Mag sein, dass ich in diesem Thema falsch bin, aber ich hab' nichts Passenderes gefunden - Sorry, wenn's so wäre!
Nachdem ich vor kurzem auf eine neuen virtuellen Server (Ubuntu 8.04 mit Plesk 9.3) bei HE gewechselt bin habe ich mich wieder für Spamdyke für das Greylisting entschieden und SCP2 installiert.
Aktuell sind mir gesendete Mails in SCP aufgefallen, die scheinbar erfolgreich (weil grün markiert) gesendet wurden und nicht von mir/von fremden Servern stammen (in der Grafik hellgrün hinterlegt).
Der zugehörige Auszug aus var/log/mail.info sieht wie folgt aus:
Relaying ist nicht erlaubt (auch getestet).
Meine /etc/xinetd.d/smtp_psa sieht wie folgt aus:
Kann mir jemand sagen was da passiert ist?
Zu einem fremden Netz (per VPN) war ich zu dieser Zeit auch nicht verbunden, so dass das der Versand über das dortige Default-Gateway erfolgt wäre. Einzig auffällig war zum Zeitpunkt der Mails in der Grafik, dass ich zwei SPAM-Absender "gewhitelisted" (root@...) hatte, da ich erfolglos auf eine Mail gewartet hatte, deren Absendeadresse ich nicht kannte.
Seit Anfang April kann ich drei weitere "grüne" Einträge finden, die mit meinen IP-Adressen nichts zu tun haben - somit keine Zusammenhang mit dem Whitelisten.
Die Passwörter kenne bislang nur ich (und HE wegen eines Support-Tickets root und plesk-Passwort in KIS übergeben).
Oder heißt "grün" noch nicht, dass erfolgreich gesendet wurde - vor allem ausgehend?
Kann ich die Sendemöglichkeiten einschränken (z.B. nur meine feste IP-Adresse zulassen)?
Weitere Infos (wenn ja, welche?) gerne auf Anfrage.
Für Antworten wäre ich dankbar!
PS: In Screenshot und Log-File steht anstelle meiner Domain ersatzweise "domain.de" bzw. "lvps123-456-789-012" für den Servernamen
Nachdem ich vor kurzem auf eine neuen virtuellen Server (Ubuntu 8.04 mit Plesk 9.3) bei HE gewechselt bin habe ich mich wieder für Spamdyke für das Greylisting entschieden und SCP2 installiert.
Aktuell sind mir gesendete Mails in SCP aufgefallen, die scheinbar erfolgreich (weil grün markiert) gesendet wurden und nicht von mir/von fremden Servern stammen (in der Grafik hellgrün hinterlegt).
Der zugehörige Auszug aus var/log/mail.info sieht wie folgt aus:
Code:
Apr 8 20:27:52 lvps123-456-789-012 /var/qmail/bin/relaylock[1939]: /var/qmail/bin/relaylock: mail from 193.104.98.109:51335 (not defined)
Apr 8 20:27:57 lvps123-456-789-012 spamdyke[1939]: ALLOWED from: root@cust2mail01.com to: vor.name@domain.de origin_ip: 193.104.98.109 origin_rdns: (unknown) auth: (unknown)
Apr 8 20:27:57 lvps123-456-789-012 qmail-queue-handlers[2046]: Handlers Filter before-queue for qmail started ...
Apr 8 20:27:57 lvps123-456-789-012 qmail-queue-handlers[2046]: from=root@cust2mail01.com
Apr 8 20:27:57 lvps123-456-789-012 qmail-queue-handlers[2046]: to=vor.name@domain.de
Apr 8 20:27:57 lvps123-456-789-012 qmail: 1270751277.955593 new msg 358719786
Apr 8 20:27:57 lvps123-456-789-012 qmail: 1270751277.955724 info msg 358719786: bytes 2811 from <root@cust2mail01.com> qp 3081 uid 2020
Apr 8 20:27:57 lvps123-456-789-012 qmail: 1270751277.958661 starting delivery 271: msg 358719786 to local 3-vor.name@domain.de
Apr 8 20:27:57 lvps123-456-789-012 qmail: 1270751277.958697 status: local 1/10 remote 0/20
Apr 8 20:27:57 lvps123-456-789-012 qmail-local-handlers[3082]: Handlers Filter before-local for qmail started ...
Apr 8 20:27:57 lvps123-456-789-012 qmail-local-handlers[3082]: from=root@cust2mail01.com
Apr 8 20:27:57 lvps123-456-789-012 qmail-local-handlers[3082]: to=vor.name@domain.de
Apr 8 20:27:57 lvps123-456-789-012 qmail-local-handlers[3082]: mailbox: /var/qmail/mailnames/domain.de/vor.name
Apr 8 20:27:57 lvps123-456-789-012 spamd[32723]: spamd: got connection over /tmp/spamd_full.sock
Apr 8 20:27:57 lvps123-456-789-012 spamd[32723]: spamd: using default config for vor.name@domain.de: /var/qmail/mailnames/domain.de/vor.name/.spamassassin/user_prefs
Apr 8 20:27:57 lvps123-456-789-012 spamd[32723]: spamd: processing message <82ddf8b5dd5cca83cc6b43ea8d71a44e@localhost.localdomain> for vor.name@domain.de:110
Apr 8 20:27:58 lvps123-456-789-012 spamd[32723]: spamd: clean message (6.7/7.0) for vor.name@domain.de:110 in 0.3 seconds, 2811 bytes.
Apr 8 20:27:58 lvps123-456-789-012 spamd[32723]: spamd: result: . 6 - AWL,DATE_IN_PAST_24_48,HTML_IMAGE_ONLY_20,HTML_MESSAGE,MPART_ALT_DIFF,RDNS_NONE,URIBL_JP_SURBL scantime=0.3,size=2811,user=vor.name@domain.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=<82ddf8b5dd5cca83cc6b43ea8d71a44e@localhost.localdomain>,autolearn=no
Apr 8 20:27:58 lvps123-456-789-012 qmail: 1270751278.237630 delivery 271: success: did_0+0+2/
Apr 8 20:27:58 lvps123-456-789-012 qmail: 1270751278.237670 status: local 0/10 remote 0/20
Apr 8 20:27:58 lvps123-456-789-012 qmail: 1270751278.237681 end msg 358719786
Apr 8 20:27:58 lvps123-456-789-012 spamd[32722]: prefork: child states: I
Apr 8 20:28:46 lvps123-456-789-012 /var/qmail/bin/relaylock[3915]: /var/qmail/bin/relaylock: mail from 80.179.231.205:38967 (ispspecial-207346630.012.net.il)
Apr 8 20:28:47 lvps123-456-789-012 /var/qmail/bin/relaylock[3926]: /var/qmail/bin/relaylock: mail from 80.179.231.205:64473 (ispspecial-207346630.012.net.il)
Apr 8 20:28:52 lvps123-456-789-012 spamdyke[3915]: ALLOWED from: info@domain.de to: info@domain.de origin_ip: 80.179.231.205 origin_rdns: ispspecial-207346630.012.net.il auth: (unknown)
Apr 8 20:28:53 lvps123-456-789-012 qmail-queue-handlers[4040]: Handlers Filter before-queue for qmail started ...
Apr 8 20:28:53 lvps123-456-789-012 spamdyke[3926]: ALLOWED from: vor.name@domain.de to: vor.name@domain.de origin_ip: 80.179.231.205 origin_rdns: ispspecial-207346630.012.net.il auth: (unknown)
Apr 8 20:28:53 lvps123-456-789-012 qmail-queue-handlers[4040]: from=info@domain.de
Apr 8 20:28:53 lvps123-456-789-012 qmail-queue-handlers[4040]: to=info@domain.de
Apr 8 20:28:53 lvps123-456-789-012 qmail: 1270751333.840750 new msg 358719786
Apr 8 20:28:53 lvps123-456-789-012 qmail: 1270751333.840775 info msg 358719786: bytes 2337 from <info@domain.de> qp 4068 uid 2020
Apr 8 20:28:53 lvps123-456-789-012 qmail: 1270751333.843442 starting delivery 272: msg 358719786 to local 3-info@domain.de
Apr 8 20:28:53 lvps123-456-789-012 qmail: 1270751333.843463 status: local 1/10 remote 0/20
Apr 8 20:28:53 lvps123-456-789-012 qmail-local-handlers[4070]: Handlers Filter before-local for qmail started ...
Apr 8 20:28:53 lvps123-456-789-012 qmail-local-handlers[4070]: from=info@domain.de
Apr 8 20:28:53 lvps123-456-789-012 qmail-local-handlers[4070]: to=info@domain.de
Apr 8 20:28:53 lvps123-456-789-012 qmail-local-handlers[4070]: mailbox: /var/qmail/mailnames/domain.de/vor.name
Apr 8 20:28:53 lvps123-456-789-012 spamd[32723]: spamd: got connection over /tmp/spamd_full.sock
Apr 8 20:28:53 lvps123-456-789-012 spamd[32723]: spamd: using default config for vor.name@domain.de: /var/qmail/mailnames/domain.de/vor.name/.spamassassin/user_prefs
Apr 8 20:28:53 lvps123-456-789-012 spamd[32723]: spamd: processing message (unknown) for vor.name@domain.de:110
Apr 8 20:28:53 lvps123-456-789-012 qmail-queue-handlers[4079]: Handlers Filter before-queue for qmail started ...
Apr 8 20:28:54 lvps123-456-789-012 spamd[32723]: spamd: identified spam (24.4/7.0) for vor.name@domain.de:110 in 0.4 seconds, 2337 bytes.
Apr 8 20:28:54 lvps123-456-789-012 spamd[32723]: spamd: result: Y 24 - HTML_IMAGE_ONLY_20,HTML_MESSAGE,HTML_SHORT_LINK_IMG_3,MIME_HTML_ONLY,MISSING_DATE,MISSING_MID,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_HTTP,RCVD_IN_SORBS_WEB,RCVD_IN_XBL,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_PH_SURBL,URIBL_RHS_DOB,URIBL_SC_SURBL,URIBL_WS_SURBL scantime=0.4,size=2337,user=vor.name@domain.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=(unknown),autolearn=spam
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.257800 delivery 272: success: did_0+0+2/
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.257862 status: local 0/10 remote 0/20
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.257901 end msg 358719786
Apr 8 20:28:54 lvps123-456-789-012 spamd[32722]: prefork: child states: I
Apr 8 20:28:54 lvps123-456-789-012 qmail-queue-handlers[4079]: from=vor.name@domain.de
Apr 8 20:28:54 lvps123-456-789-012 qmail-queue-handlers[4079]: to=vor.name@domain.de
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.662657 new msg 358719786
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.662686 info msg 358719786: bytes 2344 from <vor.name@domain.de> qp 5122 uid 2020
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.709553 starting delivery 273: msg 358719786 to local 3-vor.name@domain.de
Apr 8 20:28:54 lvps123-456-789-012 qmail: 1270751334.709582 status: local 1/10 remote 0/20
Apr 8 20:28:54 lvps123-456-789-012 qmail-local-handlers[5126]: Handlers Filter before-local for qmail started ...
Apr 8 20:28:54 lvps123-456-789-012 qmail-local-handlers[5126]: from=vor.name@domain.de
Apr 8 20:28:54 lvps123-456-789-012 qmail-local-handlers[5126]: to=vor.name@domain.de
Apr 8 20:28:54 lvps123-456-789-012 qmail-local-handlers[5126]: mailbox: /var/qmail/mailnames/domain.de/vor.name
Apr 8 20:28:54 lvps123-456-789-012 spamd[32723]: spamd: got connection over /tmp/spamd_full.sock
Apr 8 20:28:54 lvps123-456-789-012 spamd[32723]: spamd: using default config for vor.name@domain.de: /var/qmail/mailnames/domain.de/vor.name/.spamassassin/user_prefs
Apr 8 20:28:54 lvps123-456-789-012 spamd[32723]: spamd: processing message (unknown) for vor.name@domain.de:110
Apr 8 20:28:55 lvps123-456-789-012 spamd[32723]: spamd: identified spam (24.4/7.0) for vor.name@domain.de:110 in 0.4 seconds, 2344 bytes.
Apr 8 20:28:55 lvps123-456-789-012 spamd[32723]: spamd: result: Y 24 - HTML_IMAGE_ONLY_20,HTML_MESSAGE,HTML_SHORT_LINK_IMG_3,MIME_HTML_ONLY,MISSING_DATE,MISSING_MID,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_HTTP,RCVD_IN_SORBS_WEB,RCVD_IN_XBL,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_PH_SURBL,URIBL_RHS_DOB,URIBL_SC_SURBL,URIBL_WS_SURBL scantime=0.4,size=2344,user=vor.name@domain.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=(unknown),autolearn=spam
Apr 8 20:28:55 lvps123-456-789-012 qmail: 1270751335.113918 delivery 273: success: did_0+0+2/
Apr 8 20:28:55 lvps123-456-789-012 qmail: 1270751335.113953 status: local 0/10 remote 0/20
Apr 8 20:28:55 lvps123-456-789-012 qmail: 1270751335.113969 end msg 358719786
Apr 8 20:28:55 lvps123-456-789-012 spamd[32722]: prefork: child states: IRelaying ist nicht erlaubt (auch getestet).
Meine /etc/xinetd.d/smtp_psa sieht wie folgt aus:
Code:
service smtp
{
socket_type = stream
protocol = tcp
wait = no
disable = no
user = root
instances = UNLIMITED
env = SMTPAUTH=1
server = /var/qmail/bin/tcp-env
server_args = -Rt0 /var/qmail/bin/relaylock /usr/local/bin/spamdyke -f /etc/spamdyke.conf /var/qmail/bin/qmail-smtpd /var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /var/qmail/bin/true
}Kann mir jemand sagen was da passiert ist?
Zu einem fremden Netz (per VPN) war ich zu dieser Zeit auch nicht verbunden, so dass das der Versand über das dortige Default-Gateway erfolgt wäre. Einzig auffällig war zum Zeitpunkt der Mails in der Grafik, dass ich zwei SPAM-Absender "gewhitelisted" (root@...) hatte, da ich erfolglos auf eine Mail gewartet hatte, deren Absendeadresse ich nicht kannte.
Seit Anfang April kann ich drei weitere "grüne" Einträge finden, die mit meinen IP-Adressen nichts zu tun haben - somit keine Zusammenhang mit dem Whitelisten.
Die Passwörter kenne bislang nur ich (und HE wegen eines Support-Tickets root und plesk-Passwort in KIS übergeben).
Oder heißt "grün" noch nicht, dass erfolgreich gesendet wurde - vor allem ausgehend?
Kann ich die Sendemöglichkeiten einschränken (z.B. nur meine feste IP-Adresse zulassen)?
Weitere Infos (wenn ja, welche?) gerne auf Anfrage.
Für Antworten wäre ich dankbar!
PS: In Screenshot und Log-File steht anstelle meiner Domain ersatzweise "domain.de" bzw. "lvps123-456-789-012" für den Servernamen
Attachments
Last edited by a moderator:
