Onderwerp: Spam omzeilt Barracuda Spam Firewall

Wij maken al 2 jaar tot volle tevredenheid gebruik van een Barracuda Spam Firewall, echter zitten we momenteel met het volgende probleem.

Wij hebben onze eigen servers gefirewalled, en mail die niet via de Barracuda gaat, wordt geblokkeerd. Er wordt alleen e-mail geaccepteerd van het Barracuda IP. Nu hebben we ook een bestelling gekregen voor enkele domeinen van een klant met een Dedicated Server. Hij kan niet van een firewall gebruik maken, aangezien de meeste van zijn domeinen niet beveiligd worden door de Barracuda.

Echter wat nu de situatie is, spammers sturen e-mail naar het serverip, en niet naar de Spam Firewall uit het MX-record van het domein.

Ik weet dat hier veel mensen zijn die ook gebruik maken van een dedicated eigen anti-spam appliance/server of van de voorzieningen van partijen als Cleanport, Spamexperts, e.d.

Zijn jullie tegen het probleem aangelopen dat spammers gewoon direct de Destination Mail Server e-mailen? En hoe gaan jullie hier mee om?

Veel spam applicaties gebruiken gewoon het ip dat aan een server was gelinkt. Persoonlijk zou ik je klant het volgende aanraden.

- Extra smtp instance, die luistert op een andere poort en/of ip. En daar de baracuda whitelisten.

Een andere mogelijkheid is er volgens mij niet, zeker omdat niet alles over de baracuda gaat.

Inderdaad, zolang de mail server niet luistert op het "standaard IP" zou je dat probleen niet moeten hebben. Dus een server uitrusten met 2 IP adressen zou al voldoende moeten zijn.

A-record spam heet dat, ze mailen naar het mail.domein.tld record.

Oorspronkelijk geplaatst door Wido

A-record spam heet dat, ze mailen naar het mail.domein.tld record.

stel we pointen die naar wat anders ( localhost ) of het is een wildcard die naar het juiste ip point, scheelt dat of gaat men dan naar het www A record kijken ?

Oorspronkelijk geplaatst door Ramon Fincken

stel we pointen die naar wat anders ( localhost ) of het is een wildcard die naar het juiste ip point, scheelt dat of gaat men dan naar het www A record kijken ?

Ik heb gemerkt dat als je geen mail.domein.tld record hebt, er ook geen spam langs je firewall gaat.

Dat record dus gewoon blackholen naar localhost

• Deimos: Dan moet ik een totale nieuwe configuratie van Qmail installeren die naast de huidige Qmail draait, dan kan de klant ook niets meer aanpassen met Plesk.

• gtje: De Barracuda domeinen van hem staan al op een dedicated firewall-protected IP, de spam wordt alleen nog naar het oude ip gestuurd, welke vroeger als MX-record stond. Het aanpassen van alle MX-records naar een nieuw IP, zou in dit geval het probleem verhelpen. Echter indien de spammers weer het oude IP onthouden, zit ik met hetzelfde probleem en kan ik weer 200 domeinen van MX-record veranderen indien er één klant hetzelfde probleem heeft als hij wordt aangesloten op de Barracuda.

De oplossing zou inderdaad zijn om voor spamdomein.nl alleen mail te accepteren die naar een specifiek firewalled IP op de server gaat, echter biedt Qmail hier geen ondersteuning voor en accepteert gewoon e-mail op een willekeurig serverip voor domeinen.

Momenteel komt de spam aan op 50.50.50.10 en het MX-record is 50.50.50.18. hierop komt de legitieme e-mail ook aan. Dit laatste IP accepteert alleen e-mail van de Barracuda via de APF Firewall.

• Wido: mail.domein.nl verwijst al een week naar 127.0.0.1

Oorspronkelijk geplaatst door Wido

Ik heb gemerkt dat als je geen mail.domein.tld record hebt, er ook geen spam langs je firewall gaat.

Dat record dus gewoon blackholen naar localhost

thanks, handig om te weten, naast FTP

Postfix heeft een feature geheten recipient address verification.
Handige hiervan is door met een lokale datamap te werken, of bijv een SQL of LDAP backend je per domein kan aangeven of je mail vanaf elke destiny wil aannemen of door te zeggen nee, en in je smtpd_recipient_restriction wel een permit_mynetworks opneemt, toch mail van de barracuda spam firewall kan doorlaten.

Onze klanten stellen de lokale mailserver meestal dusdanig in dat specifiek voor de domeinnamen die via onze filter clusters lopen, de email alleen vanaf onze hostnames wordt geaccepteerd. Je moet dus niet op firewall basis maar op mailserver basis je instellingen aanpassen. Voor zover ik weet kan dat met iedere mailserver software.

Mooie oplossing die wij daarvoor gebruiken is een smtp proxy.
Alles gaat daardoor, en word dan zowieso gefilterd. Niks dat langs andere kanten kan gaan of andere ip adressen.