.cf
folgendes ein:

whitelist_from_rcvd [hidden email] reportsmx.cert-bund.de

Damit werden E-Mails gewhitelistet, die über den Host reportsmx.cert-bund.de
versendet wurden *und* die von der Absenderadresse
[hidden email] stammen.

p@rick

--
[*] sys4 AG
 
https://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG,80333 München
 
Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer, Wolfgang Stief
Aufsichtsratsvorsitzender: Florian Kirstein
 
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Martin Steigerwald
Patrick Ben Koetter - 11.09.18, 13:36:
> Damit werden E-Mails gewhitelistet, die über den Host
> reportsmx.cert-bund.de versendet wurden *und* die von der
> Absenderadresse
> [hidden email] stammen.

Ja, aber wozu?

Sofern von dort kein Spam kommt, kassiert das mein Spam-Filter-Setup
auch nicht ein. Ich gehe mal schwer davon aus, dass rspamd einen Abuse
Report und eine Spam-Mail auseinander halten kann. Und Postscreen dürfte
keinen Ärger machen, wenn der Mailserver des BSI auf keinen Blacklisten
bzw. vielleicht dort sogar gewhitelistet ist.

Warum sollte ich also diese Mail-Quelle whitelisten und nicht auch noch
wer weiß was für andere (legitime) Quellen von denen Abuse Reports
kommen könnten? Nur weil das eine Behörde ist?

Danke,
--
Martin


Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

J. Fahrner
In reply to this post by Kai Fürstenberg
Am 2018-09-11 12:56, schrieb Kai Fürstenberg:
> Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse
> whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?

Dafür hat rspamd ein schönes Feature: man kann whitelists von anderen
Symbolen abhängig machen, z.B. dass der Absender SPF-verifiziert wurde.

Beispiel:

# local.d/multimap.conf
FROM_WHITELISTED {
   require_symbols = "R_SPF_ALLOW & !MAILLIST";
   type = "from";
   map = "/some/list";
}
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Christian Bricart
In reply to this post by Martin Steigerwald
Am 2018-09-11 14:23, schrieb Martin Steigerwald:
> [..]  Nur weil das eine Behörde ist?

Moment - wenn es eine Behörde ist, dann wollen die doch *eigentlich*
FAXen ... ;)

SCNR
   Christian
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Robert Schetterer-2
In reply to this post by Patrick Ben Koetter-2
Am 11.09.2018 um 13:36 schrieb Patrick Ben Koetter:

> * Kai Fürstenberg <[hidden email]>:
>> Am 11.09.2018 um 12:06 schrieb Patrick Ben Koetter:
>>> Postmaster aufgepasst!
>>>
>>> Ihr wollt *bitte* die Absenderadresse [hidden email]
>>> whitelisten. So kann das Cert Bund Euch und den Ownern von Domains, die ihr
>>> hostet, abuse-Nachrichten zusenden. Damit helft ihr abuse wirkungsvoller
>>> einzudämmen. Das BSI bittet darum, dieses whitelisting einzubauen.
>>
>> Dann soll ich also den nächsten Casino-Spam aus der Ukraine einfach
>> durchlassen, wenn diese Adresse als Absender verwendet wird, ... ja nee,
>> is klar.
>>
>> Jetzt aber mal ehrlich. Warum bitte sollte ich eine Absenderadresse
>> whitelisten, wo doch bekannt ist, dass Adressen gefälscht sein können?
>>
>> Den zugehörigen Host kann ich im Postscreen whitelisten und auch von den
>> übrigen checks ausnehmen. Habe ich kein Problem mit. Aber die
>> Absenderadresse...?
>
> Die Mails von [hidden email] werden über den Host
> reportsmx.cert-bund.de versendet. Er besitzt eine IPv4, die ihr whitelisten
> könnt. Eine IPv6 besitzt er nicht:
>
> [p@x1 ~]$ dig A reportsmx.cert-bund.de +short
> 194.94.208.36
> [p@x1 ~]$ dig AAAA reportsmx.cert-bund.de +short
>
> Die Domain hat zusätzlich einen SPF-Record, der auch auf den
> reportsmx.cert-bund.de verweist:
>
> [p@x1 ~]$ dig TXT reports.cert-bund.de +short
> "google-site-verification=COs-ESeFBr7uef1s5FdHsK6KdAyfro5pSH3mQP-clBY"
> "v=spf1 mx ip4:194.94.208.36 -all"
>
> Wer die Envelope-Sender-Adresse in der Postfix SMTP Session whitelisten möchte
> kann das wie folgt (Beispiel) tun:
>
> smtpd_sender_restrictions=
>     ...
>     hash:/etc/postfix/cert-bund
>
> Und dann in /etc/postfix/cert-bund:
> [hidden email]        OK
>
> Wer die Adresse in SpamAssassin whitelisten möchte trägt z.b. in die local.cf
> folgendes ein:
>
> whitelist_from_rcvd [hidden email] reportsmx.cert-bund.de
>
> Damit werden E-Mails gewhitelistet, die über den Host reportsmx.cert-bund.de
> versendet wurden *und* die von der Absenderadresse
> [hidden email] stammen.
>
> p@rick
>

