Blacklisted

Je virusscanners op de lokale PC's/Servers vinden niets? Anserin/Torpig is al redelijk oud (2008) dus dat zou toch wel opgepikt moeten worden door jouw AV.

Als je nu eens al het verkeer re-route van 91.19.0.0 tot 91.20.255.255, naar een locale-server kan je kijken wel locaal-IP connecties opzet, en zet je gelijkertijd de spam-bot stop.

[ Voor 12% gewijzigd door djexplo op 04-08-2011 11:38 ]

Misschien kan je iets meer info geven, bijvoorbeeld wat de relatie van een virus is met het niet meer kunnen versturen van mail? Verder zie ik niet:

- hebben jullie een eigen mail server?
- heeft die als relayhost de server van kpn ingesteld staan?
- hoe is de firewall ingesteld (mogen clients verbinden met poort 25 uitgaand)?
- is de mail server openrelay (http://www.abuse.net/relay.html)

- Welke verbinding staat op de blacklist?
- Over welke blacklist heb je het?
- Wordt iets terug gestuurd door de ontvangende mail server (en zo ja wat)?
- Naar welke domein(en) kan niet meer gemaild worden?
- Geef eens wat info over (bijvoorbeeld) spf records ed.

De domeinen die gebruik maken van de blacklists zullen je mailtjes weigeren. Ik vermoed dat je op de blacklist staat vanwege de melding: Does IP Address comply with reverse hostname naming convention... Failed!

Probeer dat op te lossen (http://www.tomshardware.c...entry-mail-servers-accept) en dan ga je van de blacklists af en kun je weer mail versturen

Sinester schreef op vrijdag 05 augustus 2011 @ 13:59:

- hoe is de firewall ingesteld (mogen clients verbinden met poort 25 uitgaand)?
Firewall laat alleen poort 25 toe

ps we gebruiken Symantec Endpoint Protection

Poort 25 op de firewall alleen toelaten vanaf de server, alle connecties vanaf andere bronnen/ip's/devices (of hoe je het wilt noemen) uit zetten.

En daarna gewoon lekker KPN als smarthost instellen en dan ben je van het probleem af

oja, controleer even in je firewall waar al de activiteit vandaan komt die over poort 25 naar buiten gaat. Kun je direct de desbetreffende client (misschien wel server?) eens even goed opschonen (er vanuit gaande dat relay wel uit staat).

Misschien is het wel NDR spam? Zet het voor de zekerheid even uit.
Kijk goed op MXtoolbox wat de reden is. (die kun je er ook nog wel eens uithalen) en scan of je mailserver gaten bevat. Zo niet, komt het hoogstwaarschijnlijk bij een client vandaan.

lier schreef op donderdag 04 augustus 2011 @ 13:19:
Misschien kan je iets meer info geven, bijvoorbeeld wat de relatie van een virus is met het niet meer kunnen versturen van mail? Verder zie ik niet

Als je een client hebt die is lid in van een botnet, en dit wordt gedetecteerd, dan kun je op een blacklist komen. Deze blacklists worden onder andere gebruikt voor het bepalen of er e-mail verstuurd mag worden van een bepaald IP. Het botnet zou bijvoorbeeld gebruikt kunnen worden voor het versturen van spam.

Het hoeft dus niet per se dat het IP is geblokkeerd vanwege spam. Het kan ook dat er een ander soort verkeer van de trojan die Torpig/Sinowal/Anserin verstuurt ervoor heeft gezorgd dat het IP geblokkeerd is.

@TS: aangezien het om een zakelijk account gaat neem ik aan dat dit IP-adres al een tijd van jullie is?

@HoCr en @jffr1986: Tenzij de TS werkt bij KPN zal hij weinig invloed hebben op het feit dat de KPN smarthost op de blacklist staat. Oftewel, probleem van KPN en dus ook bij KPN neer leggen. Als bewijs kan je nog de vermeldingen op de verschillende lijsten die je noemt vermelden richting KPN.

Eventueel kan je kijken of je mail via een andere smarthost van KPN mag versturen: smarthost.direct-adsl.nl.

Tot slot wil je niet dat iets anders dan je server poort 25 naar buiten mag.

Sinester schreef op vrijdag 05 augustus 2011 @ 13:59:
- hebben jullie een eigen mail server?
Ja
- heeft die als relayhost de server van kpn ingesteld staan?
Volgens mij wel, omdat hun static lijn op de blacklist staat

static.kpn.net wil niet meer zeggen, dat dat jullie een statisch IP van KPN hebben en "te lui" zijn geweest om RDNS in te laten stellen door KPN. Het IP op de blacklists is dus gewoon van jullie.

- hoe is de firewall ingesteld (mogen clients verbinden met poort 25 uitgaand)?
Firewall laat alleen poort 25 toe

En dan hopelijk alleen van de mailserver en niet van al je clients.

- is de mail server openrelay (http://www.abuse.net/relay.html)
Volgens de test niet (ze falen in iedergeval op die site)
- Welke verbinding staat op de blacklist?
Die van KPN die wij gebruiken (xxx.xxx.xx.xx)
- Over welke blacklist heb je het?
CBL, Rats Dyna en spamhaus-zen
- Wordt iets terug gestuurd door de ontvangende mail server (en zo ja wat)?
We krijgen mailtjes terug dat het bericht niet aangekomen is, en bij sommige staat er nog een link bij naar een blacklist

Er wordt dus gewoon rommel verstuurd vanaf jullie IP, waardoor jullie terecht op de blacklists staan.

- Naar welke domein(en) kan niet meer gemaild worden?
Naar bijna geen 1 domain meer, hoewel er wel uitzonderingen zijn waar we nog wel naar toe kunnen mailen
- Geef eens wat info over (bijvoorbeeld) spf records ed.
Geen idee waar ik dat vandaan haal

Laat je baas iemand in huis halen, die hier verstand van heeft. Leer je zelf ook weer van.

ps we gebruiken Symantec Endpoint Protection

Zet logging op de firewall aan voor de policy waarover het uitgaande SMTP-verkeer gaat. Dan kun je waarschijnlijk vrij eenvoudig achterhalen, waar het verkeer vandaan komt.

Als echt alle PC's over poort 25 naar buiten toe mogen, dan zou ik daar overigens heel rap iets aan gaan doen.


Edit:

Even geverifieerd en het IP is inderdaad van jullie in Zwaagdijk. Degene die het aangevraagd heeft heet Mathijs en jullie doen iets met groente.

Hint: haal het IP even weg.

[ Voor 11% gewijzigd door Verwijderd op 05-08-2011 17:14 ]