Outlook bietet wie die meisten E-Mail-Programme, eine Möglichkeit den Quelletext der E-Mail, beziehungsweise den SMTP-Header anzuzeigen, um etwa die Herkunft der E-Mail eindeutig zu identifizieren. Die Internetkopfzeilen können auch dazu dienen, die Server Übermittlung und die Codierung zu Analysieren.
Möchte man so den SPAM Status im Nachrichtenkopf einer E-Mail mit Outlook untersuchen, ist hierzu der Abschnitt „X-Spam-Flag“ mit dem X-Spam-Score Wert von Interesse, dabei wird man feststellen, dass der X-Spam-Status in den Internetkopfzeilen komplett fehlt, ob wohl diese etwa von Spamassassin mitgegeben werden.
Outlook Internetkopfzeilen anzeigen
Bei geöffneter Nachricht auf Datei -> Eingenschaften gehen.
Die X-Spam Informationen werden von Outlook einfach ausgeblendet, untersucht man den Header mit einem anderen E-Mail-Client, etwa mithilfe einer Webmail Anwendung, ist der vollständige Header ungefiltert vorzufinden. Outlook berücksichtigt jedoch die X-Spam-Flag Klassifizierung und verschiebt die Nachricht beim Empfang mit X-Spam-Flag: YES in den Junk-E-Mail Ordner, solange die Standard Einstellung in den Junk-E-Mail-Optionen nicht geändert wurde.
Verfolgen des gesamten ungefilterten Internet-Header
Der in Outlook ausgeblendete X-Spam Header:
Authentication-Results: mta-cu121.middle.org;
dkim=pass (2048-bit key) header.d=outlook.com header.i=@outlook.com header.b="NDq3pzWF"
X-Spam-Flag: NO
X-Spam-Score: 0.501
X-Spam-Level:
X-Spam-Status: No, score=0.501 tagged_above=-999 required=6.2
tests=[DKIM_SIGNED=0.1, DKIM_VALID=-0.1, DKIM_VALID_AU=-0.1,
FREEMAIL_FROM=0.001, HTML_MESSAGE=0.001, MIME_HTML_MOSTLY=0.1,
RCVD_IN_DNSWL_NONE=-0.0001, SPF_HELO_PASS=-0.001, SPF_PASS=-0.001,
SUBJ_ALL_CAPS=0.5, TVD_SPACE_RATIO=0.001]
autolearn=no autolearn_force=no
Received: from mta-cu121.middle.org ([127.0.0.1])
by localhost (mta-cu121.middle.org [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id xiFVOnehSqeY for <john@foo.com>;
Tue, 10 Jan 2023 15:41:15 +0100 (CET)
Wir haben in Outlook festgestellt, dass E-Mails nach dem Empfang gefiltert werden, wenn E-Mails mit dem X-Spam-Flag gekennzeichnet sind und die Spam-E-Mail von einem Office 365-Konto gesendet wurde, normalerweise von der Absenderdomäne mail.protection.outlook.com.
Internet Nachrichtenkopfzeilen im neuen Outlook
Der Internet-Header einer E-Mail-Nachricht enthält eine Liste technischer Details zur Nachricht, z. B. wer sie gesendet hat. Meistens muss nur ein Administrator die Internet-Header einer Nachricht anzeigen.
Einige Absender nutzen Spoofing, um ihre E-Mail-Adresse zu verschleiern. Durch Überprüfen der Kopfzeile können Sie herausfinden, ob die E-Mail-Adresse anders ist als. Es erscheint und fügen Sie es Ihrer Liste blockierter Absender hinzu.
Nachrichtenkopfzeilen im neuen Outlook anzeigen
Wähle oben im Nachrichtenfenster die Schaltfläche „Weitere Aktionen“ (Menü mit drei Punkten) und dann Ansicht > Nachrichtendetails anzeigen.
Finden dier Adresse des Absenders
Scrolle in den Nachrichtendetails nach unten, bis zum Feld Von.
Markiere die in < > eingeschlossene E-Mail-Adresse und klicken Sie mit der rechten Maustaste auf Kopieren.
Verwende diese E-Mail-Adresse, um den Absender zu blockieren.
DNSBL Blackhole Abfrage reject_rbl_client, Realtime Blackhole Lists (RBL) sind öffentlich verfügbare Listen im Internet. Mit Adressen und Servern, von denen kürzlich schädliche und unerwünschte E-Mails oder verdächtige Aktivitäten ausgegangen sind, wie etwa der Versand von Spam- oder Phishing-E-Mails.
SPAM und Phishing E-Mails eindämmen
Blacklists entstanden, um die Flut unerwünschter E-Mails einzudämmen. Die in Spamtraps entdeckten IP-Adressen die auf Auffälligkeiten zurückführen, werden auf Schwarzen Listen gespeicher. E-Mail-Server gleichen bei empfangenen Nachrichten ab, ob der Absender auf einer Blacklist enthalten ist. Bei positiver Klassifizierung wird die E-Mail direkt in den Junk-E-Mail-Ordner verschoben oder gar nicht erst angenommen und vom E-Mail-Server verworfen.
dnsbl blackhole Abfrage reject_rbl_client
Die weitverbreiteten Open-Source Spam Filter SpamAssassin aus dem Apache Projekt, und der Postfix MTA (Mail Transfer Agent) für Unix und Unix-Derivate, eignen sich besonders gut für die Integration. In diesem Tutorial wird auf die Anwendung von Realtime Blackhole Lists (RBL) und DNS Based Realtime Blocklists (DNSBL) mit Postfix eingegangen.
DNS-based Blackhole List mit Postfix
Die Abfrage einer DNSBL ist, wie der Name bereits vermuten lässt, aus technischer Sicht eine DNS-Abfrage. Bei Postfix werden DNS-based Blackhole Lists in nahezu Echtzeit abgefragt, die DNSBLs werden in der Hauptkonfiguration/etc/postfix/main.cfeingetragen, meist untersmtpd_recipient_restrictionswie folgendes Beispiel zeigt.
Bei dieser Überprüfung erfolgt die DNSBL Abfrage noch vor schreiben in den Mail-Spool, dabei wird ein NOQUEUE: reject: zurückgegeben. Der Vorteil ergibt sich daraus, dass hier die Systemressourcen weniger beansprucht werden.
Wie nach jeder Änderung muss Postfix die Aktualisierung übernehmen.
$ postfix reload
DNSBL SBL-Konfiguration Testen
Der Blacklist-Testeintrag 127.0.0.2 ist die Loopback-Adresse der SBL-DNS-Zone wie „sbl.spamhaus.org“, die zum Testen der SBL-Konfiguration auf Mailservern verwendet wird. Diese werden auch in den meisten anderen DNSBL-Systemen als Standard-Testadresse für diese Zonen aufgeführt, wie von RFC5782 und RFC6471 empfohlen.
Hinweis: Bei Verwendung von „Public DNS-Resolver“ wie Google Public DNS (8.8.8.8), werden diese in den meisten Fällen mit „not listed“ (NXDOMAIN) antworten. Es wird empfohlen, den eigenen DNS-Server zu verwenden, wenn DNSBL-Anfragen an Spamhaus gestellt werden.
$ host 2.0.0.127.bl.0spam.org
Die Abfrage mit Reverse Loopback Adresse von bl.0spam.org.
$ host -tTXT 2.0.0.127.bl.0spam.org
Die Abfrage des TXT Records von 0spam.org gibt folgendes aus.
