Current time: 11-05-2024, 10:32 PM Hello There, Guest! (LoginRegister)


Post Reply 
 
Thread Rating:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Mails von Facebook = SPAM?
Author Message
Jadawin Offline
Junior Member
*

Posts: 26
Joined: Nov 2009
Reputation: 0
Post: #1
Mails von Facebook = SPAM?
Moin zusammen

Ich hatte vorhin das Problem, dass Facebookmails aufgrund der HELO-Domain als Spam eingestuft wurden.

Maildomain: xwas@facebookmail.com
HELO: mx-out.facebook.com

--> Stimmt nicht überein, wird als Spam behandelt und abgewiesen. Sad

Hab nur ich dieses Problem? :S Habe das nun durch eine helo_whitelist in postfix gelöst... Gibt es Gefahren bei dieser Methode oder andere (bessere) Lösungsansätze? Smile

Gruss
Jadawin
04-07-2010 08:34 AM
Find all posts by this user Quote this message in a reply
BeNe Offline
Moderator
*****
Moderators

Posts: 5,899
Joined: Jan 2007
Reputation: 68
Post: #2
RE: Mails von Facebook = SPAM?
Und was hast Du als AnitSpam im Einsatz ?

Greez BeNe
04-07-2010 03:26 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Jadawin Offline
Junior Member
*

Posts: 26
Joined: Nov 2009
Reputation: 0
Post: #3
RE: Mails von Facebook = SPAM?
Postgrey und policyd-weight. Letzteres ist Standard, oder nicht? Jedenfalls habe ich das nie irgendwie konfigruiert, die postfix Konfiguration war bis gestern auch Standard.

Hier mal die betreffenden Logzeilen:

Code:
Apr  6 23:36:52 alpha postfix/smtpd[25701]: connect from outmail014.snc1.tfbnw.net[69.63.178.173]

Apr  6 23:36:53 alpha postfix/policyd-weight[19911]: weighted check:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 IN_SPAMCOP=3.75 NOT_IN_BL_NJABL=-1.5 HELO_IP_IN_CL16_SUBNET=-0.41 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .facebookmail. - helo: .mx-out.facebook. - helo-domain: .facebook.)  FROM/MX_MATCHES_NOT_UNVR_HELO(DOMAIN)=5.35 CLIENT_NOT_MX/A_FROM_DOMAIN=5.25 CLIENT/24_NOT_MX/A_FROM_DOMAIN=5.25; <client=69.63.178.173> <helo=mx-out.facebook.com> <from=notification@facebookmail.com> <to=my@adress.ch>; rate: 17.69

Apr  6 23:36:53 alpha postfix/policyd-weight[19911]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; please relay via your ISP (facebookmail.com); <client=69.63.178.173> <helo=mx-out.facebook.com> <from=notification+ppu~vvmd@facebookmail.com> <to=my@adress.ch>; delay: 0s

Apr  6 23:36:53 alpha postfix/smtpd[25701]: NOQUEUE: reject: RCPT from outmail014.snc1.tfbnw.net[69.63.178.173]: 550 5.7.1 <my@adress.ch>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; please relay via your ISP (facebookmail.com); from=<notification+ppu~vvmd@facebookmail.com> to=<my@adress.ch> proto=ESMTP helo=<mx-out.facebook.com>

Apr  6 23:36:59 alpha postfix/smtpd[25701]: disconnect from outmail014.snc1.tfbnw.net[69.63.178.173]

Interessant ist, dass die IP in der SpamCop Blacklist ist...


ispcp 1.0.5 auf Debian 5.0.4
(This post was last modified: 04-07-2010 08:44 PM by Jadawin.)
04-07-2010 08:41 PM
Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #4
RE: Mails von Facebook = SPAM?
policyd-weight defaults > /etc/policyd-weight.conf

und dann anpassen...

aber ich sehe da grad keine whitelist Möglichkeit, dh. man müsste die Regeln etwas anpassen.

Aber seltsam, dass Mails von facebook gleich mit helo/MX/Sende-IP derartige Probleme machen, dass policyd gleich 3 * >5 Punkte vergibt.

Ich finde diese Variablen bei mir aber nicht (zB. CLIENT/24_NOT_MX/A_FROM_DOMAIN).
Aber man findet es, wenn man das Perl-Programm etwas ansieht: CLIENT/24_NOT_MX/A_FROM_DOMAIN ist zusammengesetzt aus helo_from_mx_eq_ip_score (1.5) + dem DNSBL-Score (und da es bei Spamcop drin ist -> + 3.75) -> 5.25 und das mehrere Male...

Hoffe, damit kannst du was anfangen....

/J
04-07-2010 09:39 PM
Visit this user's website Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #5
RE: Mails von Facebook = SPAM?
nunja am besten facebook in eine whitelist for policyd-weight nehmen... (Eine whitelist wie dnswl.org kann auch helfen...)
04-07-2010 10:09 PM
Visit this user's website Find all posts by this user Quote this message in a reply
Jadawin Offline
Junior Member
*

Posts: 26
Joined: Nov 2009
Reputation: 0
Post: #6
RE: Mails von Facebook = SPAM?
Wie gesagt, ich hab eine whitelist eingesetzt. Wink

Kann die genaue Konfiguration gerade nicht posten, aber es funktioniert so. Smile
Liefer die heute Abend noch nach.

joximu Wrote:Aber seltsam, dass Mails von facebook gleich mit helo/MX/Sende-IP derartige Probleme machen, dass policyd gleich 3 * >5 Punkte vergibt.
Eben das wundert mich ja auch... Bisher hatte ich nie derartige Probleme, nur jetzt mit Facebook... (Ich leite den Facebook-"Traffic" auch erst seit gestern auf die Mailaddy um).


Habe den Eintrag in spamcop.org nochmals geprüft, die IP ist anscheind nicht mehr gelistet... nuja muss das ganze heute Abend nochmals prüfen^^
04-07-2010 10:33 PM
Find all posts by this user Quote this message in a reply
Jadawin Offline
Junior Member
*

Posts: 26
Joined: Nov 2009
Reputation: 0
Post: #7
RE: Mails von Facebook = SPAM?
joximu Wrote:policyd-weight defaults > /etc/policyd-weight.conf
Die Datei existiert bei mir nicht. :S policyd-weight läuft aber ohne zu meckern...

Also was ich getan habe damit es funktioniert:
Den MX von Facebook explizit akzeptieren:
$ echo "mx-out.facebook.com PERMIT" > /etc/postfix/helo_whitelist
Für Postfix die DB erstellen:
$ postmap /etc/postfix/helo_whitelist
postmap hat nun die Datei /etc/postfix/helo_whitelist.db erstellt.

Nun muss Postfix noch entsprechend konfiguriert werden:
Datei: /etc/postfix/main.cf
Bei der Direktive smtpd_helo_restrictions die Option "check_helo_access hash:/etc/postfix/helo_whitelist" hinzufügen: (ohne .db)
Also vorher:
Code:
smtpd_helo_restrictions      = permit_mynetworks,
                               permit_sasl_authenticated,
                               reject_invalid_helo_hostname,
                               reject_non_fqdn_helo_hostname
Nachher:
Code:
smtpd_helo_restrictions      = permit_mynetworks,
                               permit_sasl_authenticated,
                               check_helo_access hash:/etc/postfix/helo_whitelist,
                               reject_invalid_helo_hostname,
                               reject_non_fqdn_helo_hostname
Danach Postfix neustarten:
$ /etc/init.d/postfix restart
... und Freude haben Smile


Hätte noch jemand Logs zur Analyse? Smile Wundert mich grade, was bei euch drinsteht bei ner Facebookmail...
04-08-2010 07:13 AM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #8
RE: Mails von Facebook = SPAM?
(04-08-2010 07:13 AM)Jadawin Wrote:  Hätte noch jemand Logs zur Analyse? Smile Wundert mich grade, was bei euch drinsteht bei ner Facebookmail...

Nun unser policyd-weight mach nur dnsbl lookups...
Empfänger ersetzt durch recipient@domain.tld

Code:
Apr  7 19:30:35 imx002 postfix/smtpd[15091]: connect from outmail017.snc1.tfbnw.net[69.63.178.176]
Apr  7 19:30:39 imx002 postfix/policyd-weight[16685]: decided action=PREPEND X-policyd-weight:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 DSBL_ORG=SKIP(0) (only DNSBL check requested); <client=69.63.178.176> <helo=mx-out.facebook.com> <from=notification+ybxaysrr@facebookmail.com> <to=recipient@domain.tld>; delay: 2s
Apr  7 19:30:39 imx002 postfix/smtpd[15091]: NOQUEUE: client=outmail017.snc1.tfbnw.net[69.63.178.176]
Apr  7 19:30:39 imx002 amavis[14842]: (14842-01) ESMTP::10024 /var/amavis/tmp/amavis-20100407T193039-14842: <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld> Received: from imx002.zrh01.ndnet.ch ([127.0.0.1]) by localhost (imx002.zrh01.ndnet.ch [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <recipient@domain.tld>; Wed,  7 Apr 2010 19:30:39 +0200 (CEST)
Apr  7 19:30:40 imx002 amavis[14842]: (14842-01) Checking: PFRG1svt5Vei [69.63.178.176] <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld>
Apr  7 19:30:40 imx002 amavis[14842]: (14842-01) p001 1 Content-Type: text/plain, size: 952 B, name:
Apr  7 19:30:46 imx002 postfix/smtpd[15104]: connect from localhost[127.0.0.1]
Apr  7 19:30:46 imx002 postfix/smtpd[15104]: 8EFB8BC023: client=outmail017.snc1.tfbnw.net[69.63.178.176]
Apr  7 19:30:46 imx002 postfix/cleanup[15105]: 8EFB8BC023: message-id=<571e4379e6c0a33cb735e3bf8d3b6a76@www.facebook.com>
Apr  7 19:30:46 imx002 postfix/qmgr[16620]: 8EFB8BC023: from=<notification+ybxaysrr@facebookmail.com>, size=3389, nrcpt=1 (queue active)
Apr  7 19:30:46 imx002 amavis[14842]: (14842-01) FWD via SMTP: <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld>,BODY=7BIT 250 2.6.0 Ok, id=14842-01, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 8EFB8BC023
Apr  7 19:30:46 imx002 amavis[14842]: (14842-01) Passed CLEAN, [69.63.178.176] [69.63.178.176] <notification+ybxaysrr@facebookmail.com> -> <recipient@domain.tld>, Message-ID: <571e4379e6c0a33cb735e3bf8d3b6a76@www.facebook.com>, mail_id: PFRG1svt5Vei, Hits: -2.135, size: 2980, queued_as: 8EFB8BC023, 6960 ms
Apr  7 19:30:46 imx002 amavis[14842]: (14842-01) TIMING [total 6963 ms] - SMTP greeting: 4 (0%)0, SMTP EHLO: 0 (0%)0, SMTP pre-MAIL: 0 (0%)0, mkdir tempdir: 0 (0%)0, create email.txt: 0 (0%)0, SMTP pre-DATA-flush: 181 (3%)3, SMTP DATA: 180 (3%)5, check_init: 1 (0%)5, digest_hdr: 1 (0%)5, digest_body: 0 (0%)5, gen_mail_id: 1 (0%)5, mkdir parts: 0 (0%)5, mime_decode: 7 (0%)5, get-file-type1: 9 (0%)6, parts_decode: 0 (0%)6, check_header: 1 (0%)6, AV-scan-1: 3 (0%)6, spam-wb-list: 1 (0%)6, SA parse: 4 (0%)6, SA check: 6488 (93%)99, update_cache: 6 (0%)99, decide_mail_destiny: 1 (0%)99, fwd-connect: 28 (0%)99, fwd-xforward: 0 (0%)99, fwd-mail-pip: 8 (0%)99, fwd-rcpt-pip: 0 (0%)99, fwd-data-chkpnt: 0 (0%)99, write-header: 1 (0%)99, fwd-data-contents: 0 (0%)99, fwd-end-chkpnt: 26 (0%)100, prepare-dsn: 1 (0%)100, main_log_entry: 8 (0%)100, update_snmp: 1 (0%)100, SMTP pre-response: 0 (0%)100, SMTP response: 0 (0%)100, unlink-1-files: 0 (0%)100, rundown: 0 (0%)100
Apr  7 19:30:46 imx002 postfix/smtpd[15104]: disconnect from localhost[127.0.0.1]
Apr  7 19:30:46 imx002 postfix/smtp[15106]: 8EFB8BC023: to=<recipient@domain.tld>, relay=mca001.zrh01.ndnet.ch[2001:1620:2013:2201:5bc7:daee:0:1]:25, delay=0.16, delays=0.03/0.04/0.06/0.04, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as AE11240073)
Apr  7 19:30:46 imx002 postfix/qmgr[16620]: 8EFB8BC023: removed
Apr  7 19:30:51 imx002 postfix/smtpd[15091]: disconnect from outmail017.snc1.tfbnw.net[69.63.178.176]
04-08-2010 07:25 AM
Visit this user's website Find all posts by this user Quote this message in a reply
Jadawin Offline
Junior Member
*

