Schlagwort-Archive: Postfix Mail Transfer Agent

Postfix ist ein Mail Transfer Agent für Unix und Unix-Derivate. Die Software sollte zum Entwicklungszeitpunkt eine kompatible Alternative zu Sendmail sein.

E-Mail und Anhang mit sendmail versenden

sendmail e-mail mit echo Befehl und Anhang versenden. sendmail implementiert die Kompatibilitätsschnittstelle von Postfix und ist in fast allen unixoiden Betriebssysteme enthalten, der Mail Transfer Agent, dessen Geschichte bis in die frühen 1980er Jahre zurückreicht.

E-Mail mit echo sendmail versenden

E-Mail und Anhang mit sendmail versenden

sendmail versendet E-Mails über das Internet an einen bestimmten Empfänger. Dies kann durch den Befehl „sendmail“ und „echo“ in einer Linux Kommando-zeile erfolgen, und kann auch innerhalb eines Programmier-skripts verwendet werden.

quote   sendmail: fatal: open /etc/postfix/main.cf: No such file or directory

Vergewissere dich das sendmail auf dem Linux Host vorhanden ist, mit dem Befehl which sendmail oder man sendmail. Falls sendmail nicht gefunden wird, und kein MTA wie Postfix installiert ist, wird sendmail wie folgt bereitgestellt.

$ sudo apt install sendmail -y

sendmail in der Kommandozeile

Das folgende Beispiel zeigt ein Linux-Befehl zum Senden einer E-Mail Nachricht aus der Kommandozeile mit sendmail unter verwendung des echo Befehl.

$ echo -e "Subject:Test Mail using sendmail \nThis is a Test Message\n" | sendmail youremail@example.tld

Der nächste Befehl sendet eine E-Mail mit Absender (From:) Adresse.

$ /usr/sbin/sendmail youremail@example.tld
From: nobody@example.tld
Subject: Test Mail using sendmail
This is a Test Message
.

  Der Punkt (.) beendet den Editor und die E-Mail wird versendet.

Das Beispiel oben erstellt interaktiv mit jeder Zeile eine E-Mail. Es wird eine Nachricht mit dem Betreff „Test Mail using sendmail“ dem Posteingang von youremail@example.tld zugestellt. Die Empfänger E-Mail-Adresse entsprechend ändern. Vergewissere dich, das sendmail auf dem Host vorhanden ist, und es dem Host erlaubt ist, E-Mails zu versenden.

sendmail eraubt die Pipeline Anweisung, dabei ist es möglich eine Nachricht mit einer Textdatei zu versenden.

$ /usr/sbin/sendmail < message.txt -t -i youremail@example.tld

Der Inhalt der Textdatei message.txt hier in diesem Beispiel wie folgt.

From: nobody@example.tld
Subject: Test Mail using sendmail
This is a Test Message

  Die sendmail Option -i behandelt das lesen der Nachricht aus der Standard Eingabe ohne Punkt (.) am Zeilenende. Die Option -t Extrahiert die Empfänger aus den Nachrichtenkopfzeilen und wird allen in der Befehlszeile angegebenen Empfängern hinzugefügt.

E-Mail und Datei mit sendmail versenden

Administratoren stehen oft vor der Aufgabe, eine E-Mail direkt von einem Host zu versenden, dabei steht kein E-Mail Client zur Verfügung. In diesem Beispiel wird mit „sendmail“ eine Datei als Anhang versendet.

Der Zweck ist es, auf einem Postfix MTA die als SPAM abgewiesenen Zustellversuche „blocked using“ herauszufiltern. Um das GZ-Archive zu versenden, muss Postfix auf dem Host konfiguriert sein. Es kann auch ein anderer autorisierter MTA sein, oder es wird ein externes SMTP-Relay verwendet.

