Wie kann ich Port 25 blocken

[Slashwalker]

Zum Problem an sich kann ich leider nicht viel sagen.


Aber dazu:

und das der provider knabe auch nur irgendwas aus einem logfile für dich rausliest, bezeichne ich mal als "wuchtel". alleine wenn ich mir meinen mailserver ansehe.....77 domain und ca. 400 adressen.
vergiss es. da schau ich mir die augen wund.
da kann der unmöglich sagen, ob das genau dieses mail war.
natürlich wird er immer wieder einträge finden. doch ich würde sagen, das diese auch die unzustellbarkeits meldungen der anderen server sein könnten. das ist fast unmöglich zu verifizieren.
da legt sich kein provider vor dem logfile auf die lauer.
also ich kann es mir zumindest nicht vorstellen. schon garnicht bei den domainhosting preisen die z.z. herrschen.

Ich habe selbst schon in Logfiles auf einem Root-Server gestöbert, weil ich herausfinden musste an wen die Email x vom Tag y um z Uhr ging. Das ist kein großer Akt. Allerdings habe ich auch noch nie erlebt, das es ein großes globales Logfile gibt. Unsere Server erstellen Logfiles pro Domain.

 

[arc]

Hm, sorry, ich hab' leider nicht den Überplan , daher kann ich erstmal nichts weiter dazu sagen.

 

[helge]

So wie es aussieht, wird Mail von irgendeinem Prozess ferngesteuert. Was du machen könntest wäre, in der Aktivitäts-Anzeige zu schauen, ob Mail irgendwann als Kindsprozess auftaucht. Dort lokalisierst du den Elternprozess und löscht dessen Datei ...
Da es sich bei Mac OS X um ein vollwertiges UNIX handelt, sind sämtliche Angriffe ungesicherter UNIX-Systeme auch auf dem Mac erfolgreich. So kann es auch sein, dass es ein gewöhnliches Script ist, das durch irgendeinen Zufall oder eine Unvorsichtigkeit gestartet wurde, welches einfach nur zufällig Mail benutzt, weil es das Standard-E-Mail-Programm ist.
Der leichtsinnige Umgang von Mail mit E-Mails, nämlich sie beim bloßen Anklicken als HTML-Mail zu zeigen (was Outlook Express wenigstens abschaltbar ist), ist wirklich ein großer Grund zur Sorge, denn auch dadurch ist es durchaus möglich, ungewollt Scripte auf dem heimischen Rechner auszuführen - die Schwachstellen liegen hierbei meiner Meinung nach bei diesem widerlichen JavaScript - wie gesagt, nur mein Meinung.
Was du auch kontrollieren könntest, ob der Paketinhalt von Mail verändert wurde (irgendwelche Scripte oder Dateien drin sind, die da nicht reingehören).
Desweiteren würde ich die Autostart-Ordner kontrollieren, ob sich da irgendwas eingenistet hat, was da nicht hingehört. Nicht nur die von Mac OS X, sondern alle UNIX-mäßigen Ordner sind zu kontrollieren.

Die Firewall (oder der?) von Mac OS X ist übrigens NICHT für ausgehende Verbindungen zuständig sondern verhindert einzig und allein das Eindringen von außen. Lokal ausgeführte Programme haben fast schon Narrenfreiheit (soweit es das Rechtemanagement von UNIX nicht verhindert).

 

[QuickMik]

So wie es aussieht, wird Mail von irgendeinem Prozess ferngesteuert.

tut mir sorry....das kann ich nicht glauben.
denke noch immer, das meine erklärung die logischere ist

 

[MacMark]

Eine ganz normale Spam-Mail. Die lassen keine Verarsche aus. Hier ist es der Trick, daß Du angeblich etwas geschickt hast, was nicht zugestellt werden konnte. Der eigentliche Zweck ist, Dir diese Werbemail für Pornos und Glücksspiel unterzujubeln. Email-Header sind vollkommen unzuverlässig und können von oben bis unten problemlos gefälscht werden. Wenn Du bei dem Mailprogramm das Nachladen von Bildern von anderen Servern nicht deaktiviert hast, lädst Du beim Lesen der Mail Teile nach (Bilder etc.). Deren Server bekommt damit die Bestätigung, daß Deine Email-Adresse aktiv genutzt wird und bringt viel Geld für Weiterverkauf. Nebenbei bekommen sie damit auch Deine aktuelle IP-Adresse - für die nächste angeblich von Dir gesendete Mail, die dann mit falscher IP, falschem Absender etc. verschickt wird, bzw gar nicht verschickt wird, sondern nur eine angebliche Antwort auf eine Mail, die Du gar nicht verschickt hast.

 

[arc]

Whhhoooo! Damit dürfte das "Rätsel" gelöst sein: Zeit und IP passen nach dieser Beschreibung nun in das Schema.

Danke MacMark .

 

[MacMark]

… Also sofort [ein Virenschutzprogramm] gekauft (habe noch nie ein Anti-Viren-Tool gekauft) und drübergelassen: 5 Viren gefunden und vernichtet.

Es gibt keine Viren für OS X, Stand heute. Allenfalls ein paar Trojanerversuche. Ich hoffe mal, daß die Löschungen gelogen waren (das gibt es wirklich und die nehmen Geld dafür) oder nichts Wichtiges nun fehlt.

Leider versendet mein Mac noch immer SPAM, offenbar kennt [das Virenschutzprogramm] meinen Käfer noch nicht.…

Sie machen Dich glauben, Du hättest etwas verschickt. Die "Antwort" ist jedoch wie oben von mir beschrieben komplett gefälscht.
Wie soll es etwas kennen, das es nicht gibt?

 

[MacMark]

…
- - Directory "Smart Crash Reports" mit "info" und "Smart Crash Reports.bundle"
…

Unsanity. Nichts, was mit denen zu tun hat, kommt auf meinen Rechner. Deren Smart-Crash-Reporter wird allerdings auch von anderer Software gelegentlich mitinstalliert.

http://daringfireball.net/2006/01/smart_crash_reports
Zum Glück sterbern die InputManager den verdienten Tod:
http://www.macmark.de/osx_security.php#inputmanager

 

[helge]

Wenn das des Rätsel Lösung ist, dann ist es trotzdem Ratsam, das Vorschaufenster von Mail gleich mal zu schließen (bzw. nach unten zu minimieren). Wie ich geschrieben habe, Mail lädt, trotz der bereits lange bekannten Gefahr des sich bestätigen lassens, das die E-Mails-Adresse aktiv genutzt wird, die Bilder nach.
Das ist so ein Punkt, wo ich sagen muss, dass Outlook Express besser ist: die Vorschau lässt sich schließen, E-Mails können als "nur Text" gelesen werden (HTML wird ignoriert) und selbst nach dem Umschalten auf HTML bekommt man eine Wahrung angezeigt, dass die Seite probiert, Bilder aus dem Netz nachzuladen, was man dann explizit erst erlauben muss.
Gehe ich Recht in der Annahme, dass Thunderbird das auch macht? Dann nimm anstatt Mail lieber Thunderbird.

 

[QuickMik]

Wie ich geschrieben habe, Mail lädt, trotz der bereits lange bekannten Gefahr des sich bestätigen lassens, das die E-Mails-Adresse aktiv genutzt wird, die Bilder nach.

aber nicht ohne interaktion.
ganz verstehe ich noch nicht was du meinst.
mail soll keine bilder anzeigen, auch wenn du es ausdrücklich willst?

oder stehe ich jetzt im wald und sehe die bäume nicht?

 

[MacMark]

Du mußt unterscheiden zwischen Bildern, die mit der Email verschickt wurden und solchen, die nur per URL in der Email drinstehen und dann eben nachgeladen werden. Nur letztere sind unerwünscht. Und die kann man mit Mail.app deaktivieren.

 

[MacMark]

– Vl kann das die OSX Firewall auch, woran ich aber nicht glaube, da die sehr einfach gestrickt ist!

In einem Punkt liegst Du richtig: Das Ziel war, eine für normale Anwender verständliche Firewall anzubieten. Ports sagen dem Normalo nichts, aber Programm-Namen sagen ihm etwas. Portsperrung ist darüberhinaus bei Programmen, die wechselnde Ports nutzen, schwierig. Hier werden ganze Programme gesperrt für eingehenden Verkehr.

Zum Portsperren würde man die ipfw, die Portfilterung vornimmt, nutzen, die jedoch mit Bordmitteln ohne GUI eingestellt werden müßte. Die Einstellmöglichkeiten würden einem Laien jedoch auch mit GUI nichts sagen.

Leopard hat also eine Application-Level-Firewall und eine Portfilter-Firewall.

Auf Windows mag eine Firewall sinnvoll sein, um Ports zu schützen, die unerwünscht aufgemacht wurden aufgrund bestimmer Eigenarten von Windows und seiner Programme. Auf OS X halte ich das für ein Plazebo.
http://www.macmark.de/osx_security.php#firewall

 

[wolfsbein]

... Nebenbei bekommen sie damit auch Deine aktuelle IP-Adresse - für die nächste angeblich von Dir gesendete Mail, die dann mit falscher IP, falschem Absender etc. verschickt wird,...

Ganz so einfach ist es nicht. Es laesst sich zwar praktisch alles im Header faelschen, die Absender-IP jedoch nicht. Da wir die jedoch wahrscheinlich noch nicht gesehen haben (Full-Header) bleibt das Szenario trotzdem wahrscheinlich.

 

[MacMark]

… Es laesst sich zwar praktisch alles im Header faelschen, die Absender-IP jedoch nicht. …

Mit eigenem Mail-Server kann ich die IP-Ursprungs-Angaben von Mails, die über mich laufen, nicht fälschen?

