Backscatter / Bounce Spam Problem mit Plesk 9.2.3 & Qmail

D

dorkus

Registered User
hallo,

ich habe eine mail von 1&1 erhalten mit dem hinweis, dass über unseren server bounce spam betrieben wird.

Die Spam E-Mails kommen zustande, weil Ihr Mailserver automatische
Unzustellbarkeitsnachrichten fehlerhaft verarbeitet. Versenden Sie bitte keine
Unzustellbarkeitsnachrichten, wenn Sie eine Spam-Nachricht erhalten.
Click to expand...

bei backscatter.org ist die ip schon gelistet.

hier auszug einer mail:
Return-Path: <munched@work.local>
Received: (qmail 5408 invoked from network); 5 Apr 2010 01:08:17 +0200
Received: from unknown (HELO web.de) (190.145.102.82)
by sXXXXXXXX.onlinehome-server.info with SMTP; 5 Apr 2010 01:08:17 +0200
Received: from unknown (HELO relay-x.misswldrs.com) (Sun, 04 Apr 2010 23:07:23
-0100)
by mx.reskind.net with ASMTP; Sun, 04 Apr 2010 23:07:23 -0100
Received: from unknown (67.13.40.167)
by relay37.vosimerkam.net with ESMTP; Sun, 04 Apr 2010 22:56:16 -0100
Received: from unknown (HELO external.newsubdomain.com) (Sun, 04 Apr 2010
22:40:45 -0100)
by mtu23.bigping.com with NNFMP; Sun, 04 Apr 2010 22:40:45 -0100
Received: from [93.214.34.6] by asx121.turbo-inline.com with SMTP; Sun, 04 Apr
2010 22:29:33 -0100
Received: from group21.345mail.com ([Sun, 04 Apr 2010 22:24:32 -0100])
by mail.webhostings4u.com with ESMTP; Sun, 04 Apr 2010 22:24:32 -0100
Message-ID: <munched@work.local>
Date: Sun, 04 Apr 2010 22:00:05 -0100
Reply-To: "Mahnung" <munched@work.local>
From: "Mahnung" <munched@work.local>
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-US) AppleWebKit/85
(KHTML, like Gecko) Safari/85
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Administrator" <munched@work.local>
Subject: Mahnung
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 1
Click to expand...

unser server ist ein suse 11.2 mit plesk 9.2.3 und als mta qmail.

haben schon viel versucht, aber weiterhin werden bounces versendet.
u.a. huschis tipps, leider ohne erfolg.
mysql -uadmin -p`cat /etc/psa/.psa.shadow` psa -e 'update Parameters set value="reject" where value="bounce";'
/usr/local/psa/admin/sbin # ./mchk --with-spam

im plesk panel haben wir beim mailserver folgende einstellungen:
> relaying denied (auch mit diversen online tests verifiziert)
> SPF spamschutz aktiviert mit reject if "fail" mit der SPF regel "include:spf.trusted-forwarder.org"

was können wir noch machen, um das problem in den griff zu bekommen?

außerdem finde ich es gar nicht so gut, wenn als lösung die bounce meldungen abgeschaltet werden, da häufig bei vertippern die mail nicht zugestellt wird.

vielen dank für eure hilfe,

d
 
Wenn dir einer eine Email schickt und sich in der Email-Adresse vertippt, ist es _nicht_ die Aufgabe deines Servers, einen Bounce zu generieren. Dein Server hat die Mail gar nicht erst anzunehmen und der einliefernde Mailserver hat dann den Absender zu informieren.

Also schalt die Bounces ab und gut ist. Kannst Du in der Email-Konfig von Plesk einstellen, was mit nicht zustellbaren Mails erfolgen soll ;)
 
ich hab das jetzt mal eingestellt im plesk für alle domains.

der sender einer nicht vorhandenen email im system bekommt jetzt folgende nachricht:
Hi. This is the qmail-send program at mail.gmx.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.


<fitzefatze@url.com>:
IP.IP.IP.IP_does_not_like_recipient./Remote_host_said:_550_sorry,_no_mailbox_here_by_that_name._(#5.7.17)/Giving_up_on_IP.IP.IP.IP./


--- Below this line is a copy of the message.


Return-Path: <alias@gmx.net>
Received: (qmail invoked by alias); 06 Apr 2010 19:43:11 -0000
Received: from dslb-XXX-XXX-XXX-XXX.pools.arcor-ip.net (EHLO COMPUTER.gmx.net) [IP.IP.IP.IP]
by mail.gmx.net (mp064) with SMTP; 06 Apr 2010 21:43:11 +0200
X-Authenticated: #1479853
X-Provags-ID: V01U2FsdGVkX1+TwpJ3OiSTKrMqfWl70KRnMemeh7GV5YyQb+heUb
ebmcTdIsmKgqoI
X-Mailer: QUALCOMM Windows Eudora Version 7.1.0.9
Date: Tue, 06 Apr 2010 21:43:03 +0200
To: fitzefatze@url.com
From: NAME <alias@gmx.net>
Subject: test mail
Mime-Version: 1.0
Content-Type: text/plain; charset="us-ascii"; format=flowed
X-Y-GMX-Trusted: 0
X-FuHaFi: 0.00
X-GMX-Antivirus: 0 (no virus found)
Click to expand...

Ist das jetzt so richtig konfiguriert? bin unsicher....
 
Diese Mail wurde nun vom Mailserver von GMX erzeugt, dass der Empfänger nicht existiert. So gehört es sich :)
 
wenn spam mail jetzt nicht mehr gebounced würde, dürfte ich in der qmail warteschlange keine mails mehr drin haben, die nicht von einem systemuser stammen, oder?
 
Je nach Mailaufkommen können da durchaus noch Bounces rumfliegen. Kannst ja mal die Queue aufräumen. huschi's Seite kennst Du ja schon. Da findest Du auch, wie Du bei Qmail die Queue bearbeiten kannst :)
 
wstuermer said:
Also schalt die Bounces ab und gut ist. Kannst Du in der Email-Konfig von Plesk einstellen, was mit nicht zustellbaren Mails erfolgen soll ;)
Click to expand...

Ist das die unten als Screenshot angehängte Einstellung (bei Plesk Panel 9.3.0)?
Sollte doch so korrekt eingstellt sein, oder? Ich bin nämlich auch unsicher.

LG siradlib
 

Attachments

  • plesk-email.jpg
    plesk-email.jpg
    48.1 KB · Views: 869
so hab ich das auch eingestellt....

würde aber noch empfehlen, die einstellungen serverweit zu machen (domains >> alle auswählen >> ändern) so überschreibst du alle einstellungen deiner user, zumindest so lange, bis die das wieder manuell ändern....
 
also ich habe erneut eine mail von 1und1 bekommen, das problem scheint also weiterhin zu bestehen. was kann ich noch machen? bin echt verzweifelt?

please help!
 
Mit "scheint weiter zu bestehen" kann niemand was anfangen. Das einzige was zählt sind harte Fakten in Form von Auszügen aus den Log-Dateien. Anders kann man nicht beurteilen, ob die 1&1-Aussage stimmt und ggfs. den Grund ermitteln.

PS: Bitte achte doch auf eine korrekte Groß-/Kleinschreibung. Am 7. April hast Du schon einmal eine Privatnachricht deshalb bekommen.
 
Hallo,

Wenn du auf backscatterer.org deine IP testest siehst du den letzten Einschlag in dem System. Ist der älter oder neuer als deine Änderungen?
 
Gut, dann halten wir aufgrund des guten "Schriftdeutsch" die Groß- und Kleinschreiberegelungen des Forums ein. Evtl. besteht die Möglichkeit der Feedbackgeber, meine orthographischen Schwächen sowie die Zeichensetzung im Anschluß zu korrigieren....

Zu dem weiterhin bestehenden Problem:
Backscatter.org Eintrag besteht noch, aber die letzte Meldung war VOR meinen Änderungen.

Ich habe von QMAIL zu Postfix gewechselt.

Allderdings besteht folgender Eintrag, was mich darauf schließen läßt, dass das Backscatter-Problem nach wie vor besteht:
May 5 18:33:31 HOST postfix/smtpd[17841]: NOQUEUE: reject: RCPT from unknown[70.125.99.169]: 550 5.1.1 <andreas@domain.de>: Recipient address rejected: User unknown in virtual alias table; from=<andreas@ms11.hinet.net> to=<andreas@domain.de> proto=ESMTP helo=<emachine>
May 5 18:33:32 HOST postfix/smtpd[17841]: lost connection after RCPT from unknown[70.125.99.169]
May 5 18:33:32 HOST postfix/smtpd[17841]: disconnect from unknown[70.125.99.169]
May 5 20:33:35 HOST pop3d-ssl: LOGOUT, ip=[127.0.0.1]
May 5 20:33:35 HOST pop3d: LOGOUT, ip=[127.0.0.1]
May 5 20:33:35 HOST imapd-ssl: 1273084415.892561 LOGOUT, ip=[127.0.0.1], rcvd=12, sent=310, maildir=/etc/init.d
May 5 20:33:35 HOST imapd: 1273084415.909229 LOGOUT, ip=[127.0.0.1], rcvd=12, sent=308, maildir=/etc/init.d
May 5 20:33:37 HOST spamd[16647]: spamd: got connection over /tmp/spamd_full.sock
May 5 20:33:37 HOST spamd[16646]: prefork: child states: II
May 5 18:33:56 HOST postfix/smtpd[18003]: connect from unknown[87.237.8.246]
May 5 18:33:56 HOST postfix/smtpd[17854]: connect from unknown[127.0.0.1]
May 5 18:33:56 HOST postfix/smtpd[18003]: NOQUEUE: client=unknown[87.237.8.246]
May 5 18:33:56 HOST postfix/smtpd[17854]: 3C81640B521: client=unknown[87.237.8.246]:37260
May 5 20:33:56 HOST greylisting filter[18307]: Starting greylisting filter...
May 5 18:33:56 HOST postfix/smtpd[17854]: disconnect from unknown[127.0.0.1]
May 5 18:33:56 HOST postfix/smtpd[18003]: disconnect from unknown[87.237.8.246]
May 5 18:34:08 HOST postfix/smtpd[17841]: connect from unknown[117.254.253.53]
May 5 18:34:10 HOST postfix/smtpd[17841]: NOQUEUE: reject: RCPT from unknown[117.254.253.53]: 550 5.1.1 <cinvoice@domain.com>: Recipient address rejected: User unknown in virtual mailbox table; from=<cinvoice@domain.com> to=<cinvoice@domain.com> proto=SMTP helo=<home-68ab7d7faa>
May 5 18:34:10 HOST postfix/smtpd[17841]: lost connection after RCPT from unknown[117.254.253.53]
May 5 18:34:10 HOST postfix/smtpd[17841]: disconnect from unknown[117.254.253.53]
May 5 18:34:23 HOST postfix/smtpd[18003]: connect from unknown[62.34.46.29]
Click to expand...

Meine main.cf sieht wie folgt aus:
alias_maps = hash:/etc/aliases, hash:/var/spool/postfix/plesk/aliases
biff = no
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = no
disable_mime_output_conversion = no
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
message_size_limit = 10240000
mydestination = localhost.$mydomain, localhost, localhost.localdomain
myhostname = server.domain.com
mynetworks = 127.0.0.0/8, IP.IP.IP.IP/32 [::1]/128 [fe80::%eth0]/64
mynetworks_style = subnet
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_auth_enable = no
smtp_send_xforward_command = yes
smtp_tls_security_level = may
smtp_use_tls = no
smtpd_authorized_xforward_hosts = 127.0.0.0/8
smtpd_client_restrictions =
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_proxy_timeout = 3600s
smtpd_recipient_restrictions = permit_mynetworks, check_client_access pcre:/var/spool/postfix/plesk/no_relay.re, permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = hash:/etc/postfix/access, check_sender_access hash:/var/spool/postfix/plesk/blacklists, permit_sasl_authenticated, check_client_access pcre:/var/spool/postfix/plesk/non_auth.re
smtpd_timeout = 3600s
smtpd_tls_cert_file = /etc/postfix/postfix_default.pem
smtpd_tls_key_file = $smtpd_tls_cert_file
smtpd_tls_security_level = may
smtpd_use_tls = yes
strict_8bitmime = no
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport, hash:/var/spool/postfix/plesk/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains = hash:/etc/postfix/virtual, hash:/var/spool/postfix/plesk/virtual
virtual_alias_maps = hash:/etc/postfix/virtual, hash:/var/spool/postfix/plesk/virtual
virtual_gid_maps = static:30
virtual_mailbox_base = /var/qmail/mailnames
virtual_mailbox_domains = $virtual_mailbox_maps, hash:/var/spool/postfix/plesk/virtual_domains
virtual_mailbox_maps = hash:/var/spool/postfix/plesk/vmailbox
virtual_transport = plesk_virtual
virtual_uid_maps = static:110
Click to expand...

Hat jemand eine Idee?

Freue mich über Hilfe.
 
Last edited by a moderator:
Ich habe zudem unterschiedliche Relay Tests durchgeführt und keinerlei offene Relays finden können.

Der Logeintrag ist analog zu oben:
May 8 13:08:46 HOST postfix/smtpd[31784]: NOQUEUE: reject: RCPT from unknown[146.164.48.5]: 554 5.7.1 <antispam-ufrj.pads.ufrj.br!relaytest>: Relay access denied; from=<spamtest@[IP.IP.IP.IP]> to=<antispam-ufrj.pads.ufrj.br!relaytest> proto=SMTP helo=<antispam-ufrj.pads.ufrj.br>
Click to expand...

Ist der Mail-Server jetzt doch so richtig konfiguriert??
 
Aus dem von Dir geposteten (sehr kurzen) Auszug kann ich nicht erkennen, dass Backscatter entstehen würde. Die Mails an nicht existierende Empfänger werden nicht angenommen und ordnungsgemäß mit einer 550er Fehlermeldung quittiert. Soweit so gut.

Was Plesk sonst noch alles anstellt und das zu den Beschwerden von anderen bei Deinem Netzbetreiber führt, kann ich nicht beurteilen.
 
You must log in or register to reply here.
Back
Top