Mailserver experts - hulp gevraagd

Wat zegt je smtp out log ?

Zijn het geen bounces van externe mailservers? Denk dat je het slachtoffer bent van backscatter. Maar wat geeft je logfile van de mailserver voor zinvolle output? Daar kun je zien of het replies zijn op mails van jouw server of alleen rommel wat je retour krijgt.

[ Voor 18% gewijzigd door Bastien op 11-05-2015 22:46 ]

Dat source ip adres is een adres uit Saudi Arabië (http://www.ip-adress.com/whois/93.168.175.86).
Zo te zien heeft iemand jouw credentials verkregen en authenticeert van buiten jouw netwerk op je mailserver, en heeft zo dus spam verzonden.

Dat is mijn interpretatie in ieder geval.

Waarom draai je een eigen mailserver als je dit soort dingen niet zeker weet ?

Houseofdreams schreef op maandag 11 mei 2015 @ 23:01:
[...]


Maar dat zou toch niet mogen, aangezien ik geen open relay ben ? (van bij de start van de mailserver alles getest op o.a. MxToolbox) De server aanvaard ook alleen maar uitgaande mails op de SMTP van mijn intern netwerk...

Je bent inderdaad geen open relay (er kan immers niemand zonder meer bij jou relayen). Maar zoals ik al zei: iemand authenticeert zich bij je, met jouw credentials.
Uit de logging blijkt niet dat de server alleen uitgaande SMTP accepteert vanuit je interne netwerk..

Misschien een keer in phishing getrapt? Of een keylogger oid op je pc? Of gewoon een te makkelijk wachtwoord geraden middels een dictionary attack?
Mijn advies: wijzig je wachtwoord direct, het liefst van een andere device die je normaal gebruikt, en onderzoek de device die je normaal gebruikt op rotzooi..

Een open relay is een server die van elk domein naar elk domein verstuurt. In dit geval wordt als afzender jouw mailadres gebruikt, welk een lokaal domein is.
Daarnaast wordt er aangegeven dat het een authenticated user betreft. Dit zal waarschijnlijk pas gebeuren wanneer het een vertrouwd IP betreft, er SMTP authenticatie is gebruikt of vanaf hetzelfde IP in de afgelopen tijd succesvol mail is opgehaald. Dat zal van je configuratie afhangen. Je wachtwoord aanpassen zou wel eens verstandig kunnen zijn evenals de relevante instellingen nalopen.

Omdat gepruts met het draaien van mailservers een groot deel van de oorzaak van spam is.

DukeBox schreef op maandag 11 mei 2015 @ 23:13:
Omdat gepruts met het draaien van mailservers een groot deel van de oorzaak van spam is.

en hoe leer je ? door te prutsen en met samenwerking van ervaren mensen je kennis te verbreden.

loop OP niet zo lastig te vallen met onzinnige replies , het is een perfecte case om meer kennis op te doen en een betere sysadmin te worden.

Tuurlijk mag je zelf een server draaien maar je vraag is volledig onzinnig. Je weet niet of je mails aan het versturen was... dan is het eerste wat je gaat doen zorgen dat je dat in de gaten gaat houden en logs gaat doorspitten. Simpelweg je out queue op hold zetten en kijken wat er in komt. Anders sniffen of zoals je al gedaan hebt je firewall naar buiten dicht zetten.
En nee het is niet mijn bedoeling je er mee lastig tevallen maar om je te wijzen op je eigen verantwoordelijkheid en mogelijkheden. De eerste vraag was een duidelijke hint leek mij.

Als je een server aansluit op internet zul je dit soort dingen continue zien in de logs. Ik zie hier geen succesvolle login tussen.

Kan je greppen in de logging naar het ip dat de spam heeft verstuurd? Misschien zie je dan eigenschappen van een dictionary attack.

zjeeraar84 schreef op dinsdag 12 mei 2015 @ 06:30:
Als je een server aansluit op internet zul je dit soort dingen continue zien in de logs. Ik zie hier geen succesvolle login tussen.

Kan je greppen in de logging naar het ip dat de spam heeft verstuurd? Misschien zie je dan eigenschappen van een dictionary attack.

