WinGroupware Mail Server Spam Digest Funktion

 Dazu gibt es ausserdem noch ein Webfrontend, mit dem alle Nachrichten in dem Ordner verwaltet werden können:

Dieses System ermöglicht eine schnelle Übersicht der “entgangenen” Mails – auch ohne IMAP und verschiedenen Ordnerstrukturen, in die Spams einsortiert werden. Schnell und effektiv. Damit Sie die Spam Digests an Ihre Wünsche anpassen können, sind natürlich alle Nachrichten “Template-driven”, d.h. diese können mit einfachen HTML Kenntnissen schnell verändert werden. Makros ermöglichen den Einsatz von vielen Datenfeldern, die von der Spam Digest Funktion gefüllt werden.

Das Spam Digest Upgrade wird in dem nächsten Upgrade enthalten sein – der Veröffentlichungstermin ist Anfang Februar 2012.

Daher nochmal kurz der Hinweis: bitte keine einfachen Kennwörter verwenden. Auch Ihr Konto wird vermutlich gefunden werden…

Gerade bei SMTP Servern können wir hier immer wieder, teilweise stundenlange, “Testorgien” erleben. Da wird durchprobiert, bis die Leitung glüht, admin/admin, admin/123, admin/password, admin/geheim, info/passwort, info/admin usw usw. Und wenn dann nur eins der “Standardkonten”, wie info oder support erfolgreich für eine Anmeldung genutzt wurde, geht der Spaß los: tausende von Phishing- oder Spammails werden auf die Menschheit losgelassen und Ihr Mailserver kommt zusätzlich noch auf die bekannten Blacklisten, die gerne genutzt werden, um Spam abzuwehren. Damit können Sie dann im schlimmsten Falle selbst keine Mails mehr versenden, weil der Empfänger diese nicht annimmt…

Heute haben wir hier einiges am Nachrichtenrouter geändert, weil etwas speziell kodierte Nachrichten nicht korrekt konvertiert in das Nachrichtenverzeichnis von dem Endbenutzer geroutet wurden. Spam eignet sich da normalerweise immer sehr hervorragend zum testen, vorallem Mails mit “Extreminhalten”, wie Kyrillisch oder Japanisch, Chinesisch und auch Koreanisch.

Stattdessen kommt heute die ganze Zeit nur Spam für das “Virtual VegasClub” Casino. Immerhin waren das auch solche Mails, bei denen was nicht gestimmt hatte. Mehr Testfutter wäre natürlich schöner, also warten wir mit dem Upgraderelease noch bis morgen.

benutzername@gewuenschtedomain.de;passwort

In diesem Beispiel würde die Domain “gewuenschtedomain.de” erzeugt, ein Benutzer “benutzername” angelegt und das Passwort auf “passwort” gesetzt werden. Pro Textzeile wird jeweils ein Benutzer erzeugt. Hier ein kleines Video von einem Importvorgang mit 9 Konten, doppelte Konten werden nur einmalig erzeugt.

 [Lese Blogeintrag um das Video anzuschauen]

 [Lese Blogeintrag um das Video anzuschauen]

Als kleine Vorschau hier ein Video, wie der Export abläuft:

[Lese Blogeintrag um das Video anzuschauen]

Nun mal von vorne:

Während der Entwicklung und bei dem Monitoring von SpamPain, unserem Echtzeit Anti-Spam Schutz, sind immer wieder IP Adressen aufgefallen, die als Reverse-DNS-Eintrag “localhost” führen (daher auch der Titel, diese IPs stammen aus ganzen Netzblöcken in Vietnam). Das ist scheinbar immernoch eine effektive Methode, um Nachrichten an Spamfiltern vorbeileiten zu können oder dem Mailserver vorzugaukeln, die Mail käme vom eigenen System, was natürlich nicht so ist.

Dies ist jetzt bestimmt schon zwei, zweieinhalb oder drei Jahre her und damals war ich der Meinung, dass die Provider früher oder später ja dieses Verhalten einstellen würden und die localhost-Einträge auf den IP Adressen rausnehmen würden. Nun war bei dem aktuellen Upgrade von WinGroupware ein Monitoring von den Regeln für ein- und ausgehenden Nachrichten notwendig und dort viel es dann wieder auf: etliche IP Adressen besitzen weiterhin einen localhost-Eintrag, wieder aus den bekannten IP-Bereichen. Deshalb haben wir (obwohl WinGroupware von diesem gefakten Eintrag nicht betroffen war) einen zusätzlichen Test eingebaut, der ab sofort den internen Spamwert ein wenig anpasst und den Eintrag des Reverse-Eintrages auf “localhost (FAKED EXTERNALLY)” setzt, damit man diese Nachrichten filtern kann.

Jetzt ein kleines Beispiel von einer IP, die immer nur Spam einliefert (aktuell gerade vornehmlich nette Mails für das Euro Casino):

# host -a 113.167.245.96
Trying “96.245.167.113.in-addr.arpa”
;; ANSWER SECTION:
96.245.167.113.in-addr.arpa. 86400 IN   PTR    localhost.
;; AUTHORITY SECTION:
167.113.in-addr.arpa.   86400   IN      NS      vdc-hn01.vnn.vn.
167.113.in-addr.arpa.   86400   IN      NS      hcm-server1.vnn.vn.

Komisch….aber damit nicht genug. Schauen wir uns doch mal die Nachbar-IPs an…

# dig +short 96.245.167.113.in-addr.arpa. PTR
localhost.
# dig +short 97.245.167.113.in-addr.arpa. PTR
localhost.
# dig +short 98.245.167.113.in-addr.arpa. PTR
localhost.
# dig +short 120.245.167.113.in-addr.arpa. PTR
localhost.
# dig +short 200.245.167.113.in-addr.arpa. PTR
localhost.
# dig +short 254.245.167.113.in-addr.arpa. PTR
localhost.

…also ganz grosses Kino. Da stellt sich doch die Frage: Wer ist das denn und wie groß ist denn das Netz?

inetnum:        113.167.128.0 – 113.167.255.255
netname:        VNPT-NET
country:        vn
descr:          IP FTTH static Vinh Phuc
[...]

route:          113.167.224.0/19
descr:          VietNam Post and Telecom Corporation (VNPT)
descr:          VNPT-AS-AP
country:        VN
[...]

role:         VDC IPADMIN GROUP
address:      Internet Building, Block II, Thang Long Inter Village
address:      Nguyen Phong Sac str, Cau Giay Dist,  Ha Noi
country:      VN
phone:        +84-xxx-xxxxx
fax-no:       +84-xxxxxxxxx
[...]

…ah, die Post. Na gut. Das obige Netz hat ja “nur” ~32000 IPs. Wie ist es denn mit den höheren IPs, ggf. ist ja nur das eine /24 nicht so toll?

# dig +short 200.244.167.113.in-addr.arpa. PTR
localhost.
# dig +short 200.243.167.113.in-addr.arpa. PTR
localhost.
# dig +short 200.242.167.113.in-addr.arpa. PTR
localhost.
# dig +short 200.240.167.113.in-addr.arpa. PTR
localhost.
# dig +short 200.140.167.113.in-addr.arpa. PTR
localhost.

…okay, ich gebs auf. Probieren wir doch mal eine aus dem Netz davor… und da?

# dig +short 200.14.167.113.in-addr.arpa. PTR
localhost.

Hmmmm…. und wer ist das?

inetnum:        113.167.0.0 – 113.167.127.255
netname:        VNPT-NET
country:        vn
descr:          IP ADSL static + Cable TV, VoIP VPN MPLS
descr:          Leased Line, Data Center , MANE Vinh Phuc

route:          113.167.0.0/19
descr:          VietNam Post and Telecom Corporation (VNPT)

Na wunderbar. Also kann man davon ausgehen, dass bei denen alle IPs mit so einem Reverse-Eintrag “ausgerüstet” werden. Wie man am besten mit sowas umgeht… keine Ahnung, Bereich blockieren? Abuse anschreiben? Ignorieren? Jeder kann als Reverse-DNS-Eintrag setzen, wozu er Lust hat. Dennoch sehr seltsam, dass relativ großes Netz komplett als “localhost” bei allen IP Adressen als Reverse-Eintrag ausgibt.

Sucht man im Internet danach, wird man auch fündig, z.B. hier: http://lists.sans.org/pipermail/list/2008-December/027322.html - das Ergebnis in Kurzform:

Configuring reverse DNS to return “localhost” is possible. It probably
indicates a hostile netblock; at the very least it indicates an
incompetent DNS admin.

Das ist natürlich schon bitter. Es kann aber auch (ob gewollt/ungewollt) einen “Angriff” (wenn man das so nennen möchte) darstellen, weil z.B. Windows 7 einen Reverse-DNS-Eintrag von “localhost” automatisch in den lokalen Maschinennamen auflöst. Das war/ist bei WinGroupware auch der Fall (da ja das .NET Framework 3.5 benutzt wird), daher der kleine “Fix” im kommenden Update. Auswirkungen hatte dies jedoch zu keinem Zeitpunkt auf die Sicherheit des Mail Servers. Das könnte jedoch bei anderen Systemen anders aussehen, je nachdem, wozu und wie der Wert in der verwendeten Software ausgewertet wird.