Hallo Herr Birkholz,

vielen Dank fuer Ihre Nachricht.Wir haben Ihre IP-Adresse temporaer von
23.04 - 26.04.07 gesperrt.
Der Grund für die Ablehnung waren typische Merkmale im Helo die auf ein
kompromittiertes oder mit schadhaftem Code infiziertes System hinweisen.
Bitte überprüfen Sie die Logdateien Ihres Server im Zeitraum vom
23.04.07 - 26.04.07.

Wir empfehlen Ihnen einen aktuellen Viren Scanner einzusetzen.

Für Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung.

Viele Grüße aus Karlsruhe

Nikolas Schäuble

MailSecurity

Hallo Herr Birkholz,

vielen Dank fuer Ihre Nachricht. Um unsere Kunden und unsere
Infrastruktur bestmöglichst vor Spam und Viren zu schützen, prüfen wir
u.a. auch die "HELO-Namen" der einliefernden Mailserver. Hierfür führen
wir eine Liste mit IPs, von denen in kürzester Zeit viele
unterschiedliche "HELO-Namen" übermittelt wurden.
Basierend auf Auswertungen des "HELO-Namen" in z.B. einer bestimmten
Zeitspanne (z.b innerhalb einer Stunde) nutzen wir eine gängige Mehtode
um solche infizierten Systeme ausfindig zu machen.

Hintergrund: Im SMTP-Protokoll (RFC 821, 2821) werden HELO oder EHLO
Names genutzt um den Mailtransfer zu initieren. Derzeit sind viele
kompromittierte Systeme mit Massenmailwürmern infiziert, die wiederum
einen enormen "Mail Traffic" verursachen. In der Regel (RFC2821 Sektion
4.1.1.1) verwendet der MTA (Mail Transfer Agent) stets denselben HELO
Namen. Mailwürmer und Spam-Trojaner dagegen wechseln häufig die
HELO-Namen und erschweren dadurch u.a. das Schreiben einer passenden
Signatur für die Virenfilter. Wir empfehlen deshalb in jedem Fall einen
aktuellen Viren Scanner einzusetzen.

Mögliche Probleme können in Verbindung mit NAT (Network Address
Translation) Gateways entstehen:
1) Das Gateway könnte viele gültige Systeme "verstecken" und Mails mit
unterschiedlichen HELOs in die Welt verschicken.
2) Wenn ein System infiziert wäre, könnte es einen Block aller Systeme
hinter dem Gateway hervorufen.
Die erste Möglichkeit können wir nicht überprüfen, da die betroffenen
Sender "versteckt" sind.
Für den zweiten Fall ist es empfehlenswert, keine direkten Verbindungen
von Systemen hinter einem NAT zu SMTP-Ports ausserhalb des Netzwerkes
zuzulassen. Dies kann der Administrator mittels einer Firewall
sicherstellen.

Einige wenige MTAs sind für viele Maildomains zuständig und ändern dabei
dynamisch ihre HELO-Namen. Die Ursache bzw. Absicht hierfür ist uns
nicht bekannt, jedoch bieten wir für solche Fälle die Möglichkeit eines
Whitelistings an.

Da ähnliche Methoden zur Erkennung von infizierten Rechnern von vielen
Internet-Service-Providern (ISPs) als auch Black-List-Betreibern
eingesetzt werden, empfehlen wir Ihr Mailsystem dem heutigen Standard
entsprechend anzupassen. Prüfen Sie deshalb zusätzlich folgendes:
- Entspricht der HELO-Name der Empfänger-Domain ?
- Entspricht der HELO-Name des "Local Parts" dem des Versenders ?

SMTP<< 220 mx0.gmx.net GMX Mailservices ESMTP {mx086}
SMTP>> EHLO bohramt.de
SMTP<< 250-mx0.gmx.net GMX Mailservices
250-8BITMIME
250-ENHANCEDSTATUSCODES
250 SIZE
SMTP>> MAIL FROM:<bjoern@bohramt.de> SIZE=1314
SMTP<< 451 4.1.8 Cannot resolve your domain {mx086}
SMTP>> QUIT

SMTP<< 220 mx0.gmx.net GMX Mailservices ESMTP {mx002}
SMTP>> EHLO bohramt.de
SMTP<< 250-mx0.gmx.net GMX Mailservices
250-8BITMIME
250-ENHANCEDSTATUSCODES
250 SIZE
SMTP>> MAIL FROM:<bjoern@bohramt.de> SIZE=1322
SMTP<< 250 2.1.0 ok {mx002}
SMTP>> RCPT TO:<wurstfinger999@gmx.de>
SMTP<< 550 5.1.1 <wurstfinger999@gmx.de>... User is unknown {mx002}
SMTP>> QUIT