whitelisting ist kein Problem, hoffentlich lohnt es sich dann am Schluss
auch.....


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

Walter H.
In reply to this post by Patrick Ben Koetter-2
On 11.09.2018 12:06, Patrick Ben Koetter wrote:
Postmaster aufgepasst!

Ihr wollt *bitte* die Absenderadresse [hidden email]
whitelisten. 
irgendwie ein Widerspruch; nicht mir soll man abuse Dritter schicken,
sondern ich hätte gerne was wohin ich Abuse¹-Meldungen durch Dritte schicken kann,
wo sich auch jemand darum kümmert, und nicht der Eindruck entsteht, daß es gegen /dev/null geht ...

¹ Abuse der sich nicht auf SMTP beschränkt ...

ob es um sowas im /var/log/maillog
Sep 10 00:30:33 vhost01 postfix/smtpd[18678]: NOQUEUE: reject: MAIL from mail.bioltec.de[109.199.169.90]: 554 5.7.1 [hidden email]: Sender address rejected: Domain (gmail.com) blocked; from=[hidden email] proto=ESMTP helo=<mail.bioltec.de>

oder sowas im /var/log/httpd/access.log
185.81.157.108 - - [09/Sep/2018:04:27:16 +0200] "GET /rxr.php?rxr HTTP/1.1" 403 255 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:21 +0200] "POST /index.php?option=com_jdownloads&Itemid=0&view=upload HTTP/1.1" 403 302 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:26 +0200] "GET /images/jdownloads/screenshots/rxrking.php3.g?rxr HTTP/1.1" 403 255 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:31 +0200] "GET /components/com_jbcatalog/libraries/jsupload/ HTTP/1.1" 403 251 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:36 +0200] "POST /index.php?option=com_b2jcontact&view=loader&type=uploader&owner=component&bid=1&qqfile=/../../../RxR_1536452035.php HTTP/1.1" 403 377 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:41 +0200] "GET /components/RxR_1536452035.php HTTP/1.1" 403 251 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:47 +0200] "GET /index.php?option=com_fabrik&format=raw&task=plugin.pluginAjax&plugin=fileupload&method=ajax_upload HTTP/1.1" 403 356 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:52 +0200] "GET /index.php?option=com_adsmanager&task=upload&tmpl=component HTTP/1.1" 403 308 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:27:57 +0200] "GET /index.php?option=com_myblog&task=ajaxupload HTTP/1.1" 403 289 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:28:02 +0200] "GET /components/com_hdflvplayer/hdflvplayer/download.php?f=../../../configuration.php HTTP/1.1" 403 280 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:28:07 +0200] "GET /index.php?option=com_macgallery&view=download&albumid=../../configuration.php HTTP/1.1" 403 327 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:28:12 +0200] "GET /index.php?option=com_joomanager&controller=details&task=download&path=configuration.php HTTP/1.1" 403 341 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:28:17 +0200] "GET /index.php?option=com_jtagmembersdirectory&task=attachment&download_file=/../../../../configuration.php HTTP/1.1" 403 352 "-" "python-requests/2.19.1"
185.81.157.108 - - [09/Sep/2018:04:28:22 +0200] "GET /index.php?option=com_facegallery&task=imageDownload&img_name=../../configuration.php HTTP/1.1" 403 334 "-" "python-requests/2.19.1"

geht, spielt dabei keine Rolle ...

Grüße,
Walter


smime.p7s (4K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: abuse-Reporting verbessern

J. Fahrner

Am 2018-09-12 14:01, schrieb Walter H.:

irgendwie ein Widerspruch; nicht mir soll man abuse Dritter schicken,
sondern ich hätte gerne was wohin ich Abuse¹-Meldungen durch Dritte schicken kann,
wo sich auch jemand darum kümmert, und nicht der Eindruck entsteht, daß es gegen /dev/null geht ...

¹ Abuse der sich nicht auf SMTP beschränkt ...

+1