Namens-Trick öffnet Mailserver [Update]

Eine Reihe vietnamesischer Spam-Quellen fällt derzeit dadurch auf, dass die Täter die betreffenden Hosts mit DNS-Pointer-Records namens "localhost" ausgestattet haben. IP-Adressen wie 123.27.3.81, 222.252.80.188 oder 123.16.13.188 lösen somit "rückwärts" zu diesem Namen auf. Eigentlich handelt es sich dabei um eine Fehlkonfiguration des Domain Name System, da die normale Namensauflösung von localhost stets zur IP-Adresse 127.0.0.1 führt – eben derjenigen, die für das lokale System reserviert ist.

Manche Mailserver sind so konfiguriert, dass sie E-Mails von Clients mit derart unsauberer Namenskonfiguration gar nicht erst annehmen. Gerade den Namen "localhost" behandeln einige jedoch bevorzugt und räumen den fernöstlichen Clients ein besonderes Recht ein: Das "Relaying" von E-Mails an beliebige Empfängeradressen, auch außerhalb des eigenen Netzes, denn "localhost" befindet sich ja scheinbar im eigenen Netz.

Wer einen Mailserver betreibt, muss unbedingt sicherstellen, dass dieser Trick nicht funktioniert, etwa indem er Relaying wirklich nur von lokalen IP-Adressen aus erlaubt und nicht anhand von DNS-Namen. Übliche Open-Relay-Tests schlagen in diesem Fall keinen Alarm, da der Test-Client in der Regel eben nicht "localhost" heißt. Mehrere anfällige Mailserver sind bereits auf der iX-Blacklist erschienen. Neben Blacklistings drohen den Besitzern offener Relays Schadenersatzansprüche von Spam- oder Malware-Empfängern.

[Update]

Die bisher gefundenen, auf die beschriebene Weise verbreiteten Spam-Mails stammen allesamt von Mailservern mit der Sendmail-Kennung "8.13.8/8.13.8/SuSE Linux 0.8/ServControl 0.2". Das heißt zwar nicht, dass sich kein anderes System missbrauchen lässt, sollte aber die Anwender dieser Version zu einer besonders gründlichen Überprüfung der Konfiguration veranlassen. (un)