Toon posts:

[debian] postfix en hoog aantal rejections

Pagina: 1
Acties:

donderdag 23 februari 2006 11:39

Acties:
  • Profidiam
  • Registratie: December 2001
  • Laatst online: 25-01-2025

Profidiam

Ellenface

Topicstarter
Sinds een aantal weken is het aantal rejections op onze mailserver specataculair gestegen (van 10% naar 43%). Ik vraag mij af van waar dit afkomstig is. Het aantal legitieme mails is niet in dezelfde grootte-orde gestegen.
Wat me vooral zorgen maakt is dat er in het aantal rejections vrij constant is ('snachts en overdag +- dezelfde hoeveelheid) , terwijl het legitieme verkeer duidelijk 's nachts minder groot is dan overdag.
Afbeeldingslocatie: http://picserver.student.utwente.nl/i/I95M5OGK9D69/128
Heeft iemand enig idee wat dit zou kunnen veroorzaken? Als ik naar de smtp logs kijk, zie ik geen specifieke afzender, maar een reeks van hosts die geweigerd worden. Zit mijn server in een lijst van spammers die continu proberen met een stroom berichten? Heeft iemand dit al eens gezien/meegemaakt?

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

donderdag 23 februari 2006 11:54

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 18:18

Wilke

Zit er nog enige logica in die reeks van hosts? Bijvoorbeeld allemaal in een bepaald land of subnet of whatever?

Ik bedoel, hoe kunnen wij hier iets zinvols over zeggen zonder die logs te kunnen zien?

Misschien is het tijd voor een block op IP-level van bepaalde IP-ranges (ik denk dat je niet de eerste bent die bv. compleet Rusland en China zou blocken..), hoewel je dat waarschijnlijk beter niet kunt doen als de mogelijkheid bestaat dat je daar klanten of medewerkers hebt zitten ;)

donderdag 23 februari 2006 13:42

Acties:
  • Profidiam
  • Registratie: December 2001
  • Laatst online: 25-01-2025

Profidiam

Ellenface

Topicstarter
De massa van de rejections is om deze reden : Sender address rejected: Domain not found Allemaal afkomstig van slechts een aantal adressen :

279 JimmieFrankscolombo@pahrumpsucks.com
279 abuse@gov.us
186 allencoltoliao@ewv.be
186 lxkhcfiw@hporteous.freeserve.co.uk
93 vavasoursrisky@ewv.be
93 siscoam@crystal-streams.biz
93 echerokee@mind-map.biz
93 nancy.kho@sacs.biz
93 divyadrishti@15basics.com
93 pikult@2001fordtruck.com
93 aloharovers@3cm-media.com
93 realdenis@achainunbroken.com
93 elvizp@anselandassociates.com
93 rocklady35@autographed8x10.com
93 djallgier@bazokamp3.com
93 nishanth930@bekannt.com
93 EfrainWashburndamsel@donwhite.com
93 IngridRasmussencrafty@dampo.cz
93 zwbwqgr@ne.jp
93 lqhgvscuuls@net.tw
93 CliftonMarcuswiggly@jtrendell.freeserve.co.uk
93 CarolNapierbirth@bikewithabeak.fsnet.co.uk
93 KirbyChincamelopard@mdias.fsnet.co.uk


Een stukje log :


Feb 23 11:42:46 localhost fetchmail[15913]: reading message schprs02@pop.scarlet.be:28 of 39 (15969 octets)
Feb 23 11:42:47 localhost pop3-login: Login: sabine.delmeiren@sintlodewijk.com [81.82.234.16]
Feb 23 11:42:47 localhost postfix/smtpd[21637]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 450 <vavasoursrisky@ewv.be>: Sender address rejected: Domain not found; from=<vavasoursrisky@ewv.be> to=<info@ksgwl.be> proto=ESMTP helo=<localhost>
Feb 23 11:42:48 localhost fetchmail[15913]: SMTP error: 450 <vavasoursrisky@ewv.be>: Sender address rejected: Domain not found
Feb 23 11:42:49 localhost postfix/smtpd[21637]: too many errors after RCPT from localhost[127.0.0.1]
Feb 23 11:42:49 localhost postfix/smtpd[21637]: disconnect from localhost[127.0.0.1]
Feb 23 11:42:49 localhost fetchmail[15913]: not flushed
Feb 23 11:42:49 localhost fetchmail[15913]: reading message schprs02@pop.scarlet.be:29 of 39 (1444 octets)
Feb 23 11:42:50 localhost fetchmail[15913]: not flushed


blijkbaar heeft fetchmail er nog iets mee te zien ook ...