#!/bin/bash
cat /var/log/maillog* | grep 'blocked using' | grep 'middleton.tld' > /tmp/blocked.txt
gzip -f /tmp/blocked.txt
( echo "to: sysop@example.tld"
  echo "from: no_reply@$HOSTNAME"
  echo "subject: Report of messages blocked by $HOSTNAME"
  echo "mime-version: 1.0"
  echo "content-type: multipart/related; boundary=messageBoundary"
  echo
  echo "--messageBoundary"
  echo "content-type: text/plain"
  echo
  echo "Please find the document attached."
  echo
  echo "--messageBoundary"
  echo "content-type: text/plain; name=blocked.txt.gz"
  echo "content-transfer-encoding: base64"
  echo
  openssl base64 < /tmp/blocked.txt.gz) | sendmail -t -i

  Option -t extrahiert die Empfänger aus der Nachrichtenkopfzeile. Mit der Option -i ohne . (Punkt) am Ende der Eingabe.

Fazit

Dieses Beispiel zeigt die Anwendung von sendmail, um eine E-Mail mit echo Befehl und Anhang aus der Shell zu versenden. Durch ändern der einzelnen Zeilen können viele weitere Anwendungszwecke zum Zug kommen. Die Base64 Kodierung wird durch openssl vorgenommen. Die echo Anweisungen erzeugt den MIME-MessageBody.

Realtime Blackhole List reject_rbl_client mit Postfix

DNSBL Blackhole Abfrage reject_rbl_client, Realtime Blackhole Lists (RBL) sind öffentlich verfügbare Listen im Internet. Mit Adressen und Servern, von denen kürzlich schädliche und unerwünschte E-Mails oder verdächtige Aktivitäten ausgegangen sind, wie etwa der Versand von Spam- oder Phishing-E-Mails.

SPAM und Phishing E-Mails eindämmen

Blacklists entstanden, um die Flut unerwünschter E-Mails einzudämmen. Die in Spamtraps entdeckten IP-Adressen die auf Auffälligkeiten zurückführen, werden auf Schwarzen Listen gespeicher. E-Mail-Server gleichen bei empfangenen Nachrichten ab, ob der Absender auf einer Blacklist enthalten ist. Bei positiver Klassifizierung wird die E-Mail direkt in den Junk-E-Mail-Ordner verschoben oder gar nicht erst angenommen und vom E-Mail-Server verworfen.

dnsbl blackhole Abfrage reject_rbl_client

Die weitverbreiteten Open-Source Spam Filter SpamAssassin aus dem Apache Projekt, und der Postfix MTA (Mail Transfer Agent) für Unix und Unix-Derivate, eignen sich besonders gut für die Integration. In diesem Tutorial wird auf die Anwendung von Realtime Blackhole Lists (RBL) und DNS Based Realtime Blocklists (DNSBL) mit Postfix eingegangen.

DNS-based Blackhole List mit Postfix

Die Abfrage einer DNSBL ist, wie der Name bereits vermuten lässt, aus technischer Sicht eine DNS-Abfrage. Bei Postfix werden DNS-based Blackhole Lists in nahezu Echtzeit abgefragt, die DNSBLs werden in der Hauptkonfiguration/etc/postfix/main.cfeingetragen, meist untersmtpd_recipient_restrictionswie folgendes Beispiel zeigt.

smtpd_recipient_restrictions = permit_mynetworks,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        reject_unauth_destination,
        reject_rbl_client zen.spamhaus.org=127.0.0.[2..11],
        reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99],
        reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99],
        reject_rhsbl_reverse_client dbl.spamhaus.org=127.0.1.[2..99],
        warn_if_reject reject_rbl_client zen.spamhaus.org=127.255.255.[1..255],
        reject_rbl_client dnsbl-1.uceprotect.net,
        reject_rbl_client bl.0spam.org=127.0.0.[7..9],
        reject_unverified_recipient,
        Permit

Hier sind meist viele weitere Regeln für die Überprüfung der Kriterien enthalten, dieses Tutorial beschränkt sich auf die DNSBL Abfrage.

Je früher, desto besser – die Überprüfung wird noch vor Aufnahme in die Warteschlange durchgeführt, mit den Richtlinien:
smtpd_client_restrictions

smtpd_helo_required = yes
smtpd_helo_restrictions =
smtpd_sender_restrictions =
smtpd_client_restrictions = permit_mynetworks,
        reject_non_fqdn_hostname,
        reject_non_fqdn_helo_hostname,
        reject_invalid_helo_hostname,
        reject_non_fqdn_sender,
        reject_unauth_pipelining,
        reject_unknown_sender_domain,
        reject_unknown_hostname,
        reject_unknown_client,
        reject_invalid_hostname,
        reject_rbl_client dnsbl.sorbs.net,
        reject_rbl_client hostkarma.junkemailfilter.com=127.0.0.2,
        reject_rhsbl_sender hostkarma.junkemailfilter.com=127.0.0.2,
        reject_rhsbl_sender dsn.rfc-ignorant.org,
        Permit

Bei dieser Überprüfung erfolgt die DNSBL Abfrage noch vor schreiben in den Mail-Spool, dabei wird ein NOQUEUE: reject: zurückgegeben. Der Vorteil ergibt sich daraus, dass hier die Systemressourcen weniger beansprucht werden.

Wie nach jeder Änderung muss Postfix die Aktualisierung übernehmen.

$ postfix reload

DNSBL SBL-Konfiguration Testen

Der Blacklist-Testeintrag 127.0.0.2 ist die Loopback-Adresse der SBL-DNS-Zone wie „sbl.spamhaus.org“, die zum Testen der SBL-Konfiguration auf Mailservern verwendet wird. Diese werden auch in den meisten anderen DNSBL-Systemen als Standard-Testadresse für diese Zonen aufgeführt, wie von RFC5782 und RFC6471 empfohlen.

$ dig +short ANY 2.0.0.127.zen.spamhaus.org @your_dns
"https://www.spamhaus.org/sbl/query/SBL2"
"https://www.spamhaus.org/query/ip/127.0.0.2"
127.0.0.2
127.0.0.10
127.0.0.4

Hinweis: Bei der verwendung von „Public DNS-Resolver“ wie Google Public DNS (8.8.8.8), werden diese in den meisten Fällen mit „not listed“ (NXDOMAIN) antworten. Es wird empfohlen, den eigenen DNS-Server zu verwenden, wenn DNSBL-Anfragen an Spamhaus gestellt werden.

$ host 2.0.0.127.bl.0spam.org

Die Abfrage mit Reverse Loopback Adresse von bl.0spam.org.

$ host -tTXT 2.0.0.127.bl.0spam.org

Die Abfrage des TXT Records von 0spam.org gibt folgendes aus.

2.0.0.127.bl.0spam.org descriptive text "This listings is for RFC Compliance. See RFC 5782. For support and listing removal go to https://0spam.org Possible Values:  127.0.0.1(General Listings), 127.0.0.2(depreciated) 127.0.0.3(can-spam violators) 127.0.0.4(non RFC compliant) 127.0.0.5(repeat of" "fender) 127.0.0.6(bouncing email to the wrong server) 127.0.0.7(open relay) 127.0.0.8(bouncing spoofed emails) 127.0.0.9(fraud/scam, malware or illegal/abusive content)"

Einige DNSBL liefern nützliche Informationen, wie mehrere Loopback Adressen um die Abfragen gezielt zu testen.

$ dig +short TXT 2.0.0.127.hostkarma.junkemailfilter.com @8.8.8.8
"Black listed at hostkarma http://ipadmin.junkemailfilter.com/remove.php?ip=127.0.0.2"
"Black listed (authentication hacker) at hostkarma http://ipadmin.junkemailfilter.com/remove.php?ip=127.0.0.2"
"White listed 127.0.0.2 See http://wiki.junkemailfilter.com/index.php/Spam_DNS_Lists"
"Yellow listed 127.0.0.2 See http://wiki.junkemailfilter.com/index.php/Spam_DNS_Lists"

$ dig +short ANY 2.0.0.127.multi.surbl.org
127.0.0.254
"wild.surbl.org permanent test point"

$ dig +short ANY 2.0.0.127.psbl.surriel.com
"Listed in PSBL, see http://psbl.org/listing?ip=127.0.0.2"
127.0.0.2

$ dig +short ANY 2.0.0.127.dnsbl.sorbs.net
127.0.0.10
"Dynamic IP Addresses See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.5
"Open SMTP Relay See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.7
"Exploitable Server See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.2
"HTTP Proxy See: http://www.sorbs.net/lookup.shtml?127.0.0.2"
127.0.0.3
"SOCKS Proxy See: http://www.sorbs.net/lookup.shtml?127.0.0.2"

$ dig +short ANY 2.0.0.127.bl.nordspam.com
"RFC5782 TEST-record."
127.0.0.2

$ dig +short ANY 2.0.0.127.truncate.gbudb.net
127.0.0.2
"Test Record"

Die Abfragen können eingegrenzt werden, um zum Beispiel nur die RBL-Adressen aus Deutschland zu erhalten mit de.bl.blocklist.de

$ host -t any 2.0.0.127.de.bl.blocklist.de
2.0.0.127.de.bl.blocklist.de has address 127.0.0.2
2.0.0.127.de.bl.blocklist.de descriptive text "Infected System, see http://www.blocklist.de/en/view.html?ip=127.0.0.2"

Mit bruteforcelogin.bl.blocklist.de werden IPs abgefragt, welche Joomla, WordPress und andere Web-Logins per Brute-Force angreifen, oder ftp.bl.blocklist.de fragt nur IPs ab, von welchen FTP-Angriffe verzeichnet wurden. Die einzelnen RBL Zonen und Abfragen findet man auf den Webseiten der jeweiligen DNSBL Anbieter. Auch werden Whitelist wie DNSWL genutzt um false-positives zu vermeiden.

dnsbl blackhole abfrage reject_rbl_client

DNSWL.ORG

E-Mail Reputation Protect against false positives

  DNS-based Blackhole List (DNSBL) erlauben nicht mehr als 1.000 Anfragen pro Sekunde, werden die Anfragen 1.000 pro Sekunde überschritten, sollte die rsync Methode angewendet werden.

$ rsync -z psbl-mirror.surriel.com::psbl/psbl.txt .

github Postfix main configuration main.cf

Nicht abschließende Tabelle einiger DNSBLs

Name der ListeWebseiteBlocklist Typ
nixspamnixspam.orgIP-basierend
spamhausspamhaus.org
sbl.spamhaus.org
xbl.spamhaus.org
dbl.spamhaus.org
zen.spamhaus.org
IP-basierend
Domain-basierend
Kombinierte Listen (SBL, SBLCSS, XBL, PBL)
CBLcbl.abuseat.orgIP-basierend
Spamcopspamcop.orgIP-basierend
SwiNOGswinog.chIP-basierend
SURBLsurbl.orgDomain-basierend
SORBSsorbs.netIP-basierend
URIBLuribl.comDomain-basierend
Mailspikemailspike.orgKombinierte Listen
Blocklist.deblocklist.deIP-basierend
Barracudacentralbarracudacentral.orgIP-basierend
UCEPROTECTwww.uceprotect.netIP-basierend
JunkEmailFilterjunkemailfilter.comIP-basierend
Domain-basierend
0spam0spam.orgIP-basierend
NordSpamnordspam.comIP-basierend
GBUdbgbudb.comIP-basierend

Fazit

Die dnsbl blackhole Abfrage reject_rbl_client sind im Allgemeinen die erste Verteidigungslinie gegen Spam. Die DNSLB Anbieter verfolgen dabei eigene Ansprüche auf Kriterien und Qualität, dabei müssen die Ergebnisse ermittelt werden, um die Wahl der DNSBLs treffen zu können, diese den eigens gesetzten Kriterien entsprechen. Die meisten Postmaster setzen auf Echtzeit DNS-basierte Blocklisten (DNS Based Realtime Blocklists; DNSBL). Unerwünschte E-Mails werden abgewiesen oder es lassen die Informationen aus einem Listing in das eigene Spamscoring übernehmen. Diese Verfahren sind technisch von der IETF beschrieben: https://tools.ietf.org/html/rfc5782

  • 0spam.org free DNSBL for eMail Service providers.
  • blocklist.de free and voluntary anti-fraud/abuse service.
  • spamhaus IP and domain reputation data.
  • surbl reputation data provided in near real-time feeds.
  • dnswl.org E-Mail Reputation Protect against false positives