# Mailserver: IP des Versenders wird verwendet -> Spam



## ready-4-it.de (8. Okt. 2008)

Hallo,

ich habe seit einiger Zeit ein Problem, welches mir Kopfzerbrechen bereitet. Verwende ISPC mit einem Mailserver (postfix).

Problem: Bei einige Domains werden versendete Mails als SPAM deklariert. Dies tritt selbst dann auf, wenn alle Domains sich auf dem selben Server (mit ISPC) sich befinden und untereinander Mails versenden.


Meldung vom Spamfilter:
Content analysis details:   (9.4 points, 5.0 required) 

pts rule name              description 
---- ---------------------- -------------------------------------------------- 
0.9 RCVD_IN_PBL            RBL: Received via a relay in Spamhaus PBL 
                           [85.179.91.156 listed in zen.spamhaus.org] 
0.9 RCVD_IN_SORBS_DUL      RBL: SORBS: sent directly from dynamic IP address 
                           [85.179.91.156 listed in dnsbl.sorbs.net] 
0.0 BAYES_50               BODY: Bayesian spam probability is 40 to 60% 
                           [score: 0.4127] 
2.2 TVD_SPACE_RATIO        BODY: TVD_SPACE_RATIO 
1.4 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 chars 
4.0 AWL                    AWL: From: address is in the auto white-list 



Offensichtlich wird hier die IP genommen, die vom Eingewählten DSL-Provider gestellt wird, statt der IP von meinem Mailserver.

Welche Einstellung ist fehlerhaft, bzw. fehlt auf meinem Server? Wäre nett, wenn mir jemanden die entscheidenden Hinweise geben kann. 



-----------------------

# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = mail.mailserver.net
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
#mydestination = server1.mailserver.de, localhost.mailserver.de, , localhost
relayhost =
mynetworks = 127.0.0.0/8

#npe
#mailbox_command = procmail -a "$EXTENSION"
mailbox_command = procmail -a "$EXTENSION"

mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
inet_interfaces = all
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

#npe
home_mailbox = Maildir/

#################################################################################
#npe
virtual_maps = hash:/etc/postfix/virtusertable
mydestination = /etc/postfix/local-host-names, $myhostname, localhost.$mydomain, localhost, localhost.localdomain
soft_bounce = yes

#for outlook
#smtpd_tls_sasl_security_options = noanonymous

# global filter all mails
#content_filter=amavis:[127.0.0.1]:10024
#receive_override_options = no_address_mappings
#change per domain or ip possible
# max master check processes; normal praxis: 10
#amavis_destination_concurrency_limit = 2

message_size_limit = 104857600
#EDIT: example of calculating right size settings
#(1MB = 1*1024*1024 = 1048576 -> 100MB = 1*1024*1024*102.4 = 107374182.4 = 107374183)inet_protocols = all

#virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
#virtual_transport = virtual

inet_protocols = all


----------



## Till (8. Okt. 2008)

> Offensichtlich wird hier die IP genommen, die vom Eingewählten DSL-Provider gestellt wird, statt der IP von meinem Mailserver.


Bist Du Dir da wirklich sicher? Soweit ich weiß nimmt spamassassin die niemals, wenn Du die Testmail nicht selbst versendet hast, würde ich eher darauf tippen dass sie wirklich von einer dynamischen IP versendet wurde und nicht über Deinen Server. Oder aber der absender hat sich auf Deinem Server nicht per smtp-auth authentifiziert beim senden.


----------



## ready-4-it.de (8. Okt. 2008)

Zitat von Till:


> Bist Du Dir da wirklich sicher?


Ja. Hier die Resultate von nslookup für die angegebene Adresse vom Spamfilter:

```
nslookup 85.179.91.156
Server:         213.191.74.11
Address:        213.191.74.11#53

Non-authoritative answer:
156.91.179.85.in-addr.arpa      name = e179091156.adsl.alicedsl.de.

Authoritative answers can be found from:
```
Der Server mit ISPC hat die IP 19x.x.x.x


----------



## Till (8. Okt. 2008)

Dass die IP oben eine dynamische ist, glaube ich schon. Die Frage ist nur, wie die Mail versendet wurde. Hast Du sie selbst versendet und vorher kontrolliert, dass wirklich Dein Server als Postausgangsserver im mail Client steht und dass smtp-auth aktiviert ist?

Ich habe das oben schon häufiger gesehen und in allen Fällen hat sich nachher rausgestellt, dass der Kunde einen lokalen smtp Server betrieben hatte, auch wenn er es erst zig mal abgestritten hat.


----------



## ready-4-it.de (8. Okt. 2008)

Ja, definitiv ist mein Mailserver als SMTP angegeben. Ich habe den Client selbst eingerichtet. Thunderbird auf Wind XP Home.

In diesem Problemfall ist der tatsächliche Mailserver als STMP angegeben.  Aber vielleicht hier eine Frage, die interessant ist:

Sollte für jede eingerichte Domain nicht der entsprechende Domainname als SMTP angegeben werden?
z.B. mail.beispiel.de auf dem ISPC-Server www.ispcserver.de


----------



## Till (8. Okt. 2008)

> Sollte für jede eingerichte Domain nicht der entsprechende Domainname als SMTP angegeben werden? z.B. mail.beispiel.de auf dem ISPC-Server www.ispcserver.de


Das ist nicht nötig, es kann eine beliebige Domain oder sogar die IP des Servers genommen werden.

Hast Du die obige Mail noch da, so dass Du mal den kompletten Header mit allen received Zeilen posten kannst?


----------



## ready-4-it.de (8. Okt. 2008)

Danke für die Info.

Anbei der vollständige Header im Anhang.


----------



## ready-4-it.de (9. Okt. 2008)

Hallo Till,

hast du noch eine Idee worin das Problem lieg?


----------



## Till (12. Okt. 2008)

Ich denke as Problem besteht aus 2 Teilen. Zum einen hat die Email einige SPAM-Merkmale, das könntest Du aber nur ändern wenn Du die Emails selbst erzeugst z.B. wenn Sie von Deiner eigenen Website versendet werden.

Das andere ist die AWL. AWL ist eine Funktion in spamasasssin die Tendenzen beim verstärkt, z.B. wenn häufiger Mails von diesem Absernder als spam erkannt wurden. Du kannst mal versuchen die AWL zu resetten, wie das genau geht, weiß ich nicht. Aber Du wirst dazu bestimmt was im Netz finden. Da muss vermutlich nur eine Datei gelöscht werden.

Das letzte Problem sind die Einträge der IP 85.179... in den Blacklists, da wirst Du vermutlich nichts anderes machen können als mit Deinem Provider zu sprechen, dass der dafür sorgt dass die IP nicht als dynamische IP gelistet ist oder er muss Dir eine andere IP zuweisen, die nicht gelistet ist. Ein Kontaktieren der Blacklists mit der Bitte um Entfernung der IP bringt meiner Erfahrung nach wenig.


----------

