Mijn IP wordt geblacklist - Internet en hosting

woensdag 19 maart 2008 20:04

Acties:

Topicstarter

Beste mensen,

Sinds 2 dagen wordt mijn IP geblacklist bij "CBL". Ik heb niets maar dan ook niets aan mijn netwerk/router/server veranderd etc.

Ik maak gebruik van IIS voor webmail, en Exchange voor de mail. Ik heb een aantal relay testjes gedaan, en dat ging goed. Schijnbaar ben ik goed beveiligd. Tevens nog wat testjes gedaan op open proxy, die misschien ergens rondzwerven op mijn server, maar ook daar helaas niets gevonden.

Al meerdere keren heb ik mijn IP verwijderd, alleen komt ie steeds terug op die list.

Wat kan ik er nu nog aan doen? Ik snap er niets meer van.

Ik heb een goede spamfilter, mijn netwerk is goed beveiligd enz.

Help

!

woensdag 19 maart 2008 20:17

Acties:

Verwijderd

Als je op zo'n blacklist staat, staat er altijd een reden bij. Wat was die reden?

woensdag 19 maart 2008 20:18

Acties:

Verwijderd

algemene blacklist vanwege het feit dat je in een dynamische iprange (dus een range voor standaard consumenten) zit ?

woensdag 19 maart 2008 20:29

Acties:

WiNlUx

Topicstarter

http://cbl.abuseat.org/lo....245.2.141&.submit=Lookup

Dat is de boosdoener!

Ik zie er niets van bij staan wat het zou kunnen zijn, dat heb ik hierboven al uitgelegd. Ik draai alleen webservices -->mail, httpd, en verder niets.

woensdag 19 maart 2008 21:02

Acties:

wouterve

Swinger of States

Hier wordt uitgelegd hoe je op deze lijst terecht kunt komen (met excuses voor de lap tekst):

What is the CBL?

The CBL takes its source data from very large spamtraps/mail infrastructures, and only lists IPs exhibiting characteristics which are specific to open proxies of various sorts (HTTP, socks, AnalogX, wingate etc) which have been abused to send spam, worms/viruses that do their own direct mail transmission, or some types of trojan-horse or "stealth" spamware, dictionary mail harvesters etc.

In other words, the CBL only lists IPs that have attempted email connections to one of our servers in such a way as to indicate that the sending IP is infected.

The CBL does NO probes. In other words, the CBL NEVER makes connections to other machines to "test" anything.

The CBL does NOT test for nor list open SMTP relays.

The CBL only lists individual IPs, it NEVER lists ranges.

The CBL does NOT care whether an IP is dynamic or not, if connections the IP makes indicate that it's infected, it is listed regardless.

The CBL does NOT attempt to associate IP addresses to persons or organizations, and furthermore, a CBL listing should NOT be construed as accusing anyone of spamming - virtually all listees are the victims of a virus or other compromise, not deliberately spamming.

The CBL does NOT accept external submissions for listing. Hence it is not possible for the CBL to be used as an instrument of revenge (eg: "disgruntled ex-employee" or "competitor").

The CBL operates in an entirely automated way designed to avoid listings of spamtrap hits due to bounces of forged spam, virus bounces, and "real" mail servers emitting the occasional spam. It tries very hard to avoid listing legitimate mail sources. It does not attempt to list every possible spam source.

This list is based on information believed to be reliable. No warranty is made that it is accurate or complete.... Use entirely at your own risk.

There is no supporting data or "evidence" file available for any given listing, and no mechanism to ask why any given listing took place. To counteract this, there is an automated no-questions-asked removals procedure allowing any affected party to delist a specific IP address rapidly. However, delisted IPs are relisted if new evidence of spam activity is subsequently detected.

Entries automatically expire after a period of time. The approximate detection time of a specific entry can be obtained from the web interface.

Kortom: listing gebeurt dus niet automatisch op basis van IP-range, maar op basis van (op automatische wijze) gedetecteerd en als malicieus geïdentificeerd gedrag vanaf het IP-adres in kwestie.

woensdag 19 maart 2008 21:09

Acties:

Kettrick

Rantmeister!

Niet een of ander lek mailscriptje staan ergens ?

woensdag 19 maart 2008 21:13

Acties:

DinX

Motormuis

Je staat trouwens op meerdere blacklists

http://www.robtex.com/rbl/84.245.2.141.html

Sorbs en spamhaus onder andere. Dan kan je het al vergeten bij de meeste mailservers om daar mail af te leveren (Greylist + check op spamhaus is bijvoorbeeld het eerste wat ik onze relay @work laat uitvoeren nog voordat de mail überhauppt mag afgeleverd worden).

Bij Sorbs ben je al geblacklist omdat je een dynamische ip range gebruikt (of omdat je reverse dns niet klopt, wat logisch is voor een consumentenabo).

Netblock: 84.245.2.128/26 (84.245.2.128-84.245.2.191)
Record Created: Tue Jul 4 19:46:16 2006 GMT
Record Updated: Tue Jul 4 19:46:16 2006 GMT
Additional Information: [rDNS 20/06/2006] Dynamic/Generic IP/rDNS address, use your ISPs mail server or get rDNS set to indicate static assignment.

Veel providers publiceren hun eigen ranges die ze gebruiken voor dynamische ip adressen zelf bij van die RBL lijsten. Daar kan je bar weinig tegen doen. Wordt je mail niet tegengehouden doordat hij gelist is bij 1 van de lijsten, dan wordt hij het wel omdat je een hogere spamscore krijgt bij oa spamassassin omdat je in zo'n dynamische range zit.

wouterve schreef op woensdag 19 maart 2008 @ 21:02:
Hier wordt uitgelegd hoe je op deze lijst terecht kunt komen (met excuses voor de lap tekst):

[...]

Kortom: listing gebeurt dus niet automatisch op basis van IP-range, maar op basis van (op automatische wijze) gedetecteerd en als malicieus geïdentificeerd gedrag vanaf het IP-adres in kwestie.

Bij Sorbs is hij dus wel om die reden geblacklist.
Een smarthost gebruiken kan in dat geval een oplossing zijn. Of voor uitgaande mail de relay van je provider gebruiken.

precious1 schreef op woensdag 19 maart 2008 @ 21:16:
het staat letterlijk op de pagina waar hierboven naar gelinkt werd:

this IP is infected with/emitting spamware/spamtrojan traffic and needs to be fixed

Ook al ja.

[ Voor 26% gewijzigd door DinX op 19-03-2008 21:18 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

woensdag 19 maart 2008 21:16

Acties:

precious1

het staat letterlijk op de pagina waar hierboven naar gelinkt werd:

this IP is infected with/emitting spamware/spamtrojan traffic and needs to be fixed

woensdag 19 maart 2008 21:24

Acties:

asing

WiNlUx schreef op woensdag 19 maart 2008 @ 20:04:
Ik maak gebruik van IIS voor webmail, en Exchange voor de mail.

No offence maar daar ga je.... Hang never nooit een windhoos bak direct aan internet. Zo te zien is het ding gehacked en is gaan spammen.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

woensdag 19 maart 2008 21:27

Acties:

DinX

Motormuis

Stappen voor de TS zijn dus:

• Mailserver nakijken op mogelijke spyware/virussen
• Instellingen van de mailserver volledig nakijken
• De pc's die de mailserver gebruiken als uitgaande server controlleren op spyware/virussen
• Zorgen voor een smarthost, voor uitgaand verkeer bijvoorbeeld die van je ISP
• Kijken op die site die ik boven gaf waar je overal geblacklist bent en vragen om verwijdering. Dat is nog het moeilijkste van de zaak, van die lijsten af raken. Bij Sorbs ga je het bijvoorbeeld al heel moeilijk krijgen. Daar was pas nog een topic over. Die blokkeren dus volledige ranges die gebruikt worden voor dynamische IP-adressen (let op: omdat je altijd hetzelfde IP krijgt betekent niet dat je een vast IP hebt). Dat wordt zelfs aangevraagd door sommige ISPs zelf (zoals bvb in dat topic).

Je hebt nu namelijk een hoop redenen om geblacklist te worden:

• Je rDNS komt niet overeen met het domein waarvoor je mail verstuurt
• Ik gok dat je geen SPF hebt ingesteld (wat sowieso al moeilijk is in het geval van een dynamisch IP)
• Je zit in een range van / hebt een dynamisch IP (dat is al de grootste boosdoener). En terecht dat ze de huis-tuin-en-keuken-servertjes blacklisten.
• Ze hebben al virussen/spam/trojans vanaf je mailserver ontvangen. Dat hoeven zelfs maar enkele mailtjes te zijn die onterecht als spam geclassificeerd zijn.

[ Voor 19% gewijzigd door DinX op 19-03-2008 21:32 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

woensdag 19 maart 2008 21:31

Acties:

WiNlUx

Topicstarter

Maar ik snap het niet jongens. Ik zit al meer dan 2 jaar op TWEAK. Ik heb altijd 84.245.2.127 als ip gehad en heb dat gister laten wijzigen naar 141. Ik dacht, dan ben ik er meteen vanaf maar dat was dus niet zo.

Ik kan op mijn PC, server, laptops, zusje pc, etc niets vinden van Spyware, proxy's virussen, etc die hiervan deel uit kunnen maken.

woensdag 19 maart 2008 21:32

Acties:

gambieter

Just me & my cat

asing schreef op woensdag 19 maart 2008 @ 21:24:
[...]
No offence maar daar ga je.... Hang never nooit een windhoos bak direct aan internet. Zo te zien is het ding gehacked en is gaan spammen.

offtopic:
@asing: windhoos wordt als troll gezien op GoT, net als M$, en toont ook een gebrekkig gevoel voor humor

Onzin om dit aan Windows te koppelen. Een slecht beschermde, slecht ingerichte of niet goed geupdate PC loopt risico, welk OS er ook wordt gebruikt.

@TS: check je logs en kijk of er inderdaad gerelayed wordt, gebruik eventueel een sniffer programma. Update Exchange en Windows, en overweeg een smarthost te gebruiken zoals de SMTP server van je provider

.

[ Voor 6% gewijzigd door gambieter op 19-03-2008 21:34 ]

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

woensdag 19 maart 2008 21:34

Acties:

DinX

Motormuis

Heel die range van je provider kan geblacklist zijn. Zoals ik al zei, sommige providers laten bewust hele ranges blokkeren van zichzelf als dat dynamische zijn. Omdat je 2 jaar hetzelfde IP adres hebt betekent het nog altijd niet dat je geen dynamisch ip hebt. Laat me raden, je hebt je MAC adres moeten doorgeven aan je provider. Dat betekent dan gewoon dat die in z'n DHCP server een statische lease aanmaakt die jou MAC adres koppelt aan 1 IP adres. Maar je hebt nog altijd een dynamisch ip dan.

gambieter schreef op woensdag 19 maart 2008 @ 21:32:
[...]

Onzin om dit aan Windows te koppelen (windhoos wordt als troll gezien op GoT, net als M$, en toont ook een gebrekkig gevoel voor humor ). Een slecht beschermde, slecht ingerichte of niet goed geupdate PC loopt risico, welk OS er ook wordt gebruikt.

Eensch. Er hangen zat Exchange bakken op internet, zelfs bij de grote namen. Punt blijft beheer. Ik hoef in onze postfix ook maar 1 regeltje aan te passen of te uncommenten om dat ding lekker open relay te laten spelen voor heel het internet. Is daarom postfix en linux slecht ? Nee, dat is slecht beheer.

@TS: check je logs en kijk of er inderdaad gerelayed wordt, gebruik eventueel een sniffer programma. Update Exchange en Windows, en overweeg een smarthost te gebruiken zoals de SMTP server van je provider .

Als het dezelfde server is als die hij in z'n profiel heeft staan als mail adres dan relayt die al niet, dat heb ik al meteen gecontroleerd

MADG0BLIN schreef op woensdag 19 maart 2008 @ 21:36:
Ik weet niet welke je provider je hebt, maar als je provider het toelaat kan je misschien een vast IP aanvragen en een rDNS laten instellen. Dat scheelt dacht ik bij SORBS bijvoorbeeld al.

Klopt. Je kan bij bijvoorbeeld Spamassassin ook een puntje bij je score krijgen als je van een dynamisch ip stuurt. Als ik me neit vergis heb ik die van "mij" dat toch al zien doen.

edit: even gekeken op die van "mij":

Mar 19 21:21:40 zarafa amavis[16353]: (16353-02) spam_scan: score=31.006 autolearn=disabled tests=[HELO_DYNAMIC_IPADDR=4.2,NO_REAL_NAME=0.961,PYZOR_CHECK=3.7,SPAMMY_XMAILER=1,
SUBJECT_FUZZY_MEDS=3.6,URIBL_AB_SURBL=3.812,URIBL_JP_SURBL=4.087,URIBL_OB_SURBL=3.008,
URIBL_SC_SURBL=4.498,URIBL_WS_SURBL=2.14]

Als hij ziet dat de van een dynamisch ip adres komt geeft hij zelfs een 4.2 er bovenop. Dan heb je er bij ons al sowieso een spam-tag voor staan. En vaak komen er (zoals in dit voorbeeld) nog wat andere punten bij ook (html mail, geen spf record, geen reverse dns,...)

[ Voor 76% gewijzigd door DinX op 19-03-2008 21:42 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

woensdag 19 maart 2008 21:35

Acties:

Gé Brander

MS SQL Server

asing schreef op woensdag 19 maart 2008 @ 21:24:
[...]
No offence maar daar ga je.... Hang never nooit een windhoos bak direct aan internet. Zo te zien is het ding gehacked en is gaan spammen.

Dat is nou ook wel weer erg kort door de bocht nietwaar? Iets genuanceerder zou wat fijner zijn.
Als de Windows machine netjes gepatched is en goed dicht gezet is door een kundig persoon dan is er niets aan de hand. Alleen is het helaas vaak het kundige persoon wat ontbreekt, en dan krijgt Windows er onterecht de schuld weer van.

Vroeger was alles beter... Geniet dan maar van vandaag, morgen is alles nog slechter!

woensdag 19 maart 2008 21:36

Acties:

MADG0BLIN

Ik weet niet welke je provider je hebt, maar als je provider het toelaat kan je misschien een vast IP aanvragen en een rDNS laten instellen. Dat scheelt dacht ik bij SORBS bijvoorbeeld al.

woensdag 19 maart 2008 21:44

Acties:

gambieter

Just me & my cat

c70070540 schreef op woensdag 19 maart 2008 @ 21:35:
[...]
Dat is nou ook wel weer erg kort door de bocht nietwaar? Iets genuanceerder zou wat fijner zijn.
Als de Windows machine netjes gepatched is en goed dicht gezet is door een kundig persoon dan is er niets aan de hand. Alleen is het helaas vaak het kundige persoon wat ontbreekt, en dan krijgt Windows er onterecht de schuld weer van.

Inderdaad. Ik draai intussen al een jaar of 5 een Exchange 2003/Windows 2000 Advanced Server combo met FTP-server, webserver, mailserver etc en gekoppeld aan een domein, en ben niet geblacklist, nooit gehackt etc. Het enige wat ik wel gedaan heb is de SMTP-server van mijn provider als smarthost gebruiken

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

woensdag 19 maart 2008 21:47

Acties:

Jiriki

Tweak kan reverse DNS voor je instellen, dat zal al schelen.

Maar je bent beter af om via Tweak naar buiten te mailen, dat is al veiliger. En scan nog eens beter, zeker twee van de lijsten gaan over virus/spam verspreiding.

"Yes," said the skull. "Quit while you're a head, that's what I say." -- (Terry Pratchett, Soul Music)

woensdag 19 maart 2008 21:57

Acties:

DinX

Motormuis

Jiriki schreef op woensdag 19 maart 2008 @ 21:47:
Tweak kan reverse DNS voor je instellen, dat zal al schelen.

Maar je bent beter af om via Tweak naar buiten te mailen, dat is al veiliger. En scan nog eens beter, zeker twee van de lijsten gaan over virus/spam verspreiding.

Imho horen gemiddelde klanten sowieso niet rechtstreeks mail te versturen. Je ziet nu maar weer waarom. Het zijn niet zozeer de dingen waar de TS weinig aan kan doen die het zo erg maken (zoals de rDNS die niet klopt, dyn ip,..) maar wel dat er maar weer eens eentje spam loopt te versturen. Dan spreek ik nog niet over al de hobby-bobs die een open relay staan te draaien. Sommige mensen snappen niet hoeveel ellende ze veroorzaken door even snel een mailservertje op te zetten. Ik trap hier nu misschien veel tweakers op hun tenen, maar dat zijn ook niet de gemiddelde consumenten, die vinden wel een wat meer "geavanceerde" ISP. Het zijn die 98% andere internetgebruikers waarvan de ISP toelaat een mailserver te draaien die de pest zijn.

Een voorbeeldje:

code:

1 2	[root@zarafa ~]# cat /var/log/maillog \| grep -c spamhaus 521129

Dat zijn dus meer dan een half miljoen mails die bij ons zijn tegengehouden enkel en alleen door de spamhaus RBL check van vorige vrijdagnacht tot nu ... Voor ons maakt het gelukkig geen bal uit hoeveel spam er tegengehouden wordt. Waar ik mee meeleef zijn de kleine KMO's, met een systeembeheerder die zelf mooi alles dichtgetimmerd en op orde heeft, maar waarvan het 2Mbit ADSL lijntje voor 3/4 vol zit met al de spam die binnen komt ...

[ Voor 8% gewijzigd door DinX op 19-03-2008 21:58 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

woensdag 19 maart 2008 22:07

Acties:

WiNlUx

Topicstarter

@ Dinx:

Ik heb gisteren dus een support medewerker van Tweak aan de telefoon gehad, en ik vroeg dus hoe het nu zit met die IP adressen bij hun. Ik wilde graag een andere, en hij zou er 1 pakken uit de "vaste" range. Iemand die hem Dynamisch krijgt toegewezen krijgt hem dan ook uit de dynamische range.

Natuurlijk moet ik ook bij hen mijn MAC doorgeven, zodat ik bij een nieuwe DHCP request altijd hetzelfde IP krijg. Ik zou ze morgen nog eens kunnen bellen of ik niet een IP uit een andere range kan krijgen, en dan laat ik meteen mijn reverse veranderen naar de naam van mijn SMTP server.

Zou het verder kwaad kunnen om een abbotje te nemen bij een "online spamfilter" organisatie, zoals Maq2 of OnlineSpamfilter.nl? Dan hoef ik alleen mijn MX'en aan te passen, en kan ik zo mijn SMTP server instellen dat alleen de servers van die instantie verbinding mogen maken met mijn mailserver. Nu kan elk IP dat namelijk.

En misschien zegt dit al genoeg als ik een netstat uivoer op de server:

code:

  TCP    mi-amore:27193         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27216         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27230         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27301         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27326         mta-v14.mail.vip.re4.yahoo.com:smtp  ESTABLISHED

  TCP    mi-amore:27329         mi-amore.casa-graziani.lan:ldap  ESTABLISHED
  TCP    mi-amore:27392         mail.publicis.fr:smtp  ESTABLISHED
  TCP    mi-amore:27484         mta-v1.mail.vip.re3.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27553         mi-amore.casa-graziani.lan:ldap  ESTABLISHED
  TCP    mi-amore:27577         mta-v14.mail.vip.re4.yahoo.com:smtp  ESTABLISHED

  TCP    mi-amore:27600         mi-amore.casa-graziani.lan:epmap  TIME_WAIT
  TCP    mi-amore:27601         mi-amore.casa-graziani.lan:1026  ESTABLISHED
  TCP    mi-amore:27614         mta-v8.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27701         mi-amore.casa-graziani.lan:epmap  TIME_WAIT
  TCP    mi-amore:27764         dsddmz01.dystar.com:smtp  TIME_WAIT
  TCP    mi-amore:27798         mxtreme.alphadata.net:smtp  TIME_WAIT
  TCP    mi-amore:27800         s8a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27807         s7a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27810         igw3.br.ibm.com:smtp   TIME_WAIT
  TCP    mi-amore:27812         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27813         mail.ddsa.com:smtp     TIME_WAIT
  TCP    mi-amore:27821         douve.fr.clara.net:smtp  TIME_WAIT
  TCP    mi-amore:27826         p3presmtp01-v01.prod.phx3.secureserver.net:smtp
 TIME_WAIT
  TCP    mi-amore:27827         s8a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27834         server66.appriver.com:smtp  TIME_WAIT
  TCP    mi-amore:27838         mi-amore.casa-graziani.lan:ldap  TIME_WAIT
  TCP    mi-amore:27839         mi-amore.casa-graziani.lan:msft-gc  TIME_WAIT
  TCP    mi-amore:27840         mi-amore.casa-graziani.lan:domain  TIME_WAIT
  TCP    mi-amore:27841         mi-amore.casa-graziani.lan:domain  TIME_WAIT
  TCP    mi-amore:27845         inbound.mailwise.com:smtp  TIME_WAIT
  TCP    mi-amore:27849         mail.gildemeister.com:smtp  TIME_WAIT
  TCP    mi-amore:27850         mail.mpamedia.com:smtp  TIME_WAIT
  TCP    mi-amore:27853         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27854         168.61.15.22:smtp      TIME_WAIT
  TCP    mi-amore:27857         h69-128-108-238.mdsnwi.dedicated.static.tds.net:
smtp  TIME_WAIT
  TCP    mi-amore:27858         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27861         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27862         216.200.145.235.everyone.net:smtp  TIME_WAIT
  TCP    mi-amore:27864         e01.abapgt.com:smtp    TIME_WAIT
  TCP    mi-amore:27866         mx3.business.mindspring.com:smtp  TIME_WAIT
  TCP    mi-amore:27869         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27872         s6a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27877         mail.outside-unlimited.com:smtp  TIME_WAIT
  TCP    mi-amore:27878         mxl145v12.mxlogic.net:smtp  TIME_WAIT
  TCP    mi-amore:27886         mx.ya.com:smtp         TIME_WAIT
  TCP    mi-amore:27894         mxl145v2.mxlogic.net:smtp  TIME_WAIT
  TCP    mi-amore:27895         ananke.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27901         elara.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27904         mail.calteclaw.com:smtp  TIME_WAIT
  TCP    mi-amore:27905         himalia.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27908         leda.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27916         mailc.fluor.com:smtp   ESTABLISHED
  TCP    mi-amore:27917         spamgateway.webconnectivityllc.com:smtp  TIME_WA
IT
  TCP    mi-amore:27928         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27931         rmail-210.hanmail.net:smtp  TIME_WAIT
  TCP    mi-amore:27946         mopmsgi.pfizer.com:smtp  TIME_WAIT
  TCP    mi-amore:27950         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27962         mx1.z57.com:smtp       TIME_WAIT
  TCP    mi-amore:27965         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27966         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27979         server41.appriver.com:smtp  TIME_WAIT
  TCP    mi-amore:27982         smtpin.argentina.com:smtp  TIME_WAIT
  TCP    mi-amore:27983         mail.vcampus.com:smtp  TIME_WAIT
  TCP    mi-amore:27985         mu-in-f27.google.com:smtp  TIME_WAIT
  TCP    mi-amore:27987         antivirus-2.argentina.com:smtp  TIME_WAIT
  TCP    mi-amore:27988         e.mx.sonic.net:smtp    TIME_WAIT
  TCP    mi-amore:27989         mail1.lc.topco.com:smtp  TIME_WAIT
  TCP    mi-amore:27991         mail04.chicappa.jp:smtp  TIME_WAIT
  TCP    mi-amore:27995         smtp-in-116.livemail.co.uk:smtp  TIME_WAIT
  TCP    mi-amore:27998         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:28001         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:28003         adsl-99-154-227-203.dsl.pltn13.sbcglobal.net:smt
p  TIME_WAIT
  TCP    mi-amore:28012         74-93-231-153-colorado.hfc.comcastbusiness.net:s
mtp  TIME_WAIT
  TCP    mi-amore:28014         server44.greatnet.de:smtp  TIME_WAIT
  TCP    mi-amore:28015         mail01.cnxserver.de:smtp  TIME_WAIT
  TCP    mi-amore:28018         tm-s.smtproutes.com:smtp  TIME_WAIT
  TCP    mi-amore:28021         s7a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:28024         purify.attnet.ne.jp:smtp  TIME_WAIT
  TCP    mi-amore:28025         mail.hensongroupsports.com:smtp  TIME_WAIT
  TCP    mi-amore:28028         mi-amore.casa-graziani.lan:http  ESTABLISHED
  TCP    mi-amore:28030         mail.thedatavault.com:smtp  TIME_WAIT
  TCP    mi-amore:28032         smtp.secureserver.net:smtp  TIME_WAIT
  TCP    mi-amore:28033         mail1.citypictureframe.com:smtp  TIME_WAIT
  TCP    mi-amore:28036         fm1.gwavas.magic.fr:smtp  TIME_WAIT
  TCP    mi-amore:28039         mx0.mfg.onr.siteprotect.com:smtp  TIME_WAIT
  TCP    mi-amore:28041         mail2.csical.com:smtp  TIME_WAIT
  TCP    mi-amore:28042         141.197.8.230:smtp     ESTABLISHED
  TCP    mi-amore:28043         ip01.braunpc.simplybits.net:smtp  TIME_WAIT
  TCP    mi-amore:28044         mta-v15.mail.vip.re1.yahoo.com:smtp  LAST_ACK
  TCP    mi-amore:28045         058177242170.ctinets.com:smtp  TIME_WAIT
  TCP    mi-amore:28049         65.55.197.248:http     ESTABLISHED
  TCP    mi-amore:28052         rmail-210.hanmail.net:smtp  TIME_WAIT
  TCP    mi-amore:28053         r3.zoner.com:smtp      TIME_WAIT
  TCP    mi-amore:28058         80.67.86.54:http       ESTABLISHED
  TCP    mi-amore:28062         destiny.waverider.net.uk:smtp  TIME_WAIT
  TCP    mi-amore:28063         post.queensu.ca:smtp   SYN_SENT
  TCP    mi-amore:28066         jemcom.com:smtp        TIME_WAIT
  TCP    mi-amore:28067         mail.odn-ag.de:smtp    TIME_WAIT
  TCP    mi-amore:28068         s7a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:28073         wnx-5b.seeweb.it:smtp  SYN_SENT
  TCP    mi-amore:28074         s5a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:28076         smtp1.msp.securence.com:smtp  TIME_WAIT
  TCP    mi-amore:28077         mail.bwaycorp.com:smtp  TIME_WAIT
  TCP    mi-amore:28078         adsl-216-101-234-105.dsl.snfc21.pacbell.net:smtp
  TIME_WAIT
  TCP    mi-amore:28079         ns.barak.net.il:smtp   SYN_SENT
  TCP    mi-amore:28081         c-68-34-45-204.hsd1.dc.comcast.net:smtp  SYN_SEN
T
  TCP    mi-amore:28084         kck01.oakland-law.com:smtp  TIME_WAIT
  TCP    mi-amore:28101         mail2.mailwatch.com:smtp  ESTABLISHED
  TCP    mi-amore:28103         mailexchange3.bunt.com:smtp  SYN_SENT
  TCP    mi-amore:28107         webmail.4dhosting.com:smtp  TIME_WAIT
  TCP    mi-amore:28109         162.red-80-33-185.staticip.rima-tde.net:smtp  TI
ME_WAIT
  TCP    mi-amore:28113         smtp4.opentext.com:smtp  TIME_WAIT
  TCP    mi-amore:28115         mta-v7.mail.vip.mud.yahoo.com:smtp  SYN_SENT
  TCP    mi-amore:28117         a34-mta03.direcpc.com:smtp  SYN_SENT
  TCP    mi-amore:28118         mx.c1.byte.nl:smtp     TIME_WAIT
  TCP    mi-amore:28120         fs1.drlarchitects.com:smtp  ESTABLISHED
  TCP    mi-amore:28121         209.12.223.24:smtp     TIME_WAIT
  TCP    mi-amore:28122         mg2.arrival.net:smtp   ESTABLISHED
  TCP    mi-amore:28123         victoria.nics.gov.uk:smtp  ESTABLISHED

