Willkommen im User-Forum von mailbox.org
 

Blacklist für eigene Domain mit Catchall

7556051 hat dies geteilt, 4 Jahren her
vorgeschlagen

Ich habe seit Jahren mit meiner eigenen Domain eine Catchall-Adresse im Einsatz um bspw. bei Registrierungen o.Ä. spezifische local-parts verwenden zu können. Als Ergebnis sind nun mittlerweile diverse local-parts "verbrannt" und werden mit Spam bombardiert. Da ich bisher den SMTP selbst betrieben habe, konnte ich verbrannte local-parts in einer Blacklist eingetragen und direkt im SMTP verwerfen.


Mit dem Umzug zu mailbox.org möchte ich den Betrieb des SMTP nun einstellen und die Blacklist bei mailbox.org führen. Wie in anderen Foren-Threads allerdings beschrieben, wird der Envelope-to bei Catchalls leider nicht in den Mail-Header eingetragen, so dass darauf nicht gefiltert werden kann. Auf der anderen Seite ist meine Blacklist deutlich länger als 25 Einträge, so dass ich die verbrannten Adressen auch nicht als Aliase eintragen und filtern kann.


Für mein Szenario wäre es deshalb wünschenswert, wenn Aliase geblacklisted werden könnten, die dann bereits vor dem Filtering direkt im SMTP verworfen werden. Als Gewinn für mailbox.org steht eine Entlastung des Spamfilters.

Kommentare (5)

Foto
1

Auf die Envelope-to-Adresse lässt sich via Mailsieve sehr wohl filtern, hier der Code-Schnipsel wie ich ihn selbst erfolgreich in Betrieb habe:


  1. if header :matches :index 3 "Received" "*<your_localpart@your_domain.tld>*"
  2. {
  3. fileinto "your_folder";
  4. }

So lassen sich beliebig viele 'verbrannte' local-parts ausfiltern. Die Sieve-Filter bearbeitet man am besten mit einem Addon für einen lokalen Mailclient wie z.B. https://addons.mozilla.org/en-US/thunderbird/addon/sieve/ (muss 'aus Datei' installiert werden und funktioniert dann auch mit der neusten Thunderbird-Version bestens).

Foto
1

Das Problem ist aber, dass der envelope_to bei catchall Adressen nicht durchgereicht wird. Sonst könnte man das auch schon in der Webmail als Filter einrichten.

Foto
1

Ob der envelope-to header durchgereicht wird oder nicht ist irrelevant denn wie in meinem Beispiel beschrieben kann auf das dritte (oder vierte oder fünfte) 'Received' gefiltert werden um die gewünschte Funktion zu realisieren:


  1. Return-Path: <sender@sender.tld>

    Delivered-To: hauptadresse@your_domain.tld

    Received: from director-03.heinlein-hosting.de ([80.241.60.215])

    by dobby5.heinlein-hosting.de (Dovecot) with LMTP id xyz

    for <hauptadresse@your_domain.tld>; Tue, 1 Feb 2013 03:02:53 +0100

    Received: from mx2.mailbox.org ([80.241.60.215])

    (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits))

    by director-03.heinlein-hosting.de (Dovecot) with LMTP id xyz

    ; Tue, 1 Feb 2013 03:02:53 +0100

    Received: from spamfilter03.heinlein-hosting.de (spamfilter03.heinlein-hosting.de [80.241.56.117])

    by mx2.mailbox.org (Postfix) with ESMTP id xyz

    for <your_localpart@your_domain.tld>; Tue, 1 Feb 2013 03:01:52 +0100 (CET)

    X-Virus-Scanned: amavisd-new at heinlein-support.de

    Received: from mx2.mailbox.org ([80.241.60.215])

    by spamfilter03.heinlein-hosting.de (spamfilter03.heinlein-hosting.de [91.198.250.170]) (amavisd-new, port 10024)

    with ESMTP id xyz for <your_localpart@your_domain.tld>;

    Tue, 1 Feb 2013 03:01:49 +0100 (CET)

    X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-0.5 HELO_IP_IN_CL16_SUBNET=-0.31 (check from: .sender. - helo: .mail.sender. - helo-domain: .sender.) CL_HOSTNAME_MATCHES_FROM(DOMAIN)=-0.1; rate: -3.1

    Received: from mail.sender.tld (outm.sender.tld [1.2.3.4])

    (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))

    (No client certificate requested)

    by mx2.mailbox.org (Postfix) with ESMTPS

    for <your_localpart@your_domain.tld>; Tue, 1 Feb 2013 03:01:46 +0100 (CET)

Dazu braucht es selbstverständlich einen anständigen Sieve-Editor/Uploader wie das beschriebene Addon. Per Webmail-GUI geht das nicht.

Foto
1

Das ist aber auch ein ganz schöner Hack.

Ob und in welchem received header die ürsprüngliche Addresse steht kann sich mit serverseitigen Software-Updates und Architekturänderungen jederzeit ändern.

Vllt. besser einfach mal nachfragen, ob man mehr als 25 aliases bekommen kann.

Foto
1

Hallo zusammen,


wollte das oben genannte Script nutzen um Empfang einer CatchAll-Adresse von mir zu sperren.

Erhalte allerdings mit Sieve folgende Fehlermeldung. Die Adresse innerhalb "your_localpart" habe ich natürlich an meine Adresse (zu sperrender Empfänger) geändert.


Jemand einen Tipp für mich? :)

Danke!

Foto
2

Wenn du Erweiterungen der Sieve-Programmiersprache verwenden willst, muss du diese zuvor mit "require" deklarieren:


require ["index", "fileinto"];

if header :matches :index 3 "Received" "*<your_localpart@your_domain.tld>*"
{
  fileinto "your_folder";
}

Wenn du das nicht tust, werden die entsprechenden Befehle vom Server als inexistent behandelt - das ist so in RFC 5228 vorgeschrieben. Früher hatte das Sieve Addon für Thunderbird eine einfach verständliche Hilfefunktion die solche Dinge erklärt hat. Leider musste das Addon im Januar 2020 wegen dem von Mozilla erzwungenen Wechsel zu WebExtensions komplett neu geschrieben werden - die Hilfefunktion scheint dem zum Opfer gefallen zu sein. Der Entwickler des Addons, Thomas Schmid schreibt:

But the last Thunderbird updates created a devastating hit on the add-on. Even very basic things are broken. And it will most likely get worse for the future when Thunderbird drops support for classic add-ons. This will be then most likely the end for this add-on.
Mit einer Spende an Herrn Schmid lässt sich das vielleicht noch verhindern: https://paypal.me/thsmi

Wenn du genug Zeit hast, lies dich direkt in die RFC's ein:

https://tools.ietf.org/html/rfc5228

https://www.iana.org/assignments/sieve-extensions/sieve-extensions.xhtml

Foto
2

Ich möchte noch dem Kommentar von 2310948 beipflichten

:matches :index 3 "Received"
Das ist ein Hack. Das ist für Spam OK. Für alles andere bitte meinen Codeschnipsel nicht verwenden.

Foto
2

Der Hack mit irgendwelchen Received-Headern ist nicht mehr notwendig. Die Envelope-To-Adresse wird (mittlerweile schon seit einiger Zeit) auch bei Catch-All korrekt übermittelt (Delivered-To).

Für euren Anwendungsfall sollte auch der eingebaute Filtereditor in OX ausreichen.

Foto
1

Hallo @lufer,


ist hier "Verwerfen" die richtige Aktion? Danke für den Tipp mit dem Editor. Habe hier meine catchall@domain.de eingetragen.


/46f560868ae0cff0a9d8d1e156d252a9

Foto
1

Das kommt darauf an. Normalerweise, wenn es den Empfänger nicht gibt, wird die Mail direkt vom SMTP-Server mit Fehlercode 550 abgelehnt:

Recipient address rejected: User unknown in     relay recipient table
Dies kann man mit Filtern allerdings nicht mehr erreichen. (Dafür ist die Mail schon zu weit). Entweder benutzt man Verwerfen (entspricht Mail wird sofort endgültig gelöscht, für den Absender alles ok) oder Ablehnen mit Begr. (der Absender wird informiert, dass die Zustellung nicht erfolgreich war).