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

donderdag 23 februari 2006 19:56

Acties:
  • Adrianb
  • Registratie: November 2005
  • Laatst online: 03-02 13:33

Adrianb

Ik ken geen zak van deze dingen, maar is dit niet gewoon een soort aanval om meer bandwith x load te veroorzaken?

vrijdag 24 februari 2006 07:42

Acties:

Verwijderd

Domain not found betekend dus dat ewv.be geen mx record heeft in de DNS (dit heeft hij ook niet heb het gecheckt). Die accepteerd jouw mailserver dus niet! Jpuw server is denk ik gewoon in een lijstje terecht gekomen voor attacks. Vooral die mooie 93 van die hosts.

vrijdag 24 februari 2006 08:29

Acties:

Verwijderd

Profidiam schreef op donderdag 23 februari 2006 @ 13:42:
Feb 23 11:42:47 localhost postfix/smtpd[21637]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 450 <vavasoursrisky@ewv.be>: Sender address rejected: Domain not found; from=<vavasoursrisky@ewv.be> to=<info@ksgwl.be> proto=ESMTP helo=<localhost>
Feb 23 11:42:48 localhost fetchmail[15913]: SMTP error: 450 <vavasoursrisky@ewv.be>: Sender address rejected: Domain not found
Feb 23 11:42:49 localhost postfix/smtpd[21637]: too many errors after RCPT from localhost[127.0.0.1]
Feb 23 11:42:49 localhost postfix/smtpd[21637]: disconnect from localhost[127.0.0.1]
Nu ben ikzelf meer een Sendmail gebruiker en ken de logging van Postfix niet zo verschrikkelijk goed, maar volgens mij probeert iemand je MTA als (open)relay te gebruiken. Het feit dat postfix de mail reject heeft te maken met de volgorde waarop hij de mail controleert. Ik verwacht/hoop dat de "relaying denied" regel hierna komt. Controleer je MTA voor de zekerheid even via ORDB.

vrijdag 24 februari 2006 12:56

Acties:
  • Thc_Nbl
  • Registratie: Juli 2001
  • Laatst online: 07-02 11:13

Thc_Nbl

tjsa , dat zijn toch of virussen of spammers hoor die email adressen,
om dat tegen te gaan heb ik deze rbl servers in postfix gezet en dat scheelt
weer ook hoop onduidelijkheden ( en spam en virussen natuurlijk ) ;-)
onder staan een stukje van mijn postfix opzet, ik heb ook smtp-auth op ssl vandaar de sasl_auth..

de db.spamtram bevast een emailadres met een DISCARD er bij
b.v. root@localhost.localdomain DISCARD , plaats een fake email adres b.v. lullo@youdomain.com
op je site in dezelfde kleur als je achtergrond. een robot zit dit en zal deze harvesten maar een mens niet.
zet lullo@youdomain.com DISCARD en je hebt veel minder spam, op deze manier krijg je ook geen meldingen en wordt de spam aan de voordeur al tegen gehouden en kost het dus weer minder cpu tijd e.d.

reject_rbl_client relays.ordb.org,
reject_rbl_client bl.spamcop.org,
reject_rbl_client sbl-xbl.spamhaus.org,
zijn blok list servers en moet zeggen laatst sbl-xbl.spamhaus.org erbij gestopped en deze blokkeerd
zeker 80-90 % van alle spam en virus versprijders.


smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
check_recipient_access hash:/etc/postfix/db.spamtrap,
reject_invalid_hostname,
reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_unknown_recipient_domain,
reject_non_fqdn_sender,
check_client_access mysql:/etc/postfix/my_pbsp.cf
reject_rbl_client relays.ordb.org,
reject_rbl_client bl.spamcop.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_non_fqdn_recipient,
reject_unauth_destination

ehhh.. noppes

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq