wie kann ich senden an eine domain (yahoo.com) unterbinden?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
10 messages Options
Reply | Threaded
Open this post in threaded view
|

wie kann ich senden an eine domain (yahoo.com) unterbinden?

robert@redo2oo.ch
Hoi zäme,

seite einigen tagen wird (wurde ?) schubweise massenmails über meinen
server verschickt.

Ich bin am untersuchen, wie das möglich ist.

Nun möchte ich als erstes all mails an yahoo.com unterbinden.

Wie mache ich das?


Folgendes habe ich unternommen, scheint aber noch nicht zu nützen:


in main.cf habe ich die Zeile

check_client_access hash:/etc/postfix/client_checks

eingetragen wie folgt:

smtpd_recipient_restrictions =
     reject_invalid_hostname,
     reject_unknown_sender_domain,
     reject_unknown_recipient_domain,
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_non_fqdn_sender,
#    reject_non_fqdn_hostname,
#    reject_non_fqdn_helo_hostname,
     reject_invalid_helo_hostname
     reject_unauth_destination
     # robert spf policy
     check_policy_service unix:private/policy-spf
     reject_non_fqdn_recipient,
     reject_unlisted_recipient,
     reject_rbl_client dnsbl.inps.de,
     reject_rbl_client zen.spamhaus.org,
     reject_rbl_client bl.spamcop.net,
     # robert
     check_client_access hash:/etc/postfix/client_checks
     permit

die datei /etc/postfix/client_checks hat folgenden Inhalt:

yahoo.com REJECT
yahoo.ca REJECT
yahoodns.net REJECT


anschliessend:

postmap client_checks
service postfix reload


das scheint aber noch nicht zu genügen. mails an [hidden email] werden
immer noch verschickt.


Ich bin für tips und pointers zu tutorials oder so sehr dankbar.

mit freundlichen Grüssen

Robert


Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Winfried Neessen
Hi,

Am 12.10.2017 um 09:57 schrieb [hidden email]:

> smtpd_recipient_restrictions =
>     reject_invalid_hostname,
>     reject_unknown_sender_domain,
>     reject_unknown_recipient_domain,
>     permit_mynetworks,
>     permit_sasl_authenticated,
>     reject_non_fqdn_sender,
> #    reject_non_fqdn_hostname,
> #    reject_non_fqdn_helo_hostname,
>     reject_invalid_helo_hostname
>     reject_unauth_destination
>     # robert spf policy
>     check_policy_service unix:private/policy-spf
>     reject_non_fqdn_recipient,
>     reject_unlisted_recipient,
>     reject_rbl_client dnsbl.inps.de,
>     reject_rbl_client zen.spamhaus.org,
>     reject_rbl_client bl.spamcop.net,
>     # robert
>     check_client_access hash:/etc/postfix/client_checks
>     permit
>
> die datei /etc/postfix/client_checks hat folgenden Inhalt:
>
> yahoo.com REJECT
> yahoo.ca REJECT
> yahoodns.net REJECT
>
Dein Check wird nie greifen, weil die sendende Instanz entweder schon durch das "permit_mynetworks" oder
das "permit_sasl_authenticated" gruenes Licht bekommt.


Winni

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

AW: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Daniel-6
Und wenn man schon bei ist https://de.ssl-tools.net/mailservers/redo2oo.ch sagt
Schwache Algorithmen
    unterstützt
        ECDHE_RSA_WITH_RC4_128_SHA
        SSL_RSA_WITH_RC4_128_SHA


Wäre in main.cf wohl nicht verkehrt sowas zuhaben:
smtp_dns_support_level = dnssec
smtp_tls_ciphers = high
smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
CBC3-SHA
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA,
KRB5-DES, CBC3-SHA
smtp_tls_mandatory_ciphers= high
smtp_tls_security_level = dane
smtpd_tls_ciphers = high
smtpd_tls_eecdh_grade = strong
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
CBC3-SHA
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA,
KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_ciphers= high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Winfried Neessen
Gesendet: Donnerstag, 12. Oktober 2017 10:07
An: Diskussionen und Support rund um Postfix
Betreff: Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Hi,

Am 12.10.2017 um 09:57 schrieb [hidden email]:

> smtpd_recipient_restrictions =
>     reject_invalid_hostname,
>     reject_unknown_sender_domain,
>     reject_unknown_recipient_domain,
>     permit_mynetworks,
>     permit_sasl_authenticated,
>     reject_non_fqdn_sender,
> #    reject_non_fqdn_hostname,
> #    reject_non_fqdn_helo_hostname,
>     reject_invalid_helo_hostname
>     reject_unauth_destination
>     # robert spf policy
>     check_policy_service unix:private/policy-spf
>     reject_non_fqdn_recipient,
>     reject_unlisted_recipient,
>     reject_rbl_client dnsbl.inps.de,
>     reject_rbl_client zen.spamhaus.org,
>     reject_rbl_client bl.spamcop.net,
>     # robert
>     check_client_access hash:/etc/postfix/client_checks
>     permit
>
> die datei /etc/postfix/client_checks hat folgenden Inhalt:
>
> yahoo.com REJECT
> yahoo.ca REJECT
> yahoodns.net REJECT
>
Dein Check wird nie greifen, weil die sendende Instanz entweder schon durch das "permit_mynetworks" oder
das "permit_sasl_authenticated" gruenes Licht bekommt.


Winni

smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Ralf Hildebrandt
In reply to this post by robert@redo2oo.ch
* [hidden email] <[hidden email]>:

> Hoi zäme,
>
> seite einigen tagen wird (wurde ?) schubweise massenmails über meinen server
> verschickt.
>
> Ich bin am untersuchen, wie das möglich ist.
>
> Nun möchte ich als erstes all mails an yahoo.com unterbinden.
>
> Wie mache ich das?

Logs lesen wäre ein Ansatz.
 
> Folgendes habe ich unternommen, scheint aber noch nicht zu nützen:
>
>
> in main.cf habe ich die Zeile
>
> check_client_access hash:/etc/postfix/client_checks
>
> eingetragen wie folgt:

Viel zu weit unten. Davor erlauben solche Sachen wie

permit_mynetworks,
permit_sasl_authenticated,

die Mail.

Daraus kann man schliessen daß entweder der Versand aus mynetworks
erfolgt ODER über einen authentisierten Benutzer.

--
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de
           
Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

robert@redo2oo.ch
besten dank,

der sünder wurde ertapt ..

er kam aus mynetworks ..

gruss

robert



On 12.10.2017 10:29, Ralf Hildebrandt wrote:

> * [hidden email] <[hidden email]>:
>> Hoi zäme,
>>
>> seite einigen tagen wird (wurde ?) schubweise massenmails über meinen server
>> verschickt.
>>
>> Ich bin am untersuchen, wie das möglich ist.
>>
>> Nun möchte ich als erstes all mails an yahoo.com unterbinden.
>>
>> Wie mache ich das?
> Logs lesen wäre ein Ansatz.
>  
>> Folgendes habe ich unternommen, scheint aber noch nicht zu nützen:
>>
>>
>> in main.cf habe ich die Zeile
>>
>> check_client_access hash:/etc/postfix/client_checks
>>
>> eingetragen wie folgt:
> Viel zu weit unten. Davor erlauben solche Sachen wie
>
> permit_mynetworks,
> permit_sasl_authenticated,
>
> die Mail.
>
> Daraus kann man schliessen daß entweder der Versand aus mynetworks
> erfolgt ODER über einen authentisierten Benutzer.
>

Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Stefan Förster-4
In reply to this post by Daniel-6
* Daniel <[hidden email]>:
>smtp_dns_support_level = dnssec

Wenn der Rest der Infrastruktur KEIN DNSSEC kann, dann ist das keine
gute Idee.