2.0.0.127.bl.0spam.org descriptive text "This listings is for RFC Compliance. See RFC 5782. For support and listing removal go to https://0spam.org Possible Values: 127.0.0.1(General Listings), 127.0.0.2(depreciated) 127.0.0.3(can-spam violators) 127.0.0.4(non RFC compliant) 127.0.0.5(repeat of" "fender) 127.0.0.6(bouncing email to the wrong server) 127.0.0.7(open relay) 127.0.0.8(bouncing spoofed emails) 127.0.0.9(fraud/scam, malware or illegal/abusive content)"
Einige DNSBL liefern nützliche Informationen, wie mehrere Loopback Adressen um die Abfragen gezielt zu testen.
$ dig +short TXT 2.0.0.127.hostkarma.junkemailfilter.com @8.8.8.8
"Black listed at hostkarma http://ipadmin.junkemailfilter.com/remove.php?ip=127.0.0.2"
"Black listed (authentication hacker) at hostkarma http://ipadmin.junkemailfilter.com/remove.php?ip=127.0.0.2"
"White listed 127.0.0.2 See http://wiki.junkemailfilter.com/index.php/Spam_DNS_Lists"
"Yellow listed 127.0.0.2 See http://wiki.junkemailfilter.com/index.php/Spam_DNS_Lists"
$ dig +short ANY 2.0.0.127.multi.surbl.org
127.0.0.254
"wild.surbl.org permanent test point"
$ dig +short ANY 2.0.0.127.psbl.surriel.com
"Listed in PSBL, see http://psbl.org/listing?ip=127.0.0.2"
127.0.0.2
$ dig +short ANY 2.0.0.127.dnsbl.sorbs.net
127.0.0.10
"Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.5
"Open SMTP Relay See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.7
"Exploitable Server See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.2
"HTTP Proxy See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.3
"SOCKS Proxy See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
$ dig +short ANY 2.0.0.127.bl.nordspam.com
"RFC5782 TEST-record."
127.0.0.2
$ dig +short ANY 2.0.0.127.truncate.gbudb.net
127.0.0.2
"Test Record"
Die Abfragen können eingegrenzt werden, um zum Beispiel nur die RBL-Adressen aus Deutschland zu erhalten mit de.bl.blocklist.de
$ host -t any 2.0.0.127.de.bl.blocklist.de
2.0.0.127.de.bl.blocklist.de has address 127.0.0.2
2.0.0.127.de.bl.blocklist.de descriptive text "Infected System, see http://www.blocklist.de/en/view.html?ip=127.0.0.2"
Mit bruteforcelogin.bl.blocklist.de werden IPs abgefragt, welche Joomla, WordPress und andere Web-Logins per Brute-Force angreifen, oder ftp.bl.blocklist.de fragt nur IPs ab, von welchen FTP-Angriffe verzeichnet wurden. Die einzelnen RBL Zonen und Abfragen findet man auf den Webseiten der jeweiligen DNSBL Anbieter. Auch werden Whitelist wie DNSWL genutzt um false-positives zu vermeiden.
DNSWL.ORG
E-Mail Reputation Protect against false positives
DNS-based Blackhole List (DNSBL) erlauben nicht mehr als 1.000 Anfragen pro Sekunde, werden die Anfragen 1.000 pro Sekunde überschritten, sollte die rsync Methode angewendet werden.
Die dnsbl blackhole Abfrage reject_rbl_client sind im Allgemeinen die erste Verteidigungslinie gegen Spam. Die DNSLB Anbieter verfolgen dabei eigene Ansprüche auf Kriterien und Qualität, dabei müssen die Ergebnisse ermittelt werden, um die Wahl der DNSBLs treffen zu können, diese den eigens gesetzten Kriterien entsprechen. Die meisten Postmaster setzen auf Echtzeit DNS-basierte Blocklisten (DNS Based Realtime Blocklists; DNSBL). Unerwünschte E-Mails werden abgewiesen oder es lassen die Informationen aus einem Listing in das eigene Spamscoring übernehmen. Diese Verfahren sind technisch von der IETF beschrieben: https://tools.ietf.org/html/rfc5782