woensdag 19 maart 2008 22:38

Acties:

DinX

Motormuis

Ik heb je server eens bekeken en hij relayt dus niet.

code:

250 www.5061ba.nl Hello [83.101.46.3]
mail from: bill@microsoft.com
250 2.1.0 bill@microsoft.com....Sender OK
rcpt to: god@heaven.com
550 5.7.1 Unable to relay for god@heaven.com

Ik heb ook eens gekeken en gezien dat je ook bij Spamcop gelist bent. Daar kom je pas op als spam traps spam ontvangen hebben vanaf jou server en dit gemeld hebben aan Spamcop.
Je moet de oorzaak in dit geval dus echt lokaal gaan zoeken. Je hebt niet alleen last van dat dynamische ip (je nieuwe ip zit nog altijd in hetzelfde netblock voor sommige lijsten bvb.

84.245.2.0-84.245.2.255 NL-CAMBRIUM Cambrium BV BBNed ADSL lines ---------------------------------- please use 'abuse@cambrium.nl' for issues regarding abuse from this netblock.

Geen idee hoe zij het verdelen. Voor hetzelfde geld listen ze gewoon heel de 84.245.0.0/18 van Cambrium.

Je loopt dus daadwerkelijk spam naar buiten te versturen. Dan mag je nog zo vaak van ip veranderen als je wil, zodra een server weer spam van je ontvangt en dit meldt aan 1 van de lijsten heb je het weer zitten. Die netstat zegt trouwens genoeg op dat vlak ....

Sluit meteen poort 25 uitgaand af op je firewall en ga die "server" scannen op virussen en spyware voordat je überhaupt nog andere dingen gaat doen als delistings aanvragen ofzo. Als je zelf onterecht een delist aanvraagt (wat nu het geval zou zijn) dan raak je er nog moeilijker af.

Als die netstat je niet helemaal duidelijk is:

1ste kolom: protocol
2de kolom: lokale host:poort
3de kolom: remote host:port
4de kolom: state

Als je die netstat bekijkt zie je dat je server zelf zo goed als elke mogelijke "random" / high-port open heeft staan naar de smtp-poort (25) van externe hosts. Ik neem aan dat dit nog maar een klein deel is van je netstat en dat het nog door gaat tot in de 60000 ?

Je server loopt gewoon massaal spam naar buiten te sturen. Wetende dat het geen open relay is is het dus ofwel je server zelf, ofwel 1 van je clients.

[ Voor 28% gewijzigd door DinX op 19-03-2008 22:51 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

donderdag 20 maart 2008 08:19

Acties:

asing

WiNlUx schreef op woensdag 19 maart 2008 @ 22:07:
En misschien zegt dit al genoeg als ik een netstat uivoer op de server:

code:

  TCP    mi-amore:27193         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27216         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27230         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27301         mta-v7.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27326         mta-v14.mail.vip.re4.yahoo.com:smtp  ESTABLISHED

  TCP    mi-amore:27329         mi-amore.casa-graziani.lan:ldap  ESTABLISHED
  TCP    mi-amore:27392         mail.publicis.fr:smtp  ESTABLISHED
  TCP    mi-amore:27484         mta-v1.mail.vip.re3.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27553         mi-amore.casa-graziani.lan:ldap  ESTABLISHED
  TCP    mi-amore:27577         mta-v14.mail.vip.re4.yahoo.com:smtp  ESTABLISHED

  TCP    mi-amore:27600         mi-amore.casa-graziani.lan:epmap  TIME_WAIT
  TCP    mi-amore:27601         mi-amore.casa-graziani.lan:1026  ESTABLISHED
  TCP    mi-amore:27614         mta-v8.mail.vip.mud.yahoo.com:smtp  ESTABLISHED
  TCP    mi-amore:27701         mi-amore.casa-graziani.lan:epmap  TIME_WAIT
  TCP    mi-amore:27764         dsddmz01.dystar.com:smtp  TIME_WAIT
  TCP    mi-amore:27798         mxtreme.alphadata.net:smtp  TIME_WAIT
  TCP    mi-amore:27800         s8a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27807         s7a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27810         igw3.br.ibm.com:smtp   TIME_WAIT
  TCP    mi-amore:27812         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27813         mail.ddsa.com:smtp     TIME_WAIT
  TCP    mi-amore:27821         douve.fr.clara.net:smtp  TIME_WAIT
  TCP    mi-amore:27826         p3presmtp01-v01.prod.phx3.secureserver.net:smtp
 TIME_WAIT
  TCP    mi-amore:27827         s8a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27834         server66.appriver.com:smtp  TIME_WAIT
  TCP    mi-amore:27838         mi-amore.casa-graziani.lan:ldap  TIME_WAIT
  TCP    mi-amore:27839         mi-amore.casa-graziani.lan:msft-gc  TIME_WAIT
  TCP    mi-amore:27840         mi-amore.casa-graziani.lan:domain  TIME_WAIT
  TCP    mi-amore:27841         mi-amore.casa-graziani.lan:domain  TIME_WAIT
  TCP    mi-amore:27845         inbound.mailwise.com:smtp  TIME_WAIT
  TCP    mi-amore:27849         mail.gildemeister.com:smtp  TIME_WAIT
  TCP    mi-amore:27850         mail.mpamedia.com:smtp  TIME_WAIT
  TCP    mi-amore:27853         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27854         168.61.15.22:smtp      TIME_WAIT
  TCP    mi-amore:27857         h69-128-108-238.mdsnwi.dedicated.static.tds.net:
smtp  TIME_WAIT
  TCP    mi-amore:27858         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27861         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27862         216.200.145.235.everyone.net:smtp  TIME_WAIT
  TCP    mi-amore:27864         e01.abapgt.com:smtp    TIME_WAIT
  TCP    mi-amore:27866         mx3.business.mindspring.com:smtp  TIME_WAIT
  TCP    mi-amore:27869         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27872         s6a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:27877         mail.outside-unlimited.com:smtp  TIME_WAIT
  TCP    mi-amore:27878         mxl145v12.mxlogic.net:smtp  TIME_WAIT
  TCP    mi-amore:27886         mx.ya.com:smtp         TIME_WAIT
  TCP    mi-amore:27894         mxl145v2.mxlogic.net:smtp  TIME_WAIT
  TCP    mi-amore:27895         ananke.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27901         elara.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27904         mail.calteclaw.com:smtp  TIME_WAIT
  TCP    mi-amore:27905         himalia.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27908         leda.rt.gouv.qc.ca:smtp  TIME_WAIT
  TCP    mi-amore:27916         mailc.fluor.com:smtp   ESTABLISHED
  TCP    mi-amore:27917         spamgateway.webconnectivityllc.com:smtp  TIME_WA
IT
  TCP    mi-amore:27928         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27931         rmail-210.hanmail.net:smtp  TIME_WAIT
  TCP    mi-amore:27946         mopmsgi.pfizer.com:smtp  TIME_WAIT
  TCP    mi-amore:27950         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27962         mx1.z57.com:smtp       TIME_WAIT
  TCP    mi-amore:27965         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27966         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:27979         server41.appriver.com:smtp  TIME_WAIT
  TCP    mi-amore:27982         smtpin.argentina.com:smtp  TIME_WAIT
  TCP    mi-amore:27983         mail.vcampus.com:smtp  TIME_WAIT
  TCP    mi-amore:27985         mu-in-f27.google.com:smtp  TIME_WAIT
  TCP    mi-amore:27987         antivirus-2.argentina.com:smtp  TIME_WAIT
  TCP    mi-amore:27988         e.mx.sonic.net:smtp    TIME_WAIT
  TCP    mi-amore:27989         mail1.lc.topco.com:smtp  TIME_WAIT
  TCP    mi-amore:27991         mail04.chicappa.jp:smtp  TIME_WAIT
  TCP    mi-amore:27995         smtp-in-116.livemail.co.uk:smtp  TIME_WAIT
  TCP    mi-amore:27998         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:28001         mail.global.frontbridge.com:smtp  TIME_WAIT
  TCP    mi-amore:28003         adsl-99-154-227-203.dsl.pltn13.sbcglobal.net:smt
p  TIME_WAIT
  TCP    mi-amore:28012         74-93-231-153-colorado.hfc.comcastbusiness.net:s
mtp  TIME_WAIT
  TCP    mi-amore:28014         server44.greatnet.de:smtp  TIME_WAIT
  TCP    mi-amore:28015         mail01.cnxserver.de:smtp  TIME_WAIT
  TCP    mi-amore:28018         tm-s.smtproutes.com:smtp  TIME_WAIT
  TCP    mi-amore:28021         s7a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:28024         purify.attnet.ne.jp:smtp  TIME_WAIT
  TCP    mi-amore:28025         mail.hensongroupsports.com:smtp  TIME_WAIT
  TCP    mi-amore:28028         mi-amore.casa-graziani.lan:http  ESTABLISHED
  TCP    mi-amore:28030         mail.thedatavault.com:smtp  TIME_WAIT
  TCP    mi-amore:28032         smtp.secureserver.net:smtp  TIME_WAIT
  TCP    mi-amore:28033         mail1.citypictureframe.com:smtp  TIME_WAIT
  TCP    mi-amore:28036         fm1.gwavas.magic.fr:smtp  TIME_WAIT
  TCP    mi-amore:28039         mx0.mfg.onr.siteprotect.com:smtp  TIME_WAIT
  TCP    mi-amore:28041         mail2.csical.com:smtp  TIME_WAIT
  TCP    mi-amore:28042         141.197.8.230:smtp     ESTABLISHED
  TCP    mi-amore:28043         ip01.braunpc.simplybits.net:smtp  TIME_WAIT
  TCP    mi-amore:28044         mta-v15.mail.vip.re1.yahoo.com:smtp  LAST_ACK
  TCP    mi-amore:28045         058177242170.ctinets.com:smtp  TIME_WAIT
  TCP    mi-amore:28049         65.55.197.248:http     ESTABLISHED
  TCP    mi-amore:28052         rmail-210.hanmail.net:smtp  TIME_WAIT
  TCP    mi-amore:28053         r3.zoner.com:smtp      TIME_WAIT
  TCP    mi-amore:28058         80.67.86.54:http       ESTABLISHED
  TCP    mi-amore:28062         destiny.waverider.net.uk:smtp  TIME_WAIT
  TCP    mi-amore:28063         post.queensu.ca:smtp   SYN_SENT
  TCP    mi-amore:28066         jemcom.com:smtp        TIME_WAIT
  TCP    mi-amore:28067         mail.odn-ag.de:smtp    TIME_WAIT
  TCP    mi-amore:28068         s7a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:28073         wnx-5b.seeweb.it:smtp  SYN_SENT
  TCP    mi-amore:28074         s5a1.psmtp.com:smtp    TIME_WAIT
  TCP    mi-amore:28076         smtp1.msp.securence.com:smtp  TIME_WAIT
  TCP    mi-amore:28077         mail.bwaycorp.com:smtp  TIME_WAIT
  TCP    mi-amore:28078         adsl-216-101-234-105.dsl.snfc21.pacbell.net:smtp
  TIME_WAIT
  TCP    mi-amore:28079         ns.barak.net.il:smtp   SYN_SENT
  TCP    mi-amore:28081         c-68-34-45-204.hsd1.dc.comcast.net:smtp  SYN_SEN
T
  TCP    mi-amore:28084         kck01.oakland-law.com:smtp  TIME_WAIT
  TCP    mi-amore:28101         mail2.mailwatch.com:smtp  ESTABLISHED
  TCP    mi-amore:28103         mailexchange3.bunt.com:smtp  SYN_SENT
  TCP    mi-amore:28107         webmail.4dhosting.com:smtp  TIME_WAIT
  TCP    mi-amore:28109         162.red-80-33-185.staticip.rima-tde.net:smtp  TI
ME_WAIT
  TCP    mi-amore:28113         smtp4.opentext.com:smtp  TIME_WAIT
  TCP    mi-amore:28115         mta-v7.mail.vip.mud.yahoo.com:smtp  SYN_SENT
  TCP    mi-amore:28117         a34-mta03.direcpc.com:smtp  SYN_SENT
  TCP    mi-amore:28118         mx.c1.byte.nl:smtp     TIME_WAIT
  TCP    mi-amore:28120         fs1.drlarchitects.com:smtp  ESTABLISHED
  TCP    mi-amore:28121         209.12.223.24:smtp     TIME_WAIT
  TCP    mi-amore:28122         mg2.arrival.net:smtp   ESTABLISHED
  TCP    mi-amore:28123         victoria.nics.gov.uk:smtp  ESTABLISHED

Dit geeft aan dat je server aan het mailen is naar een heleboel mailservers. Hij staat als een gek te spammen.

Als ik jou was zou ik even het volgende testen:

- trek de utp kabel uit je server en controlleer in de Exchange admin of je queue's vol lopen. Je kunt dan waarschijnlijk ook zien welke machine de mail verstuurt. Doet Exchange weinig, dan moet je graven naar het SMTP proces.
- kijk eens of je server de irc poort (ik meen 6667) open heeft staan. Zo ja dan ben je een botnetje geworden.
- stop IIS eens. Ik ken gevallen waarin de website (IIS) aangevallen wordt en op die manier wordt de server extern bediend.

Anyway, veel succes!

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

donderdag 20 maart 2008 08:44

Acties:

Falcon

DevOps/Q.A. Engineer

Ik kan je melden dat je er nu niet meer opstaat.

"We never grow up. We just learn how to act in public" - "Dyslexie is a bitch"

donderdag 20 maart 2008 08:59

Acties:

MegaTronics

Chef WiFi Kabels

DinX schreef op woensdag 19 maart 2008 @ 21:57:
[...]

Imho horen gemiddelde klanten sowieso niet rechtstreeks mail te versturen. Je ziet nu maar weer waarom. Het zijn niet zozeer de dingen waar de TS weinig aan kan doen die het zo erg maken (zoals de rDNS die niet klopt, dyn ip,..) maar wel dat er maar weer eens eentje spam loopt te versturen. Dan spreek ik nog niet over al de hobby-bobs die een open relay staan te draaien. Sommige mensen snappen niet hoeveel ellende ze veroorzaken door even snel een mailservertje op te zetten. Ik trap hier nu misschien veel tweakers op hun tenen, maar dat zijn ook niet de gemiddelde consumenten, die vinden wel een wat meer "geavanceerde" ISP. Het zijn die 98% andere internetgebruikers waarvan de ISP toelaat een mailserver te draaien die de pest zijn.

Precies, de hobby-bobs. Zelf heb ik thuis op mijn TweakDSL ook een SMTP server draaien voor eigen uitgaande mail. Via TweakDSL een Reverse DNS aangevraagd en zelf mijn eigen DNS aangepast. Na een scan op de spamlijsten bleek dat SORBS mij nog blokkeerde als zijnde dynamisch adres, maar met een melding op hun site voor een removal is die netjes geexcluded van de lijst.

Vroeger, toen de Batavieren nog met zijn vijven waren.

donderdag 20 maart 2008 09:11

Acties:

Sosabowski

nerd

WiNlUx schreef op woensdag 19 maart 2008 @ 20:04:
Al meerdere keren heb ik mijn IP verwijderd, alleen komt ie steeds terug op die list.

Wat kan ik er nu nog aan doen? Ik snap er niets meer van.

Misschien komt het wat bot over maar als je al meerdere keren jezelf van die lijst hebt gehaald maar ondertussen wel enorm loopt te spammen dan verdien je het om permanent op die lijst te blijven staan.

Met een houding van "De lijst zal wel niet kloppen" en "Ik snap er niks meer van" maakt weinig vrienden.

The whole problem with the world is that fools and fanatics are always so certain of themselves, and wiser people so full of doubts. -- Bertrand Russell

donderdag 20 maart 2008 11:09

Acties:

DinX

Motormuis

IorGie schreef op donderdag 20 maart 2008 @ 09:11:
[...]

Misschien komt het wat bot over maar als je al meerdere keren jezelf van die lijst hebt gehaald maar ondertussen wel enorm loopt te spammen dan verdien je het om permanent op die lijst te blijven staan.

Met een houding van "De lijst zal wel niet kloppen" en "Ik snap er niks meer van" maakt weinig vrienden.

Dat doen veel van die lijsten al trouwens. als je jezelf eraf haalt en ze je nadien alsnog pakken kunnen ze weigeren je nog ooit te delisten. Imho zou het nog zo geen slecht idee zijn om een aparte lijst met recividisten bij te houden. Door 1 van de lijsten gepakt door spam -> aanmelding bij die speciale lijst. Na verwijdering terug gepakt -> actief worden op die lijst en er blijven opstaan voor minstens 1 maand

Nog maar eens een voorbeeld wat voor elende dat het is:

DinX schreef op woensdag 19 maart 2008 @ 21:57:
[...]
code:
1
2
[root@zarafa ~]# cat /var/log/maillog | grep -c spamhaus
521129

code:

1 2	[root@zarafa ~]# cat /var/log/maillog \| grep -c spamhaus 562420

13 uur en 40.000 blocks omwille van Spamhaus verder ...

[ Voor 37% gewijzigd door DinX op 20-03-2008 11:28 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

donderdag 20 maart 2008 21:46

Acties:

DinX

Motormuis

Misschien een idiote schop, maar ik vond het best "grappig". Naar aanleiding van dit topic eens in m'n maillogs gekeken:

[root@zarafa tmp]# cat maillog.1 | grep 84.245.2.127
Mar 17 21:49:29 zarafa postfix/smtpd[21367]: warning: 84.245.2.127: address not listed for hostname home.huibdankers.nl
Mar 17 21:49:29 zarafa postfix/smtpd[21367]: connect from unknown[84.245.2.127]
Mar 17 21:49:29 zarafa postgrey[7403]: action=greylist, reason=new, client_name=unknown, client_address=84.245.2.127, sender=rareness@spinfly.cz, recipient=-@-
Mar 17 21:49:29 zarafa postfix/smtpd[21367]: NOQUEUE: reject: RCPT from unknown[84.245.2.127]: 450 4.2.0 <-@->: Recipient address rejected: Message greylisted,try again in 45 seconds. Visit Wikipedia: Greylisting for more information.; from=<rareness@spinfly.cz> to=<-@-> proto=SMTP helo=<omqhwbb.wpdxs.com>
Mar 17 21:49:29 zarafa postfix/smtpd[21367]: disconnect from unknown[84.245.2.127]
Mar 17 21:54:31 zarafa postfix/smtpd[21798]: warning: 84.245.2.127: address not listed for hostname home.huibdankers.nl
Mar 17 21:54:31 zarafa postfix/smtpd[21798]: connect from unknown[84.245.2.127]
Mar 17 21:54:31 zarafa postgrey[7403]: action=pass, reason=triplet found, delay=302, client_name=unknown, client_address=84.245.2.127, sender=rareness@spinfly.cz, recipient=-@-
Mar 17 21:54:31 zarafa postfix/smtpd[21798]: A418E380AC: client=unknown[84.245.2.127]
Mar 17 21:54:31 zarafa postfix/smtpd[21798]: disconnect from unknown[84.245.2.127]
Mar 17 21:54:39 zarafa amavis[20390]: (20390-10) lookup_ip_acl (publicnetworks): key="84.245.2.127" matches "::FFFF:0:0/96", result=1
Mar 17 21:54:39 zarafa amavis[20390]: (20390-10) lookup_ip_acl (publicnetworks): key="84.245.2.127" matches "::FFFF:0:0/96", result=1
Mar 17 21:54:39 zarafa amavis[20390]: (20390-10) Blocked SPAM, [84.245.2.127] <rareness@spinfly.cz> -> <-@->, quarantine: spam-WfAFjRozFaCE.gz, Message-ID: <6600185246.20080317204934@spinfly.cz>, mail_id: WfAFjRozFaCE, Hits: 5.724, size: 3726, 7384 ms

Kijk eens wie we daar hebben

WiNlUx schreef op woensdag 19 maart 2008 @ 21:31:
Maar ik snap het niet jongens. Ik zit al meer dan 2 jaar op TWEAK. Ik heb altijd 84.245.2.127 als ip gehad en heb dat gister laten wijzigen naar 141.

Dat maakt trouwens ook nog eens duidelijk dat het via je mailserver zelf wordt verstuurd, want hij geraakt door m'n greylisting. Het is dus een echte mailserver die het verstuurt.

[ Voor 9% gewijzigd door DinX op 20-03-2008 21:51 ]

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

donderdag 20 maart 2008 21:55

Acties:

Room42

Een boel tekst, dus ik heb het niet helemaal gelezen, behalve dat je ook bij TweakDSL zit. Ik heb ook een eigen mailserver en de magic key voor mij om van alle blacklisting ellende af te komen was: Relay alle uitgaande mail via de TweakDSL mailserver!

Mijn eigen IP zal door veel servers geblocked blijven worden alleen al omdat hij "dynamisch" is.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 21 maart 2008 00:33

Acties:

_JGC_

Lekker, je standaard smarthost instellen naar tweakdsl terwijl je server ergens lek is waardoor spammers vervolgens lekker via de tweakdsl SMTP server kunnen spammen. Nee, daar maak je vrienden mee.

vrijdag 21 maart 2008 00:40

Acties:

gambieter

Just me & my cat

_JGC_ schreef op vrijdag 21 maart 2008 @ 00:33:
Lekker, je standaard smarthost instellen naar tweakdsl terwijl je server ergens lek is waardoor spammers vervolgens lekker via de tweakdsl SMTP server kunnen spammen. Nee, daar maak je vrienden mee.

Inderdaad. De TS zal echt zijn server helemaal schoon moeten maken en dicht moeten timmeren, blijkbaar heeft hij dit nog niet op orde. Mogelijk is een herinstallatie een optie, maar ook het vinden van het probleem is belangrijk. Servicepacks, updates, firewall, antivirus (ook specifiek voor Exchange), etc etc

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

vrijdag 21 maart 2008 04:24

Acties:

Room42

_JGC_ schreef op vrijdag 21 maart 2008 @ 00:33:
Lekker, je standaard smarthost instellen naar tweakdsl terwijl je server ergens lek is waardoor spammers vervolgens lekker via de tweakdsl SMTP server kunnen spammen. Nee, daar maak je vrienden mee.

In mijn geval was en is mijn (linux) server helemaal dicht en schoon, alleen omdat ik een IP uit een dynamische reeks heb, wordt hij door veel servers geblokkeerd. Dus TweakDSL heeft hier geen last van.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 21 maart 2008 05:36

Acties:

Croga

The Unreasonable Man

Room42 schreef op donderdag 20 maart 2008 @ 21:55:
Een boel tekst, dus ik heb het niet helemaal gelezen, behalve dat je ook bij TweakDSL zit. Ik heb ook een eigen mailserver en de magic key voor mij om van alle blacklisting ellende af te komen was: Relay alle uitgaande mail via de TweakDSL mailserver!

Dat lost nog steeds je rDNS probleem niet op.

vrijdag 21 maart 2008 12:11

Acties:

servies

Veni Vidi Servici

Dit topic nu samengevat komt op he volgende uit.

Ik maak gebruik van IIS voor webmail, en Exchange voor de mail. Ik heb een aantal relay testjes gedaan, en dat ging goed. Schijnbaar ben ik goed beveiligd.

Blijkbaar ben je dat toch niet.

Tevens nog wat testjes gedaan op open proxy, die misschien ergens rondzwerven op mijn server, maar ook daar helaas niets gevonden.

Je hebt inderdaad niets gevonden, maar dat zegt dus niets.

Al meerdere keren heb ik mijn IP verwijderd, alleen komt ie steeds terug op die list.

Met een reden.

Ik heb een goede spamfilter,

Dat heeft geen invloed op uitgaand verkeer.

mijn netwerk is goed beveiligd enz.

Blijkbaar toch niet...

Ik kan je maar 1 ding zeggen:
Volledige reinstall van alles en voordat je de machine direct aansluit op internet, alle services uitzetten en voordat je wat voor service dan ook weer aanzet alle updates downloaden.

vrijdag 21 maart 2008 12:16

Acties:

DinX

Motormuis

servies schreef op vrijdag 21 maart 2008 @ 12:11:
Ik kan je maar 1 ding zeggen:
Volledige reinstall van alles en voordat je de machine direct aansluit op internet, alle services uitzetten en voordat je wat voor service dan ook weer aanzet alle updates downloaden.

Een fatsoenlijke firewall helpt ook. Dan kan je tenminste een beetje volgen wat er zoal naar buiten en binnen gaat.

Marokko 2015: Route
Sat Tracker: SpotWalla
Blog: Gone for a ride

vrijdag 21 maart 2008 15:37

Acties:

Room42

Maar om er echt zeker van te zijn moet die firewall dan wel los van de server staan. Een software firewall op die server kan door kwaadwillenden met de juiste rechten (rootkit) gewoon uitgeschakeld of omzeild worden.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

vrijdag 21 maart 2008 17:05

Acties:

Verwijderd

^{OT en vooral verbaasd : Als je bak echt zo heftig aan het spuwen is, waarom heeft je ISP je dan nog niet afgesloten of gewaarschuwd}

maandag 24 maart 2008 12:12

Acties:

asing

Is er al meer nieuws?

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month