[Mdaemon] Open relay? Ik word er gek van...

WiNlUx schreef op 03 april 2004 @ 18:57:Op alt-n in de KB gezocht naar relay, en daar stond een artikel over dit ordb gebeuren. Hier hadden ze het alleen over een postmaster@mijndomein.nl adres. Heb ik ingeschakeld, maar nog steeds een open relay.

Heb je ook een postmaster@domein.tld account als user aangemaakt?

Volgens mij (weet het niet 100% zeker) worden emails waarbij de afzender bekend is als user binnen MDaemon altijd verstuurt.

Zo'n test site zal waarschijnlijk via het postmaster account dit proberen lijkt me.
Anders misschien postmaster als alias van een je eigen account aanmaken.

Hiervoor had je al een optie aagevinkt zie ik

Heb je POP before SMTP ook al geprobeerd ?

Werk zelf overigens met MDaemon 6.7.8 en heb nergens last van.

[ Voor 8% gewijzigd door -Marshal- op 03-04-2004 19:13 ]

Gokje, maar wat gebeurt er als je het onderste vinkje uitzet onder relay settings?
Ben verder niet bekend met mdaemon, dus zeker weten doe ik het niet.

Verder zou ik het derde vinkje ook uitzetten.

Probeer anders eens alles uit te zetten (op de bovenste na dan ) en daarna de functies die je ook echt nodig hebt aan te zetten.

Of probeer eens uit te vinden bij welke test het fout gaat en wat Mdaemon daarvan logt.

[ Voor 13% gewijzigd door marshal op 03-04-2004 19:13 ]

Je moet zowieso het onderste vinkje van je relayscreen uitschakelen.

Dat je geen domeinen meer kan bereiken komt waarschijnlijk omdat er misbruik is gemaakt van jouw server. Dit is niet op te lossen door een vinkje om te zetten in MDaemon.

En bij "Setup-->Primary Domain" Moet je onderaan het scherm je lokale IP invullen en het vinkje "Bind listening sockets to this IP only" aanvinken. Dit zorgt ervoor dat er alleen lokaal op je server kan worden geconnect

[ Voor 89% gewijzigd door TSS_Droopy op 03-04-2004 21:18 ]

Is er noodzaak om van buiten het netwerk op de mailserver te connecten?
(Behalve dan met worldclient)
Lees ook mijn EDIT van bovenstaande bericht nog ff

[ Voor 21% gewijzigd door TSS_Droopy op 03-04-2004 21:20 ]

Volgens mij duurt het wel eventjes voor je daadwerkelijk van de lijst afgehaald wordt.
Ik heb ook dergelijke problemen gehad met Mdaemon, het is alleen al zolang geleden dat ik echt niet meer weet wat de juiste settings waren (ik gebruik nu Visnetic mailserver)

Je moet er het IP van je lokale NIC aanhangen.

Ik weet natuurlijk niet precies jouw config, maar bij mij heb ik 1 NIC naar mijn ADSL modem (Extern ip) en 1 NIC naar mijn interne netwerk.

Je moet hier dus het IP van je NIC van het interne netwerk aan hangen.
Hierdoor wordt je Server onbereikbaar van buitenaf

[ Voor 10% gewijzigd door TSS_Droopy op 03-04-2004 21:57 ]

Ik heb zelfs de onderste 3 opties uitgevinkt, en geen last van relaying.. Als je wilt kan ik screenies maken met instellingen die jij belangrijk vindt...

het is dat ik allemaal kruisjes te zien krijg, anders had ik ook nog wat relevants kunnen zeggen maar zo moeilijk is het niet om Mdeamon anti relay te maken...

Over het algemeen (en dat geldt voor elke mta) accepteer je de mailtjes die vanaf je interne netwerk worden verzonden 192.168 reeks, daarnaast kun je auth smtp gebruiken als je toch wilt mailen vanuit een internet cafe oid en je kunt ook nog pop before smtp gebruiken.

auth smtp is idd wel een vaak gebruikte truuk van spammers om toch te mailen over een beveiligde mailserver aangezien de meeste standaard accounts (postmaster etc) vaak geen of een zwak wachtwoord hebben wat te kraken valt, dit is in jou geval echter niet het geval want een standaard relay test gebruikt geen bruteforce cracking.

Kortom accepteer alleen mailtjes vanaf je interne netwerk en vanaf het internet alleen na authenticatie

Als je in de mdaemon discussion groups op ORDB zoekt kom je genoeg voorbeelden tegen met exact hetzelfde probleem als jij hebt (hetzelfde resultaat bij de ORDB test... ik heb die van jou opgezocht).
Deze thread bijvoorbeeld.
POP before SMTP zoals mabit al aangaf zou hier best wel een kunnen helpen

Heb je http://www.altn.com/security/ ook al doorgelopen overigens?

[ Voor 9% gewijzigd door [Jules] op 03-04-2004 23:33 ]

Ik heb je instellingen bekeken en van wat ik er nu van kan zien is dit geen open relay, het is dus een stuk waarschijnlijker dat er een andere mta op je server draait, zoals de smtp service van microsoft zelf, dit lijkt me afdoende beveiligd, maar post eens eens stuk logfile van een mailtje dat niet gerelayed zou mogen worden

WiNlUx schreef op 03 april 2004 @ 21:47:
[...]


Ja ik heb 127.0.0.1 staan, localhost dus. Of moet ik er echt 172.16.20.1 van maken (ip van de server)??

Ik kan me iets herrinneren dat je juist niet 127.0.0.1 moet gebruiken...

Bind je MailServer aan je netwerkadres, 192.168.x.x of wat ever je ook gebruikt.

Vervolgens doe je wat gratis testjes, en als dan blijkt dat je geen open relay meer bent dan meld je je bij ordb.org aan voor een hertest, dan word je uit die databeest gehaald. De rest van de databeestjes worden vanzelf wel geupdate

Wat je ook kunt doen, wellicht zijn je settings al een beetje gaar . Begin overnieuw, en hou je aan het volgende (alt-N guide).

(1) Security | Spam Blocker - this feature enables MAPS/RBL/DUL and ORDB support effectively blocking the relaying of SPAM through your server. Settings can be customized to allow control over how SPAM is processed. You can allow the mail to be received and placed into a public folder or mailbox for later review, or a response to the sending server can be sent during the receive process effectively telling it the address does not exist. See the MDaemon user's manual for complete information on the Spam Blocker feature.

(2) Security | Spam Filter – the use of this feature will drastically decrease the amount of spam that your users receive. Enabled by default, the spam filter analyzes each message that arrives in your server. The filtering watches for words, phrases, URLs, and other key fields in an email message that indicates the probability that the message is spam. By default, the Spam Filter is enabled but will not block or delete any messages. If your users are using IMAP the messages determined to be spam can automatically be filtered into the Spam IMAP folder under their account. The Spam Filter can also block messages over a certain threshold during the SMTP session, bounce them or delete them. For complete information on the Spam Filter review the MDaemon’s user manual. (Note: MDaemon Pro is required for the Spam Filter.)

(3) Security | IP shielding/AUTH/POP Before SMTP - enable the 'Local sender must have accessed mailbox within last XXX minutes’ switch. This forces those who would send mail through your server to have checked a local POP account within the last XXX minutes (5 minutes would be fine). While we are in the IP Shielding feature, you should go ahead and define the known IP ranges for your domains, if you know them. This prevents people from masquerading as a local account just to defeat the Relay Control features, which we are about to enable next. Now spammers must not only pretend to be a member of one of your domains, but they must actually send their spam mail from one of the IPs defined here.
On the SMTP Authentication tab in this dialog, be sure to enable the “MAIL FROM Postmaster requires an authenticated session”. Many relay tests are exploiting the postmaster account.

(4) Security | Relay/Trusts/Tarpit/Reverse lookups... - Relay Settings - enable the 'This server does not relay mail for foreign domains' switch. Also enable the 'Sender's address must be valid if it claims to be from a local domain' switch. With these switches enabled, messages sent through your server must either originate from or be destined for a local account. True, spammers can fake the addresses they use when sending their spam mail but this will not be enough. They will have to fake the IP address they are sending mail from if you have configured the IP Shielding feature as outlined above.

(5) Security |Content filter - if all else fails, the Content Filter can take any action on any message (including delete, forward, copy, etc..), based upon the content of any header or even the message body!

(6) Security | Address suppression/IP screening/Host screening... - Address suppression - although not always practical, you can set up blanket policies, such as 'Never except any mail from hotmail.com or aol.com'. You can elect to have the mail refused during the SMTP session itself, or you can accept the mail and have a canned response returned to the potential spammer.

(7) Security | Address suppression/IP screening/Host screening… - IP screening - again, this is not always practical, but if certain known IP addresses are causing problems, you can ban them from even connecting to your mail server by listing them in the IP Screen. Connections from these IP's are flatly refused before an SMTP session can even be started. The drawback here is obvious in that you have to know the IP addresses you wish to ban and spammers rarely stay in the same place for very long. This feature has been succeeded by the Spam Blocker. However, it is still EXTREMELY useful for creating a mail system closed to any IP outside the specified ranges. Therefore, you can use this feature if you wish to create a mail system that is closed to all but your local LAN's IP address range.

( Security | Address suppression/IP screening/Host screening... – Host Screening - similar to IP Screening, Host Screening allows you to specify the names of remote hosts that MDaemon will or will not accept mail from. When an incoming SMTP connection specifies the name of the remote server in the EHLO or HELO parameter, MDaemon will compare it to the names listed in the Host Screening configuration. If a match is made, the session is either allowed or disallowed, depending on how you have configured permissions for that particular host.

If your MDaemon is on a static Internet IP (such as, for example, 123.123.123.123), you will probably want to configure the Host Screening to block ''EHLO 123.123.123.123'' as a greeting. This is another common technique used by spammers.

[ Voor 82% gewijzigd door Icey op 04-04-2004 00:07 ]

Tikje naar Beveiliging & Virussen

WiNlUx schreef op 04 april 2004 @ 01:35:
[...]


Dat is het em nou juist. De ene test verschilt weer ver van de andere test, en zo weet ik echt niet welke ik moet geloven Ik heb nu poort 25 dicht zitten, en haal wel voor een 2 weken een pop box leeg. Hopen dat ik hierna niet meer in die DB sta.

Ja, maar je server is nog steeds een open relay toch, zodra je 25 weer open zet beginnen de problemen van voor af aan. Je kunt beter opzoek gaan naar de oplossing ipv de stekker eruit trekken

WiNlUx schreef op 04 april 2004 @ 01:35:
[...]


Dat is het em nou juist. De ene test verschilt weer ver van de andere test, en zo weet ik echt niet welke ik moet geloven Ik heb nu poort 25 dicht zitten, en haal wel voor een 2 weken een pop box leeg. Hopen dat ik hierna niet meer in die DB sta.

Je blijft gewoon in de database staan hoor, totdat je bewezen hebt dat je geen open relay meer draait, en dat kan je niet bewijzen door gewoon poort 25 dicht te mikken, maar daarvoor is echt een 5xx smtp response code voor nodig, heb je al gekeken naar andere smtp processen?

All tests performed, no relays accepted.

En

(45/90) run, 0 Failed

It would appear that your smtp/mail server does not permit open-relaying. Congratulations, have a nice day


Dat ziet er dus al beter uit . Gefeliciteerd