Dienstag, 30. Januar 2007, 18:04
Gefälschte Rechnungen (2)
Da das mit den gefälschten Rechnungen einfach nicht aufhören will, haben wir uns entschlossen, unseren Spamfilter auf die "harte" Weise dazu zu bringen, diese E-Mails als Spam klassifizieren.
Bei der Gelegenheit habe ich mir gerade mal den wohl erst neu gesetzten SPF-Eintrag der genutzten Absende-Domain angeschaut:
Ohne unseren Kollegen auf die Füße treten zu wollen, aber irgendwie sieht dieser SPF-Eintrag danach aus, als wüßte man nicht so ganz, welche eigenen Systeme von welchen Servern aus E-Mails mit der eigenen Domain verschicken, und man so einfach einmal alles erschlägt. Immerhin besser als gar kein SPF-Eintrag. Ich mag mich natürlich täuschen und die haben wirklich so viele potentielle IP-Adressen (nämlich 303.107), die in Frage kommen.
Bei der Gelegenheit habe ich mir gerade mal den wohl erst neu gesetzten SPF-Eintrag der genutzten Absende-Domain angeschaut:
v=spf1 ip4:xxx.165.0.0/16 ip4:xxx.20.224.0/19 ip4:xxx.227.0.0/16 ip4:xxx.106.0.0/16 ip4:xxx.160.0.0/16 ip4:xxx.165.64.0/19 ip4:xxx.72.192.0/20 ip4:xxx.208.0.0/18 ip4:xxx.208.64.0/20 ip4:xxx.236.18.66 ip4:xxx.88.206.40 ip4:xxx.88.206.48 ~allGegen ein /24 spricht ja prinzipiell nichts, aber ganze /16 als valide Mailversender anzugeben, könnte dazu führen, dass jemand bewusst E-Mails aus dem Netz des Markbegleiters heraus (z.B. über einen gehackten Rootserver) verschickt, um sie über den SPF-Eintrag als authentisch dastehen zu lassen.
Ohne unseren Kollegen auf die Füße treten zu wollen, aber irgendwie sieht dieser SPF-Eintrag danach aus, als wüßte man nicht so ganz, welche eigenen Systeme von welchen Servern aus E-Mails mit der eigenen Domain verschicken, und man so einfach einmal alles erschlägt. Immerhin besser als gar kein SPF-Eintrag. Ich mag mich natürlich täuschen und die haben wirklich so viele potentielle IP-Adressen (nämlich 303.107), die in Frage kommen.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Alphager
nighthawk
nunja.. es mag sein, dass die sogar so viele ip adressen besitzen.. aber die sind sicherlich nicht alle berechtigt fuer die domain 2und2.de ("Name v.d.Red. geändert") emails zu verschicken.. denn mein rootserver ist z.b. direkt im ersten /16 (ip4:xxx.165.0.0/16) mitenthalten
Matthias Bauer