Hallo, mir ist heute was passiert... das muss ich einfach mal mit anderen teilen. Kann man mit einer Mail das halbe Internet runterreissen?
Folgendes ist passiert: Ich installiere gerade einen neuen Mailserver. Auf dem kommt "natürlich" spamassassin zum Einsatz. Dieser soll die Mails nur taggen und durchlassen, zwecks finaler (eigenverantwortlicher) Filterung auf den Client-Rechner, allesamt Macs. Aufgrund der bekannten Problematik von Spam-Benachrichtigungen an den "Absender" (Der meistens gar nicht der Absender ist...) soll keine Benachrichtigung erfolgen. Da ich aber noch beim konfigurieren bin, war dieses Feature *noch* eingeschaltet. Es gibt eine Zeichenkette, die man in eine Mail schreiben kann, und die jeder Spamfilter als Spam auswerten soll, so ähnlich wie das "Eicar"-File, auf das jeder Virenscanner anspringen soll. Näheres in der FAQ von spamassassin: http://spamassassin.apache.org/gtube/ Mit Hilfe dieser Zeichenkette wollte ich den Spamfilter testen. Da der Test von aussen stattfinden sollte, schrieb ich eine Mail über einen anderen Webserver unserer Firma in den USA, auf den ich Zugriff habe, den ich aber nicht verwalte. Dieser leitet Mails an mich auf meinen deutschen Account weiter. Die Jungs haben allerdings auf ihrem Server Spam-Benachrichtigungen aktiviert. Jetzt passierte folgendes: Ich schickte meine Spam-Mail an den US-Server. Ich hatte vergessen, dass das dumm ist, denn bereits deren Spamfilter erkennt ja den Testspam als solchen, verweigert bereits die Einlieferung und schickte die bekannte Fehlermeldung zurück. Dabei zitierte es meine Mail - mit der "Spamtest-Zeichenkette" drin. Statt das ganze ordnungsgemäss als Bounce zu erkennen, sprang wiederum unser Mailserver sofort auf die Test-Zeichenkette an und antwortete mit einer Fehlermeldung, in der, man ahnt es schon, die Test-Zeichenkette zitiert wurde. Woraufhin der US-Server... worauhin der deutsche Server... US... D... US... D... Mit anderen Worten: Ein richtig schöner Mail-Loop. Zwar nicht so rasend schnell, aber binnen zehn Minuten kamen 100 Mails zusammen. Dank meiner Root-Rechte auf beiden Kisten haben ich beiderseits den spamassassin-Daemon beendet, bis die Server alles ausgeliefert hatten. Hätte ich keine root-Rechte gehabt, wäre das übel ausgegangen. Für mich ist das kein Problem. Ich habe die spamassassin-Bounces bereits deaktiviert und werde unserem US-Admin raten, das auch zu tun. Für mich sieht es aber so aus, als könnte jeder User, der eine Mail senden kann, die Absendeadresse fälschen (oder sogar bloß das Reply-To setzen) und dann zwischen zwei beliebigen fremden Mailservern, die beide Spam-Benachrichtigungen verschicken, einen Mail-Loop erzeugen. Ist das einen Bug- oder sogar Securityreport wert? Offensichtlich wird falsch davon ausgegangen, dass ein Bounce niemals als Spam erkannt wird. Ich neige aber eigentlich eher dazu, dass das Versenden von Spam-Benachrichtigungen an sich eine Fehlkonfiguration ist, weil sie sowieso meist Unbekannte trifft, daher selbst Spam ist und ein solcher Mailloop dann die "gerechte" Konsequenz für zwei inkompetente Admins ist. Meinungen? Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
signature.asc
Description: This is a digitally signed message part