Ich würde das ganze einfach mal austesten, indem du dir selbst eine Mail an die zu sperrende Adresse schickst.

P.S. An ist vermutlich nicht das, was du möchtest. Wenn du nur im Cc oder Bcc stehst, funktioniert das nicht. Man möchte im Normalfall auf Envelope-To filtern.

Foto
1

Hallo @lufer,


kannst du mal folgende Settings checken?

Die Mails kommen bei mir weiterhin an, werden aber untr Thunderbird in Junk abgelegt.

geplant ist ja ein sperren/vewerfern solcher Mails.


Danke

Foto
1

Die Bilder werden bei mir nicht angezeigt. Kann also nichts dazu sagen. Ich würde zu Ablehnen mit Begründung raten.

Foto
1

Gestern konnte ich die Bilder noch sehen, heute nicht mehr. Hatte ich schon öfter hier im Forum, auch andersrum (erst nicht zu sehen, dann nach etlichen Stunden doch). STRG+R hat keinen Effekt darauf (für mich).

Foto
1

Hallo @lufer, ja, wie von @novemberkatze richtig bemerkt: Bilder waren da. Deshalb jetzt hier nochmals, extra aus meinem Papierkorb gezogen ;)


Ich habe jetzt "Ablehnen mit Begrüdung" aktiviert. Die Regeln laufen auf den "Posteingang", muss ich dies zusätzlich auch noch beim Ordner "Junk" anwenden? Es kommt nämlich weiterhin Spam in meinem Ordner "Junk" an.


Grüße


Foto
1

Kurz vorweg: Im Screenshot sieht man noch verwerfen, aber ich gehe davon aus, dass das veraltet ist.

Nun zum Problem: mailbox.org hat die Mail als Spam erkannt und deshalb zur +Junk intern umgeschrieben.

Dein Filter matcht diese Adresse nicht (keine exakte Übereinstimmung). Wenn du alles filtern willst, musst du entweder mit einem regulären Ausdruck arbeiten oder 2 Bedingungen benutzen.

Teste mal folgendes aus:

P.S. Ich bin gerade in einem anderen Thread hier im Forum auf diese Webseite gestoßen: https://www.b-ehlers.de/blog/posts/2020-02-11-mailbox.org-email-filter.de/

Da ist vieles zu den Filtern erklärt.

Foto
1

Danke für den Link @lufer


Meine Screenshots sind natürlich wieder weg, deiner auch.

Hatte es aber mit deinen Settings angepasst. Sieht so aus, als hätte ich hier jetzt Ruhe. Daher Danke :)


Ich bekam bisher dann noch 1-mal eine Mail mit meiner Domain als angeblicher Absender, hinter konnte mir der Support von Mailbox aber gleich Entwarnung geben. DMARC habe ich auf none, manchmal kommt eben doch eine brauchbare Mail rein die gefiltert wurde ;)

Foto
Foto
2

Danke für den heißen Tipp mit Mailsieve! Das Ganze lässt sich natürlich auch per Webmail-GUI ohne spezielle Addons gut brauchbar einstellen:


Einstellungen -> Email -> Filterregeln -> Neuer Filter


Typ: Header

Name: Received

enthält: for <burned@example.com>


Aktion: Hier auf keinen Fall "Ablehnen mit Begründung" nutzen, siehe https://userforum.mailbox.org/topic/filterregel-aktion-ablehnen-f%C3%BChrt-zur-ver%C3%B6ffentlichung-der-mailbox-hauptadresse

Stattdessen einfach:

Umleiten nach: spam@example.invalid


So bekommt der Spam-Absender eine Benachrichtigung vom "Mail Delivery System" darüber, dass die Zustellung nicht erfolgreich war.

Foto
1

Auf das Problem mit der Veröffentlichung der Hauptadresse bin ich auch grade gestoßen. Leider führt die Umleitung auf eine ungültige EMail-Adresse wie spam@spam.spam dazu, dass der Absender keine Nachricht über die Unzustellbarkeit erhält (grade von gmail aus getestet).

