Toon posts:

Word mijn server gebruikt om spam te sturen?

Pagina: 1
Acties:

Vraag

donderdag 29 september 2016 11:41

Acties:
  • thomas1907
  • Registratie: Mei 2010
  • Laatst online: 16-10 05:35

thomas1907

Topicstarter
Mijn vraag
Ik heb een eigen mail server en heb SPF, DKIM, en DMARC een tijdje geleden ingesteld. Nu krijg ik veel DMARC reports en daar staan 1700 mails in die ik niet verstuurd heb, en niet van mijn IP komen, maar van verschillende IP's

Relevante software en hardware die ik gebruik
AXIGEN X
Ubuntu 14.04
Time4VPS.eu VPS
SMTP op :25 en :465(ssl)
IMAP op :143 en 993(ssl)

Wat ik al gevonden of geprobeerd heb
Ik heb fail2ban ingesteld, hier krijg ik soms een ban op maar dat is als iemand een inlogaanval doet op SSH of Axigen. Kan ik de listener op poort 25 gewoon uitzetten? aangezien iedereen op mijn mail SSL gebruiken.

Log :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: [MIJN IP:25] connection accepted from [95.46.225.240:42278]
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Set remote delivery to auth
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Greylist disabled
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Set max data size to 25600 KB
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Set max received headers to 30
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Maximum recipient count set to 1000
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Wait for processing response at least 10 seconds
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: STARTTLS extension allowed
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: 8BIT MIME accepted
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: BINARY DATA extension allowed
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: PIPELINING extension allowed
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Set local delivery to all
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: Set mail state to REMOVED
2016-09-29 11:26:57 +0200 08 mail SMTP-IN:00000A9B: closing session from [95.46.225.240:42278]
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: [MIJN IP:25] connection accepted from [179.209.28.44:50430]
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Set remote delivery to auth
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Greylist disabled
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Set max data size to 25600 KB
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Set max received headers to 30
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Maximum recipient count set to 1000
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Wait for processing response at least 10 seconds
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: STARTTLS extension allowed
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: 8BIT MIME accepted
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: BINARY DATA extension allowed
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: PIPELINING extension allowed
2016-09-29 11:27:06 +0200 08 mail SMTP-IN:00000A9C: Set local delivery to all
2016-09-29 11:27:07 +0200 08 mail SMTP-IN:00000A9C: Set mail state to REMOVED
2016-09-29 11:27:07 +0200 08 mail SMTP-IN:00000A9C: closing session from [179.209.28.44:50430]
2016-09-29 11:27:18 +0200 08 mail SMTP-IN:00000A9D: [MIJN IP:25] connection accepted from [109.241.251.48:44159]
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Set remote delivery to auth
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Greylist disabled
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Set max data size to 25600 KB
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Set max received headers to 30
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Maximum recipient count set to 1000
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Wait for processing response at least 10 seconds
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: STARTTLS extension allowed
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: 8BIT MIME accepted
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: BINARY DATA extension allowed
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: PIPELINING extension allowed
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Set local delivery to all
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: Set mail state to REMOVED
2016-09-29 11:27:19 +0200 08 mail SMTP-IN:00000A9D: closing session from [109.241.251.48:44159]
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: [MIJN IP:25] connection accepted from [178.57.246.144:54841]
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Set remote delivery to auth
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Greylist disabled
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Set max data size to 25600 KB
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Set max received headers to 30
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Maximum recipient count set to 1000
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Wait for processing response at least 10 seconds
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: STARTTLS extension allowed
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: 8BIT MIME accepted
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: BINARY DATA extension allowed
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: PIPELINING extension allowed
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Set local delivery to all
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: Set mail state to REMOVED
2016-09-29 11:27:30 +0200 08 mail SMTP-IN:00000A9E: closing session from [178.57.246.144:54841]


DMARC log:
AOL : https://dmarcian.com/dmarc-xml/details/mhjgbGYN2csPirnH/
Yahoo (906KB groot!?) : https://dmarcian.com/dmarc-xml/details/ed1HpiNks6QX5G2m

Ik hoop dat jullie mij kunnen helpen! _/-\o_

Alle reacties

donderdag 29 september 2016 13:07

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13:54

lordgandalf

dat de clients een andere niet poort 25 poort gebruiken maakt niks uit. Je zit vast aan je poort 25 voor inkomende en uitgaande mail. tenzij je naar iederen smtps of een andere encrypted variant gebruikt naar externe servers.
Daarnaast doet men niks in de log die je toont het is gewoon iemand die iedere deur in de straat probeert van is deze open oh hij is nog steeds open straks nog eens proberen etc. etc.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 29 september 2016 13:23

Acties:
  • thomas1907
  • Registratie: Mei 2010
  • Laatst online: 16-10 05:35

thomas1907

Topicstarter
lordgandalf schreef op donderdag 29 september 2016 @ 13:07:
dat de clients een andere niet poort 25 poort gebruiken maakt niks uit. Je zit vast aan je poort 25 voor inkomende en uitgaande mail. tenzij je naar iederen smtps of een andere encrypted variant gebruikt naar externe servers.
Daarnaast doet men niks in de log die je toont het is gewoon iemand die iedere deur in de straat probeert van is deze open oh hij is nog steeds open straks nog eens proberen etc. etc.
Dus mijn mail server heeft niks te maken met die DMARC resultaten? 1700 fake mailsis best wat.
Is ook voor het eerst dat ik een DMARC heb ingesteld maar +- een week of 1,5 geleden was het nog niet zo erg.

donderdag 29 september 2016 14:13

Acties:
  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 13:54

lordgandalf

Ik zie in de log die jij toont niet dat er mail verstuurt word ik zie bijv staan Set mail state to REMOVED. dat betekend dat de email word verwijdert.
Wat vragen welke MTA draai je geen standaard postfix want die log ziet er totaal anders uit.
DMARC reports zijn niet allemaal foute mails het is een lijst met deze mails heb je gekregen en deze waren fout en deze waren verdacht en deze waren goed.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3

donderdag 29 september 2016 16:15

Acties:
  • thomas1907
  • Registratie: Mei 2010
  • Laatst online: 16-10 05:35

thomas1907

Topicstarter
lordgandalf schreef op donderdag 29 september 2016 @ 14:13:
Ik zie in de log die jij toont niet dat er mail verstuurt word ik zie bijv staan Set mail state to REMOVED. dat betekend dat de email word verwijdert.
Wat vragen welke MTA draai je geen standaard postfix want die log ziet er totaal anders uit.
DMARC reports zijn niet allemaal foute mails het is een lijst met deze mails heb je gekregen en deze waren fout en deze waren verdacht en deze waren goed.
Ja en ik heb totaal 8 mail accounts op mijn server, en geneen heeft naar Yahoo of AOL gemailed :P Kan ik die verbindingen op een of andere manier stoppen? Het gebeurd namelijk elke seconde..

Het rare is ook, eerst kreeg ik om 3 uur snachts ineens 2000 inlogpogingen met vanalles en nog wat op mijn mail server, toen heb ik fail2ban ingesteld en werden de IP's 3 uur geblokkeerd en sinds dien is het eigenlijk begonnen.

Iniedergeval bedankt!

//Edit
Ik ben nu DNSBL aan het toevoegen, en ik zie dat hier een tal van de IP's al aan staat gegeven.
op : http://www.dnsbl.info/dnsbl-database-check.php check ik random IP's en heb nu 6 DNSBL's toegevoegd.

[ Voor 22% gewijzigd door thomas1907 op 29-09-2016 19:42 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq