Mail Server heeft gespamd, hoe van dns-lijsten af te komen - Linux en overige clients

dinsdag 6 januari 2004 17:03

Acties:

Verwijderd

Topicstarter

Ik heb onlangs een nieuwe Debian mailserver thuis geinstalleerd, de oude moet namelijk de deur uit. De configuratie is nagenoeg gelijk aan de oude server.
Ook de gebruikte pakketen zijn hetzelfde gebleven.

Het probleem is dat ook wanneer er geen pc's in mijn netwerk aan staan thuis, er erg veel mail verstuurd wordt over mijn mail server. Dit kwam in tegen in /var/log/mail.info.

code:

Jan  6 16:28:41 server postfix/smtp[2839]: E9F5743082: 
to=<jure@adnet.aust.com>, relay=mail.chello.nl[213.46.243.2], delay=4,
 status=bounced (host mail.chello.nl[213.46.243.2] said: 551 Mail from your IP 
address is currently blocked based on RBL listing)

Jan  6 16:28:41 server postfix/smtp[2849]: 0D07143077: 
to=<junior1@adnet.aust.com>, relay=mail.chello.nl[213.46.243.2], delay=3,
status=bounced (host mail.chello.nl[213.46.243.2] said: 551 Mail from your IP 
address is currently blocked based on RBL listing)

Het gevolg dat ik nu geen helemaal geen e-mail meer mag versturen vanaf mijn IP adres, omdat deze is geblokeerd door Chello. Ik heb natuurlijk gecontroleerd of open relaying aan staat, maar dit is niet het geval. Dit heb ik getest door

code:

1	telnet relay-test.mail-abuse.org

te doen, ik krijg dan netjes:

code:

1	<nobody@mail-abuse.org>: Recipient address rejected: Relay access denied

.

Het versturen van e-mail gaat ook door wanneer alle pc’s aangesloten op het netwerk uitgeschakeld zijn. Dus dit is het probleem niet, maar wat dan wel?

[ Voor 7% gewijzigd door moto-moi op 06-01-2004 17:33 . Reden: ben geblocked ]

dinsdag 6 januari 2004 17:06

Acties:

blackd

www.dnsstuff.com, vul daar eens je IP adres in onder spam database lookup (bovenaan, middelste kolom)

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 6 januari 2004 17:09

Acties:

Verwijderd

Topicstarter

blackd schreef op 06 januari 2004 @ 17:06:
www.dnsstuff.com, vul daar eens je IP adres in onder spam database lookup (bovenaan, middelste kolom)

Mijn IP adres staat helaas in de lijst, met als reden "Open Proxy"

[ Voor 5% gewijzigd door Verwijderd op 06-01-2004 17:10 ]

dinsdag 6 januari 2004 17:15

Acties:

SnakeMind

Silence...

Probeer eens met een telnet op je eigen machine in te loggen op poort 25 en hier diverse (willekeurige) adressen op te geven als mail from: adres.. zo kijk ik meestal of ie wel echt de dingen tegenhoudt...
Als ie dat toestaat ben je inderdaad een open relay... mail-abuse.org geeft lang niet altijd betrouwbaar resultaat...

Still Cripple as Hell

dinsdag 6 januari 2004 17:17

Acties:

blackd

Als je test met 'telnet relay-test.mail-abuse.org' worden er meerdere tests gedaan, je weet zeker dat ze allemaal niet succesvol kunnen mailen?

Je zegt dat er mail wordt verstuurd wanneer alle hosts in je interne netwerk offline zijn, blijkbaar wordt er toch misbruik gemaakt van de server? Kijk eens in je mail logs welke hosts er mail versturen.

Heb je verder nog andere services draaien op je server, zoals Apache met mod_proxy of andere proxy software?

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 6 januari 2004 17:21

Acties:

Verwijderd

Topicstarter

Er bleek erg veel verkeer te zijn omdat mijn Proxy wagenwijd openstond, op één of andere manier werd er ook op die manier gemaild over mijn server.
Inmiddels Proxy er helemaal afgegoid, want het werd eigenlijk niet gebruikt.
Ik gebruik hem als gateway.

dinsdag 6 januari 2004 17:22

Acties:

blackd

En nu weer van de blacklists af zien te komen...

9000Wp o/w SolarEdge SE6K - Panasonic 5kW bi-bloc - gasloos sinds 17-7-2023

dinsdag 6 januari 2004 17:26

Acties:

Verwijderd

blackd schreef op 06 januari 2004 @ 17:22:
En nu weer van de blacklists af zien te komen...

Mjah veel succes. Overigens kan ik weinig medelijden met 99% van de mensen hebben die erop komen.

Hier ook weer. Er draait een proxy die door de hele buitenwereld te gebruiken. TS weet dat het ding draait, maar heeft schijnbaar nooit de moeite genomen dat ding goed dicht te zetten. Sowieso is stelregel 1 dat je services die je toch niet gebruikt uit zet!

_{Lan leve de spam, om nog maar te zwijgen over sommige RBL's die meteen hele netblocks blokkeren bij een aantal mensen die zo hun mailserver open hebben staan}

[ Voor 15% gewijzigd door Verwijderd op 06-01-2004 17:28 ]

dinsdag 6 januari 2004 17:30

Acties:

Jimbolino

troep.com

Verwijderd schreef op 06 januari 2004 @ 17:26:
[...]
Sowieso is stelregel 1 dat je services die je toch niet gebruikt uit zet!

hier is de regel: wat je niet gebruikt moet je ook niet instaleren

of nog beter: installeer alleen maar de dingen die je nodig hebt (minimum install dus en die later aanvullen)

The two basic principles of Windows system administration:
For minor problems, reboot
For major problems, reinstall

dinsdag 6 januari 2004 17:32

Acties:

Verwijderd

Mwoah als je misschien in een later stadium een service wil gaan gebruiken dan kan die al best grotendeels geconfigureerd geinstalleerd staan.

We praten hier over daemons, niet over programma'tjes die door gebruikers gebruikt worden. Vrij knap dat jij remote een daemon wil exploiten die niet eens draait.

[ Voor 33% gewijzigd door Verwijderd op 06-01-2004 17:32 ]

dinsdag 6 januari 2004 17:34

Acties:

Verwijderd

Topicstarter

blackd schreef op 06 januari 2004 @ 17:22:
En nu weer van de blacklists af zien te komen...

Ja ik hoop dat het lukt

dinsdag 6 januari 2004 17:36

Acties:

Verwijderd

Verwijderd schreef op 06 januari 2004 @ 17:34:
[...]

Ja ik hoop dat het lukt

Nope, veel succes. Kans is vrij groot dat je op meerdere blacklists voorkomt.

Ten eerste kom je daar niet zomaar. Ten tweede zou ik eens beginnen met het inspecteren van je machine op eventuele andere zwakke punten, voordat je na gaat denken over stappen om van de blacklists af te komen.