>smtp_tls_ciphers = high
>smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtp_tls_mandatory_ciphers= high
>smtp_tls_security_level = dane
>smtpd_tls_ciphers = high
>smtpd_tls_eecdh_grade = strong
>smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtpd_tls_mandatory_ciphers= high
>smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>smtpd_tls_protocols = !SSLv2,!SSLv3

Mailserver sind keine HTTP-Server. Wenn da wegen zu viel Crypto keine
TLS-Verbindung zu Stande kommt, dann mach die Gegenseite halt eine
Klartext-Verbindung auf, und das war's dann mit der Verschlüsselung.

Ich kann nur dringend davon abraten, an den Defaults der noch
unterstützten Postfix-Versionen was zu ändern, es sei denn, es handelt
sich NICHT um öffentliche MXs sondern nur interne Relays etc., wo man
also kontrollieren (und koordinieren) kann, wer drauf zugreift.


Ciao,
Stefan
Reply | Threaded
Open this post in threaded view
|

AW: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Daniel-6
Welcher DNS soll den kein DNSsec unterstützen?

Was soll bitte zuviel an "Crypto" sein? In aktuellen Zeiten wird doch eher ohne TLS abgewiesen. Kann man zumindest bei Posteo erzwingen dass Server ohne TLS keine Mails bekommen wie z.B. die von Spamcop falls man dort die DNSBL füttern möchte mit Emails.

Von was möchtest da also von abraten oder anders machen?
Die Ciphers habe ich z.B. von hier https://weakdh.org/sysadmin.html mal übernommen gehabt.

Gruß Daniel

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]] Im Auftrag von Stefan Förster
Gesendet: Donnerstag, 12. Oktober 2017 11:37
An: [hidden email]
Betreff: Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

* Daniel <[hidden email]>:
>smtp_dns_support_level = dnssec

Wenn der Rest der Infrastruktur KEIN DNSSEC kann, dann ist das keine
gute Idee.

>smtp_tls_ciphers = high
>smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtp_tls_mandatory_ciphers= high
>smtp_tls_security_level = dane
>smtpd_tls_ciphers = high
>smtpd_tls_eecdh_grade = strong
>smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>smtpd_tls_mandatory_ciphers= high
>smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>smtpd_tls_protocols = !SSLv2,!SSLv3
Mailserver sind keine HTTP-Server. Wenn da wegen zu viel Crypto keine
TLS-Verbindung zu Stande kommt, dann mach die Gegenseite halt eine
Klartext-Verbindung auf, und das war's dann mit der Verschlüsselung.

Ich kann nur dringend davon abraten, an den Defaults der noch
unterstützten Postfix-Versionen was zu ändern, es sei denn, es handelt
sich NICHT um öffentliche MXs sondern nur interne Relays etc., wo man
also kontrollieren (und koordinieren) kann, wer drauf zugreift.


Ciao,
Stefan

smime.p7s (7K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Stefan Förster-4
Hallo Daniel,

* Daniel <[hidden email]>:
>Welcher DNS soll den kein DNSsec unterstützen?

"unterstützen" werden das die meisten, ob es dann auch konfiguriert ist,
ist eine andere Sache :-) Zumindest wäre es sinnvoll gewesen darauf
hinzuweisen, dass diese Konfiguration einen DNSSEC-fähigen Resolver
voraussetzt (und noch dazu einen, dessen Antworten auf dem Transportweg
nicht verfälschbar sind, oder wo Du dem Transportweg traust).

>Was soll bitte zuviel an "Crypto" sein? In aktuellen Zeiten wird doch
>eher ohne TLS abgewiesen. Kann man zumindest bei Posteo erzwingen dass
>Server ohne TLS keine Mails bekommen wie z.B. die von Spamcop falls man
>dort die DNSBL füttern möchte mit Emails.

Wenn ein MTA ein STARTTLS sieht, aber keinen Handshake hinbekommt, dann
wird er die Mail unverschlüsselt nochmal senden - das ist zumindest fast
überall die Default-Konfiguration, u.a. auch bei Postfix. Im Gegensatz
zu HTTP - wo Du dann die Seite nicht zu sehen kriegst - riskierst Du bei
Mailservern also ein Downgrade auf eine unverschlüsselte Verbindung,
wenn man Cipher erzwingt, die die Gegenstelle nicht kann. Dies ist
völlig unnötig, denn Transportwegverschlüsselung ist eh kein Ersatz für
Dinge wie S/MIME oder GPG. Auf einem MSA macht es vielleicht Sinn,
moderne und starke Cipher zu erzwwingen, weil man dann einfach die
Annahme verweigern kann, wenn kein Handshake zu Stande kommt. Auf
öffentlichen MXen macht das keinen Sinn.

>Von was möchtest da also von abraten oder anders machen?

Ich würde alle Einstellunge bzgl. TLS löschen, mit Ausnahme von
smtp(d)?_tls_ciphers - villeicht. Einen echten Sicherheitsgewinn gibt es
dadurch nicht, und wird es bis zur flächendeckenden Verbreitung von DANE
TLSA auch nicht geben (bei letzterem kann man dann ablehnen, wenn der
Handshake fehlschlägt).


VG,
Stefan
Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Winfried Neessen
Hi,

Am 12.10.2017 um 12:26 schrieb Stefan Förster <[hidden email]>:

> Dies ist völlig unnötig, denn Transportwegverschlüsselung ist eh kein Ersatz für Dinge wie S/MIME
> oder GPG.

Das ist m. E. ein ganz wichtiger Punkt der heutzutage immer wieder zu Missverstaendnissen fuehrt.

Man muss sich einfach dessen bewusst sein, dass Email ein total veraltetes, unsicheres Protokoll aus
den 80ern ist und alles was wir da heute machen in Sachen Transportwegverschluesselung und
dergl. sind eben nur "Patches" um Probleme zu beheben, die es damals einfach nicht gab.

Problem daran ist aber halt, dass es "Patches" bzw. "Workarounds" sind die nicht zwingend notwendig
geschweige denn vorgeschrieben sind um Mails zu versenden und viele Postmaster diese eben nicht
nutzen. Wenn TLS Pflicht im Standard waere, waere die opportunistische Verschluesselung voellig unnoetig
und ein Downgrade auf unverschluesselten Transport wuerde nicht passieren.

Klar unterstuetzen wir aktuelle Verschluesselungstechnologien - das bedeutet aber nicht, dass die
Gegenseite es auch macht. Und solang dies noch der Fall bleibt, ist es mir lieber, dass meine Mails
mit einem schwachen Cipher verschluesselt werden, als das sie komplett als Klartext ueber den Ether gehen.

Ich finde es ja schoen und gut, dass hier starke Cipher empfohlen werden, aber man sollte sich dessen
bewusst sein, dass man sich damit gepflegt in den Fuss schiessen kann, wenn man nicht genau weiss
was man da macht. Bevor ich einen Cipher bei uns abschalte, fahre ich mehrere Wochen Statistiken um
zu sehen, wieviele Mails evtl. nicht mehr ausgeliefert wuerden. Einfach pauschal zu sagen: "Auf Seite
XYZ steht, dass diese Cipher toll sind" kann da fatal enden.

Just my 2 cent
Winni

signature.asc (849 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: wie kann ich senden an eine domain (yahoo.com) unterbinden?

Stefan Förster-4
* Winfried Neessen <[hidden email]>:
>Klar unterstuetzen wir aktuelle Verschluesselungstechnologien - das bedeutet aber nicht, dass die
>Gegenseite es auch macht. Und solang dies noch der Fall bleibt, ist es mir lieber, dass meine Mails
>mit einem schwachen Cipher verschluesselt werden, als das sie komplett als Klartext ueber den Ether gehen.

Du kannst das offensichtlich viel besser formulieren als ich, danke :-)