Posts: 26
Joined: Nov 2009
Reputation: 0
Post: #9
RE: Mails von Facebook = SPAM?
(04-08-2010 07:25 AM)rbtux Wrote:  Nun unser policyd-weight mach nur dnsbl lookups...

K, danke, werde das gegebenenfalls auch so machen... Habe es vorhin nochmals ohne whitelist probiert, nun weist postfix die Mail wegen zu schnelle wiederprobieren ab ("retrying too fast. penalty 30s x 0 retries."), allerdings kann das nicht sein...
Das pidfile von policyd-weight ist auch nirgends... Muss den Server mal neu starten und schauen wies aussieht.

Ach ich lass es mal... Funktioniert ja und das kommt jetzt in die Doku.^^

Thx @ all für die Tipps Smile
(This post was last modified: 04-08-2010 07:57 AM by Jadawin.)
04-08-2010 07:56 AM
Find all posts by this user Quote this message in a reply
BlackViper73 Offline
Junior Member
*

Posts: 15
Joined: Nov 2010
Reputation: 0
Post: #10
RE: Mails von Facebook = SPAM?
Hallo, ich hole den Thread mal wieder aus der Versenkung raus. Ich hab auch ein Problem wie hier beschrieben, aber halt nur nicht mit Mails von Facebook. Hier erstmal der betreffende Teil aus dem Log:

Code:
Jan 31 09:09:03 ct9396 postfix/smtpd[13849]: connect from sccimhc92.nyc3.attens.net[206.18.171.202]
Jan 31 09:09:04 ct9396 postfix/policyd-weight[26374]: weighted check:  NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 CL_IP_NE_HELO=1.5 RESOLVED_IP_IS_NOT_HELO=1.5 (check from: .htcsense. - helo: .sccimhc92.asp.att. - helo-domain: .att.)  FROM_NOT_FAILED_HELO(DOMAIN)=3; <client=206.18.171.202> <helo=sccimhc92.asp.att.net> <from=do@htcsense.com> <to=info@tienda-fantasia.com>; rate: 1.5
Jan 31 09:09:04 ct9396 postfix/policyd-weight[26374]: decided action=550 Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: sccimhc92.asp.att.net, MTA hostname: sccimhc92.nyc3.attens.net[206.18.171.202] (helo/hostname mismatch); <client=206.18.171.202> <helo=sccimhc92.asp.att.net> <from=do-not-reply@htcsense.com> <to=info@tienda-fantasia.com>; delay: 1s
Jan 31 09:09:04 ct9396 postfix/smtpd[13849]: NOQUEUE: reject: RCPT from sccimhc92.nyc3.attens.net[206.18.171.202]: 550 5.7.1 <jarno.ackermann@jyl-computer-service.de>: Recipient address rejected: Mail appeared to be SPAM or forged. Ask your Mail/DNS-Administrator to correct HELO and DNS MX settings or to get removed from DNSBLs; MTA helo: sccimhc92.asp.att.net, MTA hostname: sccimhc92.nyc3.attens.net[206.18.171.202] (helo/hostname mismatch); from=<do-not-reply@htcsense.com> to=<info@tienda-fantasia.com> proto=ESMTP helo=<sccimhc92.asp.att.net>
Jan 31 09:09:05 ct9396 postfix/smtpd[13849]: disconnect from sccimhc92.nyc3.attens.net[206.18.171.202]
Nun was hab ich bisher getan. Ich habe wie hier beschrieben die helo_whitelist angelegt und dann in die /etc/postfix/main.cf die entsprechende Zeile ergänzt. Dann postfix neu gestartet. Aber es will einfach nicht funktionieren. Die Meldung taucht immer wieder im Log auf.
Als System hab ich Debian Lenny und ispcp 1.0.6 am laufen.
Hab ich irgendwo etwas vergessen?

Viele Grüße und danke schonmal
Jarno
01-31-2011 06:16 PM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 8 Guest(s)