Hallo zusammen, brauche einen Hinweis oder Tipp:
Mein Server war kürzlich bei RBL auf der Liste, inzwischen wieder gelöscht. OPEN-Relay-Test hat er bestanden, aber ich habe gesehen, dass jede Menge Mails zugesendet wurde, die sich alle in der spool-queue stauten. Weder Absender noch Empfänger hatten irgendetwas mit meinen gehosteten Mails zu tun. Anscheinend hat mein Server dann alles lieb an die vermeintlichen Absender zurückgebounct, die aber wohl gefaked waren, was dann dort für Ärger sorgte.
Sicherheitshalber habe ich alles geblacklistet, was nichts mit meinem Server zu tun hat und daüberhinaus den eigenen vserver-Eintrag. In der Spool-Queue ist jetzt Ruhe, Spamfilter filtert brav und die Mails kommen auch ordentlich an, interessanterweise auch die an postmaster.vs...vserver.de. Sollte ja laut RBL-Vorschriften so sein. Nur sind in den log-Files immer noch jede Menge Einträge, die auf unautorisierte Sendeversuche hinweisen. Das sind immer bestimmte IPs.
Mal ein Beispiel aus der exim4/mainlog:
Erst also ein Kontakt, dann abruptes Beenden der Verbindung. Manchmal auch zig hintereinander. Mit netstat kann man das auch ganz gut verfolgen:
Kann oder sollte ich gegen dieses irgendwie vorgehen? Wenn ich mal exim für ein paar Tage runterfahre, dann ist danach auch ein paar Tage wieder Ruhe, bis das ganze wieder anfängt.
Könnte ich die einzelnen IPs nicht ausgrenzen oder sogar ganze IP-Blöcke? Hab mit das mit den Blacklists mal probiert, aber nicht erfolgreich.
Was sind das überhaupt für IPs? Gekaperte Rechner?
Haben andere Admins das auch?
Danke schon mal an alle, die sich zu Wort melden ...
Jan
Mein Server war kürzlich bei RBL auf der Liste, inzwischen wieder gelöscht. OPEN-Relay-Test hat er bestanden, aber ich habe gesehen, dass jede Menge Mails zugesendet wurde, die sich alle in der spool-queue stauten. Weder Absender noch Empfänger hatten irgendetwas mit meinen gehosteten Mails zu tun. Anscheinend hat mein Server dann alles lieb an die vermeintlichen Absender zurückgebounct, die aber wohl gefaked waren, was dann dort für Ärger sorgte.
Sicherheitshalber habe ich alles geblacklistet, was nichts mit meinem Server zu tun hat und daüberhinaus den eigenen vserver-Eintrag. In der Spool-Queue ist jetzt Ruhe, Spamfilter filtert brav und die Mails kommen auch ordentlich an, interessanterweise auch die an postmaster.vs...vserver.de. Sollte ja laut RBL-Vorschriften so sein. Nur sind in den log-Files immer noch jede Menge Einträge, die auf unautorisierte Sendeversuche hinweisen. Das sind immer bestimmte IPs.
Mal ein Beispiel aus der exim4/mainlog:
Code:
2008-03-03 17:07:59 H=(DC-ZMX) [116.24.106.160] F=<lumllgb@vs164071.vserver.de> rejected RCPT <xqs@heinfo.net>: sender envelope address lumllgb@vs164071.vserver.de is locally blacklisted here. If you think this is wrong, get in touch with postmaster
2008-03-03 17:08:01 unexpected disconnection while reading SMTP command from (DC-ZMX) [116.24.106.160]Erst also ein Kontakt, dann abruptes Beenden der Verbindung. Manchmal auch zig hintereinander. Mit netstat kann man das auch ganz gut verfolgen:
Code:
tcp 0 0 vs164071.vserver.d:smtp 116.24.106.160:64865 TIME_WAITKann oder sollte ich gegen dieses irgendwie vorgehen? Wenn ich mal exim für ein paar Tage runterfahre, dann ist danach auch ein paar Tage wieder Ruhe, bis das ganze wieder anfängt.
Könnte ich die einzelnen IPs nicht ausgrenzen oder sogar ganze IP-Blöcke? Hab mit das mit den Blacklists mal probiert, aber nicht erfolgreich.
Was sind das überhaupt für IPs? Gekaperte Rechner?
Haben andere Admins das auch?
Danke schon mal an alle, die sich zu Wort melden ...
Jan
Last edited by a moderator: