[SPF record] Delivery failures door spammers voorkomen

Je SPF record doet z'n werk in ieder geval. Als ik de error zo lees.
Denk niet dat dat zo makkelijk te doen is. Nieuw email-adres?

heb je ~all of -all staan in je SPF record?

Hier kan je niet veel aan doen behalve deze berichten eruit filteren. Met een beetje geluk worden dit soort berichten wel steeds minder omdat de meeste mailservers berichten met een hardfail gewoon droppen zonder feedback.

shotputty schreef op vrijdag 12 december 2014 @ 22:16:
Vandaag kreeg ik helaas weer een berg delivery failures. Iedere keer bekijk ik de headers indien deze mee teruggestuurd worden door een van de hosts.

Echter nu staat er: X-Originating-IP: [***.**.118.47] <------- mijn server ip!
Received-SPF: pass

Dit is voor het eerst dat ik wèl mijn eigen server ip voorbij zie komen. Ik heb hier al met mijn host over gehad, die heeft mijn server uitgebreid bekeken maar kon geen lek vinden. Ik heb getest op open relay, lijkt niet zo te zijn.

Is er een manier waarop ik kan onderzoeken of het mogelijk is om via mijn server spam te versturen?

In je maillogs ook niets te vinden?

Mijn eerste idee is nl een authenticated user. Dan werkt alles netjes namelijk, ook al is je bak zelf dichtgespijkerd enzo. Als jij (of een andere user) op een besmette pc of whatever ingelogd heeft, of over een wifi verbinding die onbeveiligd was of whatever heeft men al snel username/password om authenticated SMTP te gebruiken.

Preventief zou ik alle mailaccounts resetten van wachtwoord, tenzij je in de logs duidelijk kan zien vanaf welke user men geauthenticeerd is.

Wbt de delivery-failed meldingen: Je kan kijken of je mailserver iets van backscatter protection heeft.
Van Mdaemon weet ik dit iig:
link

Samengevat: Elke verzonden mail krijgt een uniek ID mee in de headers. Komt deze gebounced terug, prima. Mails via derden verzonden hebben dit ID niet, dus move naar /dev/null.

Maar dat werkt niet als men je bak authenticated misbruikt door een gespoofd account....

shotputty schreef op zaterdag 13 december 2014 @ 15:02:
Bedankt voor je ideeën, ik denk dat je gelijk hebt en dat het wachtwoord misschien gekraakt is, die heb ik dan ook vandaag gewijzigd voor die user.
Er stond inderdaad een berg spam in de mail queue (Directadmin) dus mijn server was in dit geval ook echt de verzender.
Misschien is het ook een idee dat ik de mailserver uitzet? Ik gebruik namelijk alleen extern een smtp provider om mail te sturen. Deze spam wordt via mail.mijndomein verzonden.

Kan... maar dan moet je je SPF records wel goedzetten, dus de smtp van je provider toevoegen aan je SPF records.

Kun je op je huidige mailserver niet per user authenticated relay in- of uitschakelen? Icm limieten (dus bv max xx mails per dag)?

Dan kun je namelijk overal dezelfde smtp server gebruiken met authenticatie. SMTP van je ISP is leuk als je thuis bent, maar niet elders en/of over bv 3G. Tenzij je eigen ISP authenticatie voor een smtp sessie toestaat.