HELO-Check unter der Lupe
Beim Ansehen meiner Mailserver-Statistiken wundere ich mich oft dass so viele Mail aufgrund der HELO/EHLO-Angabe angelehnt werden.
Nun hat die Neugierde gesiegt und ich hab mir die häufigsten abgelehnten HELOs mal angesehen. Die Stichprobe ist aus dem aktuellen Maillog mit Daten von 6 Tagen und gut 52.000 Rejects aufgrund der HELO-Checks.
Die Top 30:
2975 [bare IP quads] 2292 <??????> 1635 <localhost> 1045 <my_com> 845 <your-xyz> 828 <mycomputer> 773 <home> 697 <winxp> 682 <????????.kornet> 671 <maincom> 519 <desktop> 503 <Wireless_Broadband_Router> 495 <OEMComputer> 474 <??????.kornet> 454 <user-xyz> 452 <????????> 447 <chamsae> 445 <corea> 405 <rok> 371 <pc> 315 <korea> 303 <mycom> 303 <home-xyz> 294 <????> 287 <computer> 285 <????????.hananet> 274 <ramachandra> 272 <Admin> 270 <kjwkor> 256 <cgscomputer> |
Nackte IPs habe ich zusammengefasst — sie stehen dadurch an erster Stelle (mit einen Anteil von 5,7%). Außerdem sind die Einträge {your,user,home}-xyz zusammengefasst; anstatt des xyz standen da gemischte Zahlen- und Buchstabenstrings. (Sind sowas generierte Windows-Hostnamen aus Computerbeschreibung und Zufallswert bzw. Hash?)
Die Fragezeichen stammen vermutlich von asiatischen Rechnern ohne ASCII-Hostnamen? Da könnte ich später nochmal nachsehen, um herauszufinden ob die immer da sind oder nur diese Woche so stark vertreten waren.
Etwas überrascht war ich dass Hostname, Domains und IP des Mailservers nicht dabei sind (die IP kommt 264 mal vor, Hostname und Domains fast nie) — als ich die Regeln einrichtete war das noch eine auffällig häufige Angabe.
Im großen und ganzen scheinen die meisten Namen der local part eines FQDNs oder Windows-Rechnernamen (ganz ohne Domainteil) zu sein. Das legt nahe, dass die Einlieferungen von Viren, Würmern, Bots kommen.
Fazit: HELO-Checks lohnen sich. Authentifizierte User sollten davon ausgenommen werden (weil recht viele Clients buggy sind und Mist senden); aber wer von außen kommt und keine FQDN angibt, von dem ist nichts gutes zu erwarten.