Zijn eerste logs toonde allemaal berichten van Authenticated users. Nu heeft hij zijn wachtwoord aangepast en prompt loopt zijn log vol met login errors. Dus inderdaad heeft iemand succesvol zijn wachtwoord weten te bemachtigen. Dat is nu dus in ieder geval opgelost. Maar ja. De aandacht van de spammers is nog steeds gericht op deze "makkelijke prooi".

Houseofdreams schreef op dinsdag 12 mei 2015 @ 00:25:
Ik denk dat ze op een of andere manier toch mijn wachtwoord hebben gevonden/gekraakt/...

Ik heb om te beginnen mijn wachtwoorden veranderd...

Nu zie ik dit in de security log:

[12/May/2015 00:03:13] SMTP: Invalid password for user ****@************.***. Attempt from IP address 212.79.110.68.
[12/May/2015 00:03:19] Failed SMTP login from 212.79.110.68 with SASL method LOGIN.
[12/May/2015 00:10:51] SMTP: Invalid password for user ****@************.***. Attempt from IP address 197.27.13.212.
[12/May/2015 00:10:57] Failed SMTP login from 197.27.13.212 with SASL method LOGIN.
[12/May/2015 00:12:13] SMTP: Invalid password for user ****@************.***. Attempt from IP address 197.155.127.56.
[12/May/2015 00:12:19] Failed SMTP login from 197.155.127.56 with SASL method LOGIN.
[12/May/2015 00:17:43] Client with IP address 95.180.188.30 has no reverse DNS entry, connection rejected before SMTP greeting
[12/May/2015 00:18:05] SMTP: Invalid password for user ****@************.***. Attempt from IP address 212.156.40.214.
[12/May/2015 00:18:11] Failed SMTP login from 212.156.40.214 with SASL method LOGIN.


De sterretjes zijn dan uiteraard mijn emailadres...

Ik zet de mailserver deze nacht toch maar weer uit, tot ik morgen nog verder kan zoeken/testen...

Je kan natuurlijk ook overwegen om Fail2ban te installeren. Deze kan je vervolgens instellen bij X mislukte inlogpogingen het IP-adres voor een bepaalde tijd te blokkeren.

Lees je wel goed in voordat je dit instelt, je zal niet de eerste zijn die z'n eigen IP bant met een mislukte inlogpoging

DukeBox schreef op maandag 11 mei 2015 @ 23:04:
Waarom draai je een eigen mailserver als je dit soort dingen niet zeker weet ?

kansloze reactie dit...

maniak schreef op dinsdag 12 mei 2015 @ 10:11:
Je kan toch je firewall zo inrichten dat alleen SMTP/POP request vanuit "trusted" gebieden mogen komen? Dan ben je van een hoop ellende af dacht ik zo.

En heb je een nog veel grotere ellende: Je kunt dan zelf ook niet meer mailen tenzij je thuis bent. Zeker met alle mobiele apparaten en hun mogelijkheden is dat geen zinvolle oplossing.

Croga schreef op dinsdag 12 mei 2015 @ 10:18:
[...]

En heb je een nog veel grotere ellende: Je kunt dan zelf ook niet meer mailen tenzij je thuis bent. Zeker met alle mobiele apparaten en hun mogelijkheden is dat geen zinvolle oplossing.

Hoezo.. wat is de kans dat je in China of het Midden Oosten zit? Dan kan je voor die gevallen beter een webmail client opzetten.

Croga schreef op dinsdag 12 mei 2015 @ 10:18:
En heb je een nog veel grotere ellende: Je kunt dan zelf ook niet meer mailen tenzij je thuis bent. Zeker met alle mobiele apparaten en hun mogelijkheden is dat geen zinvolle oplossing.

Én je kan uit die landen geen mail meer ontvangen op je server.

r0y89 schreef op dinsdag 12 mei 2015 @ 10:13:
kansloze reactie dit...

kansloze reactie dit...

r0y89 schreef op dinsdag 12 mei 2015 @ 10:13:
[...]


kansloze reactie dit...

Zeker niet: mailservers vereisen kennis *vooraf* omdat gebrek hieraan *overlast* veroorzaakt en veel ook.. Bewijs itt.

Het is niet even simpel websiteje draaien oid waar niemand last van heeft.

pennywiser schreef op dinsdag 12 mei 2015 @ 10:27:
[...]

Zeker niet: mailservers vereisen kennis *vooraf* omdat gebrek hieraan *overlast* veroorzaakt en veel ook.. Bewijs itt.

Het is niet even simpel websiteje draaien oid waar niemand last van heeft.

Egocentrische reacties dit.. Als je ooit verstand van dit soort zaken wilt hebben, zul je er toch zelf een keer mee moeten "spelen" en ervaren.

maniak schreef op dinsdag 12 mei 2015 @ 10:29:
En welke tweakers heeft thuis niet "gespeeld" met software om kennis op te doen? Je leert het door te doen, dat geldt ook voor een mail server.

Hij heeft het al enkele jaren draaien; imho is het dan geen 'spelen' meer.

En als je nog in een 'leer fase' zit lijkt het mij niet onverstandig om met enige regelmaat de logging te bekijken om te zien wat er allemaal langs de server gaat.
Pro-actief beheer FTW.

[ Voor 22% gewijzigd door Nnoitra op 12-05-2015 10:34 ]

maniak schreef op dinsdag 12 mei 2015 @ 10:13:
[...]


Een wachtwoord hoeft alleen lang te zijn. Wat voor jou moeilijk te onthouden is maakt het wachtwoord niet moeilijk. Een wachtwoord zoals "DitismijnserverendaarmoetjevanafblijvenFFS!" is een lang wachtwoord maar makkelijk te onthouden voor de gebruiker.

Daar doe je een aantal aannames waar ik het niet mee eens ben. Ten eerste, je gaat er vanuit dat het wachtwoord goed opgeslagen en vergeleken wordt. Als het bijvoorbeeld niet gehashed wordt en met een niet constant time algoritme vergelekeng wordt dan maakt het gebruik van woorden het makkelijker om bijvoorbeeld een timing attack te doen.

Ten tweede, als iemand wachtwoorden gaat brute forcen, dan is de kans groot dat hij met een simepele set karakters begint, zoals a t/m z en A t/m Z. Jouw wachtwoord is dan zo geraden.

Dat zijn slechts twee bezwaren, er zijn er veel meer te bedenken. Je kunt er nooit vanuit gaan dat men zorgvildig met jouw gegevens omgaat. Het beste wat je kunt doen, is voor iedere website/mailserver een uniek, lang, random wachwoord gebruiken. En dat komt in de praktijk dus neer op gebruik van een password manager.

r0y89 schreef op dinsdag 12 mei 2015 @ 10:31:
[...]


Egocentrische reacties dit.. Als je ooit verstand van dit soort zaken wilt hebben, zul je er toch zelf een keer mee moeten "spelen" en ervaren.

Wat een onzin. Dit is niet een klein probleempje, kapotte mailservers zorgen op jaarbasis voor miljoenen zo niet miljarden euros aan schade.

Edit: volgens Wikipedia kostte spam in 2004 $50 miljard.

[ Voor 17% gewijzigd door Blubber op 12-05-2015 10:37 ]

Blubber schreef op dinsdag 12 mei 2015 @ 10:33:
[...]


Daar doe je een aantal aannames waar ik het niet mee eens ben. Ten eerste, je gaat er vanuit dat het wachtwoord goed opgeslagen en vergeleken wordt. Als het bijvoorbeeld niet gehashed wordt en met een niet constant time algoritme vergelekeng wordt dan maakt het gebruik van woorden het makkelijker om bijvoorbeeld een timing attack te doen.

Ten tweede, als iemand wachtwoorden gaat brute forcen, dan is de kans groot dat hij met een simepele set karakters begint, zoals a t/m z en A t/m Z. Jouw wachtwoord is dan zo geraden.

Dat zijn slechts twee bezwaren, er zijn er veel meer te bedenken. Je kunt er nooit vanuit gaan dat men zorgvildig met jouw gegevens omgaat. Het beste wat je kunt doen, is voor iedere website/mailserver een uniek, lang, random wachwoord gebruiken. En dat komt in de praktijk dus neer op gebruik van een password manager.

maniak schreef op dinsdag 12 mei 2015 @ 10:31:
True.. maar hoeveel mails zou je dan missen die uit die regio's komen?

Bijv. Israel is een land waar veel cloud mail vandaan komt en als ik zo kijk naar het azure plarform is dat ook zeer wijd versprijd. Met andere cloud producten zal dat niet anders zijn..

r0y89 schreef op dinsdag 12 mei 2015 @ 10:31:
Egocentrische reacties dit.. Als je ooit verstand van dit soort zaken wilt hebben, zul je er toch zelf een keer mee moeten "spelen" en ervaren.

Je draait de boel om.. 'spelen' en ervaren doe je in een afgesloten test omgeving zodat niemand er last van heeft. Tijdens dit traject doe je de kennis op om er mee overweg te kunnen.
Om met een auto op de openbare weg te rijden moet je ook eerst een rijbewijs halen waar theorie een onderdeel van is.

Denk maar eens na, waarom sluiten de meeste consumenten providers (als ze smtp überhaupt doorlaten) je af bij een open relay maar niet bij het illegaal downloaden ?

[ Voor 8% gewijzigd door DukeBox op 12-05-2015 10:43 ]

DukeBox schreef op dinsdag 12 mei 2015 @ 10:40:
Je draait de boel om.. 'spelen' en ervaren doe je in een afgesloten test omgeving zodat niemand er last van heeft. Tijdens dit traject doe je de kennis op om er mee overweg te kunnen.
Om met een auto op de openbare weg te rijden moet je ook eerst een rijbewijs halen waar theorie een onderdeel van is.

Precies.. Het is net auto rijden!
Eerst moet je de theorie kennen.
Dan moet je in de auto de weg op!
Dan doe je examen en mag je alleen in de auto zitten.
Dan moet je in de auto de weg op!!
En een paar jaar later kun je dan ook echt auto rijden.

Een afgesloten test omgeving is leuk maar daar leer je niet alles van. Zoals admiraal Ardak Kumerian zei:
"The only valid test is combat!"

Houseofdreams schreef op dinsdag 12 mei 2015 @ 09:26:
Ik geef toe dat ik tot nu misschien dankzij een vals gevoel van veiligheid wat te laks omsprong met wachtwoorden (voor sommige diensten hetzelfde gebruiken enz), dat heb ik dan nu ook geleerd. Vanaf nu wordt elk ww ook om de zoveel dagen gewoon gewijzigd...

Misschien een handige tip om schade te beperken. Je weet vaak wel gemiddeld hoeveel mail er op een dag wordt verzonden. Stel daar een (iets hoger) limiet op zodat bij een open relay de boel in je out-queue blijft staan.
Vaak kun je dit ook pér user doen en/of client IP om het helemaal te fine tunen. Zo laat ik per account extern maar 10 mailtjes per dag toe en intern 50.. een reply op een ontvangen mail wordt niet meegeteld. Voor 99% (zo niet 100%) van mijn gebruikers is dat meer dan voldoende.

[ Voor 18% gewijzigd door DukeBox op 12-05-2015 10:51 ]

Croga schreef op dinsdag 12 mei 2015 @ 10:46:
[...]

Precies.. Het is net auto rijden!
Eerst moet je de theorie kennen.
Dan moet je in de auto de weg op!
Dan doe je examen en mag je alleen in de auto zitten.
Dan moet je in de auto de weg op!!
En een paar jaar later kun je dan ook echt auto rijden.

Een afgesloten test omgeving is leuk maar daar leer je niet alles van. Zoals admiraal Ardak Kumerian zei:
"The only valid test is combat!"

Met instructeur die eigen set pedalen heeft.

Door deze goedpraterij houden we allemaal last van spam. Top.

Ik weet niet in hoeverre je vaak in het buitenland zit, maar je zou natuurlijk ook een whitelist kunnen instellen voor inlogpogingen. Desnoods zet je die op 100% NL, en wanneer je naar het buitenland gaat stel je die een beetje bij. Scheelt een hoop gezeik.

Ubuntu en basis vragen over mailservers, maar wel "experts" in de TT zetten.
leuk weer hoe dat werkt.

ik sluit me dan ook aan bij hierboven.
en bonus tip: besteed dit soort dingen uit. als particulier kun je op een hoop plaatsen gratis terecht en als bedrijf kost het je ook de wereld niet.

DukeBox schreef op dinsdag 12 mei 2015 @ 10:40:
[...]

Bijv. Israel is een land waar veel cloud mail vandaan komt en als ik zo kijk naar het azure plarform is dat ook zeer wijd versprijd. Met andere cloud producten zal dat niet anders zijn..


[...]

Je draait de boel om.. 'spelen' en ervaren doe je in een afgesloten test omgeving zodat niemand er last van heeft. Tijdens dit traject doe je de kennis op om er mee overweg te kunnen.
Om met een auto op de openbare weg te rijden moet je ook eerst een rijbewijs halen waar theorie een onderdeel van is.

Denk maar eens na, waarom sluiten de meeste consumenten providers (als ze smtp überhaupt doorlaten) je af bij een open relay maar niet bij het illegaal downloaden ?

Zou een leuke boel wezen als je alleen maar in een afgesloten omgeving gaat leren rijden.

In testomgevingen ga je dit soort scenario's niet tegenkomen.

r0y89 schreef op dinsdag 12 mei 2015 @ 12:10:

In testomgevingen ga je dit soort scenario's niet tegenkomen.

Als tester zijnde ben ik het daar niet helemaal mee eens.
Die scenario's kom je inderdaad niet tegen, die scenario's dien je zelf te creëren
(Maar daar dien je dan wel de middelen én kennis voor te hebben)

r0y89 schreef op dinsdag 12 mei 2015 @ 12:10:
[...]


Zou een leuke boel wezen als je alleen maar in een afgesloten omgeving gaat leren rijden.

Vreemde opmerking; ik kan jou alle basisbegrippen en meer bijbrengen hoe een auto functioneert en hoe je deze volledig onder controle hebt (analogie testomgeving). Op het moment dat je in de testomgeving weet hoe de core technologie functioneert, is de volgende stap om het in de praktijk te brengen op de openbare weg (analogie het boze internet).

Zolang je je aan de regels houdt (!!!) die gelden in de praktijk en dat combineert met alles wat je zelf al geleerd en gelezen hebt over controle van de auto, gaat een ritje van Amsterdam naar Rotterdam in de spits vlekkeloos. Of zou er een andere reden zijn dat als je rijles neemt, dat je meteen op dag 1 zelf mag sturen en de stad door wordt gestuurd door jouw instructeur?

Terug naar de mail-server: smtp is bijna zo oud als het internet zelf. Er zouden dus tientallen zo niet duizenden vergelijkbare artikelen, valkuilen, best practices etc. te vinden zijn hoe & waarom je een mailserver prive kan installeren en beheren.

Het lijkt er vooralsnog op dat dit niet gebeurd is; ik sluit me dus aan bij de groep die zegt dat je eerst maar eens in een afgesloten omgeving moet gaan kijken hoe een service (zoals smtp) functioneert, hoe je een server, en dan zeker Linux, volledig kan jailen/hardenen om ervoor te zorgen dat eventuele attacks voor jezelf maar ook voor de rest van de wereld, een zo klein mogelijk gevolg hebben.

Xantios schreef op dinsdag 12 mei 2015 @ 11:11:
...als particulier kun je op een hoop plaatsen gratis terecht ...

Voor beheer van een eigen mailserver?

begintmeta schreef op dinsdag 12 mei 2015 @ 14:16:
[...]

Voor beheer van een eigen mailserver?

Nee, voor het hebben van een mail-relay of een beperkte mail-omgeving waarbij de rest van de randvoorwaarden, zoals firewalling, DDOS-bescherming etc. door de host wordt verzorgd.

Dan wordt meer de vraag: welke functionaliteit van SMTP wil je zelf in beheer hebben & waarom om ervoor te kiezen om zelf een SMTP-server neer te zetten i.p.v. te leasen/huren?

MAX3400 schreef op dinsdag 12 mei 2015 @ 14:12:
[...]

Vreemde opmerking; ik kan jou alle basisbegrippen en meer bijbrengen hoe een auto functioneert en hoe je deze volledig onder controle hebt (analogie testomgeving). Op het moment dat je in de testomgeving weet hoe de core technologie functioneert, is de volgende stap om het in de praktijk te brengen op de openbare weg (analogie het boze internet).

Zolang je je aan de regels houdt (!!!) die gelden in de praktijk en dat combineert met alles wat je zelf al geleerd en gelezen hebt over controle van de auto, gaat een ritje van Amsterdam naar Rotterdam in de spits vlekkeloos. Of zou er een andere reden zijn dat als je rijles neemt, dat je meteen op dag 1 zelf mag sturen en de stad door wordt gestuurd door jouw instructeur?

Terug naar de mail-server: smtp is bijna zo oud als het internet zelf. Er zouden dus tientallen zo niet duizenden vergelijkbare artikelen, valkuilen, best practices etc. te vinden zijn hoe & waarom je een mailserver prive kan installeren en beheren.

Het lijkt er vooralsnog op dat dit niet gebeurd is; ik sluit me dus aan bij de groep die zegt dat je eerst maar eens in een afgesloten omgeving moet gaan kijken hoe een service (zoals smtp) functioneert, hoe je een server, en dan zeker Linux, volledig kan jailen/hardenen om ervoor te zorgen dat eventuele attacks voor jezelf maar ook voor de rest van de wereld, een zo klein mogelijk gevolg hebben.

Het enige wat ik probeerde duidelijk te maken is dat dit tweakers.net is. Iemand vraagt een normale vraag over zijn mailserver - waar die waarschijnlijk apetrots op is - en ontvang je een opmerking wat impliceert dat je eigenlijk maar beter geen server moet gaan hosten.

Als je een punt wilt maken over vervuiling op internet, zijn er waarschijnlijk wel andere topics waar je terecht kunt. Dit lijkt me niet de plek om daar een punt over te gaan maken.

r0y89 schreef op dinsdag 12 mei 2015 @ 14:34:
Het enige wat ik probeerde duidelijk te maken is dat dit tweakers.net is. Iemand vraagt een normale vraag over zijn mailserver - waar die waarschijnlijk apetrots op is - en ontvang je een opmerking wat impliceert dat je eigenlijk maar beter geen server moet gaan hosten.

Mensen die zelf vuurwerkbommen maken zijn er vaak ook apetrots op.. maar ook daar geldt: Je bent een als je met...

MAX3400 schreef op dinsdag 12 mei 2015 @ 14:19:
Dan wordt meer de vraag: welke functionaliteit van SMTP wil je zelf in beheer hebben & waarom om ervoor te kiezen om zelf een SMTP-server neer te zetten i.p.v. te leasen/huren?

Desnoods maak je 'zelf' gebruik van een relay. Zowel ingaand als uitgaand.

[ Voor 41% gewijzigd door DukeBox op 12-05-2015 14:38 ]

r0y89 schreef op dinsdag 12 mei 2015 @ 14:34:
[...]
Iemand vraagt een normale vraag over zijn mailserver - waar die waarschijnlijk apetrots op is - en ontvang je een opmerking wat impliceert dat je eigenlijk maar beter geen server moet gaan hosten.

Uit je reacties blijkt alleen maar hoezeer je de spam problematiek onderschat. En je bent niet de enige, dat doet vrijwel iedereen met smtp servers tegenwoordig, met name Exchange, Kerio, Mdaemon, etc., want deze worden uitgekozen omdat je geen diepgaande smtp kennis hoeft te hebben persé. Waarmee de problemen beginnen.

Nogmaals een website die er niet uit ziet heeft niemand last van, mailservers die niet deugen wel. 100k mails zijn in uur of wat verstuurd, zonder dat iemand het doorheeft, want bv. Exchange logging staat oook nog eens uit vaak, want ja dat vreet zoveel resources.

MAX3400 schreef op dinsdag 12 mei 2015 @ 14:12:
Het lijkt er vooralsnog op dat dit niet gebeurd is;

Bullcrap. Zijn hele probleem heeft in het geheel niets met de configuratie van de server te maken. Het heeft te maken met een wachtwoord wat "geraden" is. Dat had overal en iedereen kunnen gebeuren.

Dat het wachtwoord kon worden geraden is natuurlijk vermoedelijk ook niet helemaal toeval. Laat me wel weer denken over het optimaliseren van mijn eigen server... want optimaal is hij nog bepaald niet.

[ Voor 38% gewijzigd door begintmeta op 12-05-2015 17:46 ]

Croga schreef op dinsdag 12 mei 2015 @ 17:09:
Het heeft te maken met een wachtwoord wat "geraden" is. Dat had overal en iedereen kunnen gebeuren.

Ja maar de impact van zoiets kan flink beperkt worden door andere maatregelen.

begintmeta schreef op dinsdag 12 mei 2015 @ 17:44:
Dat het wachtwoord kon worden geraden is natuurlijk vermoedelijk ook niet helemaal toeval. Laat me wel weer denken over het optimaliseren van mijn eigen server... want optimaal is hij nog bepaald niet.

Ik denk niet dat het wachtwoord geraden is, maar dat TS hetzelfde wachtwoord heeft gebruikt om op een website in te loggen.

Brahiewahiewa schreef op dinsdag 12 mei 2015 @ 18:18:
...
Ik denk niet dat het wachtwoord geraden is, maar dat TS hetzelfde wachtwoord heeft gebruikt om op een website in te loggen.

Dan is het min of meer ook geraden toch? Iemand heeft dan geraden dat dat ook het wachtwoord is voor het mailsysteem. Een beetje een educated guess, aangezien mensen natuurlijk vaker hetzefde wachtwoord hergebruiken. Zou ook best direct als dat mail-wachtwoord kunnen zijn gekenmerkt door de gebruiker zelf natuurlijk, dan is er inderdaad weinig raden meer aan.

Ik zal binnenkort maar eens kijken of ik het voor elkaar krijg al mijn zelfbeheerde logins aan te vullen met een extra factor (totp vermoed ik)

[ Voor 11% gewijzigd door begintmeta op 12-05-2015 18:36 ]

r0y89 schreef op dinsdag 12 mei 2015 @ 14:34:
[...]


Het enige wat ik probeerde duidelijk te maken is dat dit tweakers.net is. Iemand vraagt een normale vraag over zijn mailserver - waar die waarschijnlijk apetrots op is - en ontvang je een opmerking wat impliceert dat je eigenlijk maar beter geen server moet gaan hosten.

Als je een punt wilt maken over vervuiling op internet, zijn er waarschijnlijk wel andere topics waar je terecht kunt. Dit lijkt me niet de plek om daar een punt over te gaan maken.

Dit is geen 'normale vraag' wat mij betreft. Als je een eigen mailserver host die open en bloot aan 't internet hangt, dan dien je op z'n mínst de vaardigheid te moeten hebben om enigszins wat aan debugging en probleemoplossing te doen.

Het feit dat de TS hier zijn 'normale vraag' diende te posten geeft al aan dat hij z'n mailserver-theoriebewijsje bij een pakje boter heeft gekregen (no offence jegens de TS) en dat 'ie die ZSM in zou moeten leveren.

Uiteraard kan niemand álles weten en kennen, maar enigszins intelligentie en probleemoplossend kunnen nadenken zijn mijns inziens toch best wel voorwaarden voordat je een 'risicovolle' onderneming begint.

[ Voor 18% gewijzigd door FrankHe op 12-05-2015 19:49 ]

Osiris schreef op dinsdag 12 mei 2015 @ 19:06:
[...]

Dit is geen 'normale vraag' wat mij betreft. Als je een eigen mailserver host die open en bloot aan 't internet hangt, dan dien je op z'n mínst de vaardigheid te moeten hebben om enigszins wat aan debugging en probleemoplossing te doen.

Lijkt me eerder de taak van zijn provider om hem nu te contacteren hierover en (moest hij niets ondernemen) van het netwerk te gooien.

Los daarvan kan iets dergelijks (je wachtwoord dat geraden of gestolen wordt) evengoed gebeuren bij elke andere mailprovider.

Wat de TS kan leren hieruit is om verwittigd te worden als er grote hoeveelheden mail verstuurd worden en deze dan ook meteen te blokkeren.