Foto
1

Gerade nochmal getestet und kann ich nicht bestätigen. Klappt bei mir wie gehabt wie oben beschrieben. Ich gehe davon aus, dass Gmail sich hier möglicherweise wieder mal für schlau hält und die Mail herausfiltert?

Foto
1

Wie im benachbarten Thread geschrieben (https://userforum.mailbox.org/topic/filterregel-aktion-ablehnen-f%C3%BChrt-zur-ver%C3%B6ffentlichung-der-mailbox-hauptadresse#comment-14252) funktioniert es bei mir mit redirect "spam@example.invalid" oder anderer ungültigen Adresse auch nicht.


Getestet habe ich mit Absendern von verschiedenen Providern aus.

Mit den Filtern bei ox.io funktioniert es noch! Prinzipiell sollte es also gehen.

Foto
Foto
1

Also wenn ich


Umleiten nach: spam@example.invalid


verwende, erhalte ich eine "Undelivered Mail Returned to Sender" in der u.a. meine Hauptadresse sichtbar ist, was natürlich gar nicht geht. Da nehme ich doch lieber "Verwerfen".

Foto
1

Gerade nochmal getestet und kann ich einschränkt zustimmen.


Die Hauptaddresse taucht zwar nicht "sichtbar" im Text der Email auf, wohl aber wenn man in den Headern nach dem letzten Multipart "Content-Description: Undelivered Message" nachschaut (in etwa sowas wie ein üblicherweise nicht sichtbarer "Anhang" der Mail). Der durchschnittliche User oder auch Spammer sieht die Hauptadresse also wohl eher nicht, bei genauerem Hinschauen ist sie aber sehr wohl sichtbar.


Es ist und bleibt ein Hack - für meinen Verwendungszweck aktuell "okay", da besser als garkeine Mitteilung bei "Verwerfen" oder sichtbare Hauptadresse bei "Ablehnen mit Begründung" (YMMV).

Foto
1

Ja, stimmt, ist in den Headern sichtbar u.a.:

  1. X-Sieve-Redirected-From: <hauptadresse>@mailbox.org
  2. Delivered-To: <hauptadresse>@mailbox.org

Warum ist Dir die Rückantwort so wichtig? Wertet der durchschnittliche Spammer das aus und berücksichtigt es beim nächsten Mal? Bin nur neugierig.

Foto
1

> Ja, stimmt, ist in den Headern sichtbar u.a.: […]


Korrekt, wobei man anmerken sollte, dass die Adresse eben nicht in den Headern(!) der Antwort selber enthalten ist, sondern in den Headern der Nachrichtig die als "Anhang" der Antwort hinzugefügt wird. Das mag nach einer Spitzfindigkeit klingen, bedeutet in der Praxis aber eben, dass sie nicht als unmittelbarer Teil der Antwort automatisch ausgewertet werden.


> Warum ist Dir die Rückantwort so wichtig?


Das "Verwerfen" wirkt auf Absenderseite so, als wäre die Email erfolgreich zugestellt worden und somit wird üblicherweise weiterhin versucht an diese Adresse zuzustellen. Das "Weiterleiten" wie oben beschrieben sorgt dafür, dass der Absender einen Fehler zurückgeschickt bekommt und somit dafür sorgen kann, dass der Versand eingestellt wird. Das ist üblicher Bestandteil von Newsletter-Versendern (Bounce-Handling) und meiner Erfahrung nach nutzen auch einige Spam-Versender ähnliche Mechanismen. Inbesondere für nicht-automatischen Versand ist eine Rückmeldung in meinem Fall für "verbrannte" Empfänger mindestens genau so wichtig.


Der "durschnittliche Spammer" benutzt aus Resourcen-Gründen häufig nur rudimentäre SMTP-Implementierungen, die oft nicht mal Retries (Greylisting) oder Bounces unterstützen, für den Fall ist eine Rückantwort in aller Regel tatsächlich hinfällig.

Foto
Foto
1

Wir werden in Kürze aktivieren, daß Envelope-Adressen zu den Mailbackends durchgereicht werden.

Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen