datenklause.de » E-Mail

Spamassassin und T-Online-Server ohne DNS-Eintrag

sirko — Mon, 28 Jun 2010 10:19:10 +0000

T-Online hat offensichtlich für mehrere Server (z.B. fwd01.aul.t-online.de oder fwd01.t-online.de) keine DNS-Einträge gesetzt, trotzdem werden von T-online diese “Server-Namen” ohne Angabe von IPs in die Header der ausgehenden Mails geschrieben. Damit erkennt Spamassassin diese Server natürlich nicht als trusted_networks und ALL_TRUSTED feuert nicht. So liefern verschiedene Tests dann falsche Ergebnisse, RBLs werden abgefragt (was bei trusted_networks ja sonst gar nicht passiert), und einige Mails werden falsch als Spam eingestuft.
Als Workaround haben wir required_hits erhöht und den score von REVC_IN_PBL und RECV_IN_SORBS_DUL auf 0 gesetzt. Ja, und jetzt rutscht natürlich ab und an etwas Spam in die Mail. Die andere Alternative wäre gewesen, die T-Online-Server auch als internal_networks zu klassifizieren, aber von dort kommt leider auch eine Menge Spam, weil viele Kunden dort Weiterleitungen zu uns eingerichtet haben. Deswegen geht das nicht.
Eine sehr unbefriedigende Situation.

Der sitzt.

sirko — Fri, 11 Jun 2010 12:09:39 +0000

Eben kam eine E-Mail eines “Netzwerkadministrators”. Sinngemäß:

Wir sind eine Spam-Bude, die mehr als 100 Mitarbeiter beschäftigt und monatlich mehr als 110.000.000 Werbe-E-Mails verschickt. Leider werden unsere E-Mails mit folgender Fehlermeldung abgewiesen:
“421 mail2.bytecamp.net Too many concurrent connections from your IP. Please try again later. See http://www.bytecamp.net/de/faq/email/zustellen.html”

Bitte nehmen Sie folgende Server in Ihre Whitelist auf: …

Meine Antwort:

…wir pflegen keine manuellen Whitelists.
Aber wenn einer Ihrer 100 Mitarbeiter technisch versiert ist, brauch er nur die von Ihnen zitierte Fehlermeldung lesen, und schon sind Sie in der Lage, sich selbst zu helfen.

“Admin” versendet Spam an sich selbst mit fremden Zugangsdaten

sirko — Fri, 18 Dec 2009 16:07:39 +0000

Wir saßen gemütlich im Büro, freuten uns auf die heutige Weihnachtsfeier (wie jedes Jahr), plötzlich ging ein Piep-Konzert von allen Handys los. Die Anzahl der Mails in der Warteschlange auf dem Mailserver hatte ein paar Nullen zu viel. Nun ja, nichts Neues, sowas kommt ab und an mal vor. Der betreffende Account war schnell identifiziert. Normalerweise schafft es ein einzelner Kunde gar nicht, Probleme zu machen. Irgendwo im Internet schoss ein Script anscheinend quer, öffnete schnell hintereinander SMTP-Verbindungen zu unserem Mailserver, identifizierte sich dort korrekt via SMTP-Auth und schickte Mails an die Email-Adresse einer Parfümerie – an sich selbst. Der Server dieser Parfümerie nahm diese Mails allerdings nicht an. Was eigentlich kein Problem wäre – wären nicht Empfänger und Absender identisch gewesen, so dass Bounce-Mails an die gleiche Adresse generiert wurden. Trotz Double-Bounce-Trim-Patch stieg die Warteschlange auf dem Mailserver durch das immense Tempo schnell um abertausende Mails an, die erste Bounce-Mail ist ja noch kein Double-Bounce.

So weit, so belanglos.

Während wir dieses Problem in einer Minute mit einer Sperre des betreffenden Kontos für den Versand via SMTP lösten, meldete sich jemand, der behauptete, unser Mailserver wäre kompromittiert worden und versende Spam. Später schickte er uns Logfile-Auszüge seines Servers und siehe da, es war der Server einer Parfümerie, deren Name uns seltsam vertraut vorkam. Nun, um es kurz zu machen, wir haben ihm erklärt, dass er selbst der Spammer war und das Mail-Konto eines unserer Kunden zum Spam-Versand an sich selbst mißbrauchte.

Nein, das war es noch nicht.

Später meldete sich unser Kunde und meinte, dass der “Spammer” sein ehemaliger Arbeitgeber war.

Sachen gibts…

CAPA/UIDL im pop3d

sirko — Mon, 04 May 2009 13:31:49 +0000

Heute haben wir im bytecamp den qmail-pop3d abgeschaltet, wohl für immer. Statt dessen werkelt jetzt der Courier-pop3d, der seit knapp einem Jahrzehnt schon problemlos für pop3-ssl lief. Der kann CAPA und UIDL, das hätten wir schon längst machen sollen.