Bijvoorbeeld CSF (ConfigServer Firewall) heeft dergelijke functionaliteit aan boord.

DukeBox schreef op maandag 11 mei 2015 @ 23:13:
Omdat gepruts met het draaien van mailservers een groot deel van de oorzaak van spam is.

Eerlijk gezegd geloof ik dit niet. Ooit was dat zo maar dat is al weer lang geleden. Ik kan me niet herinneren wanneer ik voor het laatst spam van een open relay heb gezien. De meeste spam komt van botnets die zelf mailen. Er komt ook veel spam van gehackte servers. De mail loopt dan via de normale, legitieme, mailserver in dat netwerk.
Op mijn werk hebben we veel last van gebruikers die hun wachtwoord laten uitlekken waarna dit gebruikt wordt om op onze servers in te loggen en spam te versturen.

De meeste mailservers zijn tegenwoordig out-of-the-box ook geen open relay meer en zorgen ze voor een relatief veilige default configuratie. Om er een open relay van te maken moet je het zelf flink verkeerd configureren.

CAPSLOCK2000 schreef op dinsdag 12 mei 2015 @ 20:15:
Op mijn werk hebben we veel last van gebruikers die hun wachtwoord laten uitlekken waarna dit gebruikt wordt om op onze servers in te loggen en spam te versturen.

Een mailserver met een 'gehacked' account is ook een open relay.

Nogmaals, een goede mail/smtp beheerder zorgt ervoor dat de schade beperkt blijft en er pro actief gemonitord wordt.

[ Voor 15% gewijzigd door DukeBox op 12-05-2015 21:14 ]

Dat is een kwestie van definities en mijn definitie van een open relay is anders.
TS heeft dezelfde dag nog gemerkt dat er iets mis was. Veel organisaties doen hem dat niet na. IMHO doet hij het dus goed genoeg. Perfect is het natuurlijk niet maar ik kan hem niks verwijten. Ik vind het draaien van je eigen mailserver typisch iets voor Tweakers. IMHO wordt het nu al veel te moeilijk gemaakt zonder dat het spam-probleem er echt door wordt opgelost.

Als ik zie welke stappen TS genomen heeft, denk ik dat hij prima onder de noemer 'goede mailbeheerder' mag vallen. Volgens mij zijn er niet veel mensen in staat om een mailserver op te zetten, maar niet capabel genoeg om deze degelijk te beveiligen; wat dat betreft zou ik het advies om vooral geen mailserver te draaien bewaren voor de gevallen waar voor dat laatste extreme desinteresse wordt getoond, en daar is hier geen sprake van. En hoewel verwacht mag worden dat mensen zich enigszins inlezen, een boel kennis doe je nu eenmaal in de praktijk op. Daarbij gaan soms dingen fout. Voor tweakers die het spamprobleem serieus nemen, ligt daar in mijn ogen juist een kans om behulpzaam te zijn.

Het lijkt er meer op dat iemand vanuit jouw e-mail adres/domeinnaam (hoeft niet vanaf je server te zijn) een spam ronde heeft gestuurd. Omdat jij als afzend adres staat, krijg jij alle bounce berichten. Hier is niets tegen te doen. Iedereen kan zelf een afzend adres bedenken en gebruiken. Je kunt bijvoorbeeld heel eenvoudig een mail sturen namens support@microsoft.com.

Eventueel zou je het SPF record van je domeinnaam specifieker kunnen instellen met een -all aan het einde. Hiermee mogen alleen servers gespecificeerd in je SPF record mail versturen vanuit je domeinnaam. Spam filters reageren hier op en bezorgen de spam niet.

Je zou ook kunnen besluiten om je catch-all uit te zetten zodat je al die bounce berichten niet krijgt

SPF wordt nog maar nauwelijks gebruikt en dan alleen door de grote partijen, Microsoft, Google en daarnaast nog een enkeling. Dus je hebt er alleen iets aan als je stuurt van of naar die partijen.

Ok dit is 3 jaar oud, maar het is nu nog niet veel beter: http://blogs.msdn.com/b/t...deployed-think-again.aspx