Hier ist ein Beispiel-Fall von IP-Spoofing:
http://www.security-forums.com/viewtopic.php?p=269340

 

[Bier]

Vielleicht noch mal ausnahmsweise konstruktiv was hinterher: wer bitte geht allen Ernstes bei Port 25 davon aus, dass sein PW lange geheim bleibt. Ich will jetzt gar nicht mit ssh-Tunneln anfangen, weil das hier einfach mal mangels Wissen und Interesse nicht in Frage kommt, jedoch braucht sich meiner Meinung nach jemand, der clear-Text PWs raussendet über nichts beschweren. Im Gegenteil: eines der Hauptprobleme ist, dass die Leute zu wenig aufpassen und einfach zu faul sind, die Handbücher oder Hilfe Abschnitte zu lesen.

Das wäre das eine... was man harsch kritisieren muss, weil die Leute es andernfalls einfach nicht kapieren. Das andere wäre, was die Leute auch nicht kapieren, und weshalb sie nun mal solche Unanehmlichkeiten mehr und mehr in kauf nehmen müssen, ist, dass das eine Addresse bei einem Freemailer nicht ausreichend ist. Wer seine Mail nicht zumindest zertifiziert oder signiert, soll sich nicht wundern, wenn er zugespamt wird. Denn Spambots machen sicher alles, aber die knacken keine RSA Keys.

Leider aber kapiert das keiner, oder es sind 99,9% aller Leute zu faul dazu. Vielleicht auch beides und die Leute lesen einfach nicht mehr und schauen nur noch Youtube und MySpace und evtl. als Bildungsausgleich BigBrother. Dann braucht sich heutzutage keiner mehr wundern, wenn er mit dem Medium eMail nicht gelern hat umzugehen. Wer seinen Horizont nicht erweitert... trägt eine große Mitverantwortung.

 

[arc]

Wenn ich 'n Informatikstudium brauch um 'n paar E-Mails zu versenden ... das kann's ja auch nicht sein .

 

[pepi]

[…]Gehen wir miteinander einig, dass der komplette Header bei Mail.app sichtbar ist, wenn ich Menu Darstellung->E-Mail->Lange Header auswähle? Falls ja, dann habe ich den kompletten Header gepostet - MEHR IST DA NICHT! Falls nein, dann sag mir doch bitte, wie ich zu einem noch kompletteren Header komme?[…]Aber bitte schick mir doch per PN Deine Mailadresse - dann forwarde ich Dir das Mail und Du kannst es dann komplett und unanonymisiert anschauen.[…]

Nein, da sind wir nicht d'accord. Die kompletten Header bekommst Du nur durch die Quelltextanzeige des eMails. Mein eMail Adresse steht in meinem Profil drinnen, und meine Website ist ebenfalls verlinkt. Das wird wohl genügen.

Vielleicht noch mal ausnahmsweise konstruktiv was hinterher: wer bitte geht allen Ernstes bei Port 25 davon aus, dass sein PW lange geheim bleibt.[…]
[…]

Deswegen verwendet man auch SSL und vermeidet zusätzlich Klartextauthentifizierung sondern nimmt nach Möglichkeit ein Hash-Verfahren. Auf welchem Port und mit welchem Protokoll ist wurscht.
Gruß Pepi

 

[QuickMik]

Nein, da sind wir nicht d'accord. Die kompletten Header bekommst Du nur durch die Quelltextanzeige des eMails...

naja....ich denke schon das er mit "apfel+shift+h" den langen header rausbekommt.
allerdings bin ich nach wie vor davon überzeugt, das wir den hier noch nicht gesehen haben.

wenn es so ist wie ich denke, wird der lange header ja auch nur den weg vom anderen ende...
sprich, dem mailserver der den spam vermeintlich von ihm bekommen hat zeigen.
was dann dort als header drin steht, ist ja schon gefaked.

also ich lass mich gerne eines besseren belehren....aber z.z. gibts für mich noch keine schlüssige erklärung, das er einen trojaner hat.

ciao
mike

 

[pepi]

Mike,
"lange Header" < "komplette Header", schau Dir doch mal ein eigenes Mail im Quelltext an, dann weist Du was ich meine.
Gruß Pepi

 

[Bier]

Deswegen verwendet man auch SSL und vermeidet zusätzlich Klartextauthentifizierung sondern nimmt nach Möglichkeit ein Hash-Verfahren. Auf welchem Port und mit welchem Protokoll ist wurscht.
Gruß Pepi

Use the SSL, Luke!

btw: natürlich ist Layer 8 egal, aber trotzdem ist das genormt. Port 25 ist smtp ohne SSL (evtl. mit TLS). Ich bezweifle, dass sich unser Werbepartner der Synantec AG die Ports umgelegt hat. Oder dass xyz Antivirus das macht. Wär ja mal ne Maßnahme!

Ich kann auch nen smtp cleartext via Port 448 laufen lassen.
Aber dann würde das Thema hier nicht wirklich existieren, sondern: "25 (smtp via TLS) sperren auf Grund von Spameingang?"

Es bleibt dabei: die Leute können nicht mehr Lesen! Das muss wieder gelernt werden.