$ telnet mail 110
Trying 212.204.60.9…
Connected to mail.bytecamp.net.
Escape character is ‘^]’.
+OK Hello there.
user xxxxx@xxxxx
+OK Password required.
pass xxxxx
+OK logged in.
CAPA
+OK Here’s what I can do:
STLS
TOP
USER
LOGIN-DELAY 10
PIPELINING
UIDL
IMPLEMENTATION Courier Mail Server
.
quit
+OK Bye-bye.
Connection closed by foreign host.

vpopq-tcp für Qmail

sirko — Thu, 19 Mar 2009 12:07:05 +0000

Seit heute lehnen wir den Empfang von Mails auf unserem Incoming Mailserver mit einer permanenten Fehlermeldung ab, wenn der Empfänger nicht existiert. Ein Kollege hat ein Programm geschrieben (vpopq-tcp, gibts demnächst als eigenes Open Source Projekt), das an vpopmail und an der recipients-Extension für qmail ansetzt und via Socket auf einem anderen Server prüft, ob ein Empfänger existiert oder nicht. Berücksichtigt werden Pop-Konten, Weiterleitungen, Mailinglisten (mit VERP) und Catchall-Accounts.
Dabei haben wir noch einen Bug gefunden: Am Freitag veröffentlicht Erwin Hoffmann eine neue Spamcontrol-Version, in der ein Bug in Qmail behoben wurde, der im Zusammenspiel mit der recipients-Extension bei mehreren Empfängern für eine falsche Fehlermeldung sorgte (“can not read controls”). Jaja, auch Legenden machen Fehler, D.J. Bernstein hatte bei einem Filedescriptor geschludert.

Uptime 204 Tage

sirko — Sun, 01 Feb 2009 04:12:38 +0000

Die Uptime wäre vielleicht noch größer geworden, aber auf dem Mailserver, auf dessen zweitem Raid die ganzen Mails wirklich drauf liegen, ging der Raid-Controller vom System-Array kaputt. FreeBSD war auf einem Raid 1 installiert, mehrere Versuche, das Array zur rebuilden, scheiterten. Natürlich mit verschiedenen (natürlich nicht defekten) Platten. Auf einem Topf allein fährt es sich schlecht, also sitzen wir hier seit Mitternacht zu dritt und tauschen bis auf die Mails selbst quasi alles aus, man will ja nachts wieder ruhig schlafen. Natürlich ist alles getestet, ich rechne eigentlich nicht mit Überraschungen.
Der Scheduler vom Kernel, 4BSD wird durch ULE ersetzt, der sich auch auf den Webservern mit 7.1 seit einer Weile im Produktionsbetrieb bewährt hat. Neu ist auch der File Alteration Monitor, der echte Push-Mail-Funktionalität in den Courier-imapd bringen wird. Push-Mail. Was für eine häßliche Entwicklung, jetzt verkommt E-Mail doch zur synchronen Kommunikation.
Okay, inzwischen ist es nach fünf Uhr morgens, natürlich gab es doch Probleme, aber die Queue ist jetzt zugestellt und ich will ins Bett. Sofort. Hab ich eigentlich schon erzählt, daß ich noch nicht mal wieder gesund bin?

Spam: Der McColo-Knick

sirko — Tue, 18 Nov 2008 12:34:21 +0000

So sieht bei uns der Spam-Anteil am Mail-Aufkommen aus. Man beachte den Knick, der sich wahrscheinlich auf das Abklemmen der McColo Corp. vom Rest des Internet zurückführen läßt.

Nachtrag: Mehr dazu auch bei adminlife.net und beim Rackblogger.

Spam-Anteil

sirko — Sun, 05 Oct 2008 13:46:50 +0000

Anteil der von SpamAssassin erkannten Spam-Mails am gesamten Mail-Aufkommen vom bytecamp hinter dem Greylisting in Prozent.

Seit einigen Tagen rutschen bei meinem Account wieder ein bis zwei Spam-Mails durch, ohne als solche erkannt zu werden. Bislang kann ich auch noch kein Muster erkennen, warum. Das hatte ich seit einigen Jahren nicht mehr.

autorespond und .blah in der Message-ID

sirko — Mon, 31 Mar 2008 11:53:45 +0000

Manchmal muß man sich mit richtigem Kleinkram herumschlagen. Aktuelles Problem(chen): Ein Kunde hat einen Autoresponder eingerichtet. Mails vom Autoresponder werden von US-Behörden permanent geblockt, weil im Header Message-ID statt des Hostnamens ein .blah steht (Laut RFC2822 empfohlen, aber kein muß: “a good method is to put the domain name (or a domain literal IP address) of the host on which the message identifier was created on the right hand side of the “@”.).
Jetzt schreibt gerade ein Kollege mal eben schnell einen Mini-Patch für autorespond, der schnell geschrieben ist, aber damit noch lange nicht im offiziellen autorespond-Quellcode drin ist – das Problem ist seit 2004 bekannt. Und bis der drin ist, müssen wir bei jedem Update des Mailservers per Hand ran.

Weniger Zombies?

sirko — Mon, 31 Mar 2008 10:30:02 +0000

Ein Kollege von einer anderen Firma schickte mir gerade eine Statistik von seinem Greylisting. Demnach hat sich seit diesem Wochenende die Anzahl seiner Greylisting-Triplets dramatisch verkleinert. Wenn ich mir nun unsere eigenen Statistiken ansehe, ist der Stand so niedrig wie seit der zweiten Novemberhälfte 2007 nicht mehr (Erfaßt sind nur die gleichzeitigen Verbindungen zu Port 25 vom Greylisting-Server). Da erkennt man schon deutlich, dass auch unsere Kurve steil nach unten zeigt.