Open Relay (Plesk, qmail) - wie verhindern?

B

bjoernfal

Registered User
Hallo,

ich habe jetzt schon laaange das Forum durchforstet, finde aber keine direkte Lösung, deshalb meine Frage:

Mein Server dient wohl als Open-Relay. Dabei lehnt er folgende Telnet-Sitzung ab:

Code: 
telnet XXX

220 XXX ESMTP
HELO
250 XXX
MAIL FROM: abcd@yahoo.com
250 ok
RCPT TO: test@domain.de
Sorry, this domain isn't in my list of allowed rctphosts.


Ändere ich die Addresse (MAIL FROM) aber in eine eMail-Adresse ab, die auf dem Server existiert, so nimmt er die Mail ohne Probleme an.

Unter Plesk habe ich bereits die Einstellung Relaying -> authorization is required -> SMTP eingestellt, deshalb verstehe ich nicht, was da falsch läuft.

In meiner queue sind derzeit 40.000 Mails.

Kann mir jemand helfen?

viele grüße,
bjoern

EDIT: Mittlerweile habe ich herausgefunden, dass das Problem wohl häufiger besteht und irgendwie sendmail statt qmail genutzt wird. Dummerweise weiß ich nicht, wie ich sendmail deinstallieren/deaktivieren kann!
 
Last edited by a moderator:
Hallo,

bjoernfal said:
Mein Server dient wohl als Open-Relay.
Click to expand...
das würde bedeuten, daß er ohne Authentifikation Emails an andere Server weiterleitet.
Ändere ich die Addresse (MAIL FROM) aber in eine eMail-Adresse ab, die auf dem Server existiert, so nimmt er die Mail ohne Probleme an.
Click to expand...
Natürlich, wenn eine Emailadrresse auf dem Server eingerichtet ist, dann soll er Mails für diese Adresse annehmen, was sonst?
In meiner queue sind derzeit 40.000 Mails.
Click to expand...
Dann hast Du vermutlich ein anderes Problem.
EDIT: Mittlerweile habe ich herausgefunden, dass das Problem wohl häufiger besteht und irgendwie sendmail statt qmail genutzt wird. Dummerweise weiß ich nicht, wie ich sendmail deinstallieren/deaktivieren kann!
Click to expand...
Unwahrscheinlich, daß Du Sendmail und Qmail gleichzeitig laufen hast. Wenn Qmail installiert ist, sollte es trotzdem ein Sendmail-Binary geben aus Kompatibilität, das ist dann aber Bestandteil von Qmail.

Laß mal den Relaytest laufen: Mail relay testing
und lies die Logfiles, woher die vielen Mails kommen und wo sie hin sollen.

Hast Du PHP-Pakete (Board, *nuke usw) im Einsatz?
 
Ich finde es auch ein wenig doof, dass "jeder" via telnet connecten kann, um Mails an die Hauseigenen Domains zu verschicken.

charli said:
Natürlich, wenn eine Emailadrresse auf dem Server eingerichtet ist, dann soll er Mails für diese Adresse annehmen, was sonst?
Click to expand...

Das ist grundsätzlich korrekt.
Doch es wäre sinnvoller, vor dem versenden und anhand der IP einen reverse-Domain-Test zu machen.

Das würde dann wenigstens nicht jeden Spammer durchlassen.
 
Hallo,

siroques said:
Ich finde es auch ein wenig doof, dass "jeder" via telnet connecten kann, um Mails an die Hauseigenen Domains zu verschicken.
Click to expand...
es muß "jeder" connecten und eine Mail abliefern können ohne sich zu authentifizieren, sonst könnte man keine Mails von fremden Mailservern bekommen.
Doch es wäre sinnvoller, vor dem versenden und anhand der IP einen reverse-Domain-Test zu machen.
Click to expand...
Das und noch einige andere Kriterien kann man dem MTA beibringen, ich kann aber nicht sagen wie es bei Qmail geht. Ob es sinnvoll ist, ist eine andere Frage.

Das würde dann wenigstens nicht jeden Spammer durchlassen.
Click to expand...
Aber auch nicht die Mails von einem Kumpel, der z.B. einen ganz billigen Vserver hat ohne korrekten RDNS (gibt's tatsächlich) oder ein Webhostingpaket bei einem miesen Provider.
Statt Kumpel kann es natürlich auch die Rechnung eines Onlineshops sein oder der Verkäufer einer Inetauktion, dessen Mails nicht ankommen.
 
charli said:
Hallo,
es muß "jeder" connecten und eine Mail abliefern können ohne sich zu authentifizieren, sonst könnte man keine Mails von fremden Mailservern bekommen.
Click to expand...
Natürlich muss jeder connecten können.
Aber mein Mailserver muss nicht unbedingt jede Mail zustellen.

Das und noch einige andere Kriterien kann man dem MTA beibringen, ich kann aber nicht sagen wie es bei Qmail geht. Ob es sinnvoll ist, ist eine andere Frage.
Click to expand...
Sinnvoll auf jeden Fall...
Alles andere öffnet Spammern Tor und Tür.
Die "großen" like gmx etc. machen es auch nicht anders... ;)

Nur ist die Frage, wie man qmail das beibringt... :rolleyes:


Aber auch nicht die Mails von einem Kumpel, der z.B. einen ganz billigen Vserver hat ohne korrekten RDNS (gibt's tatsächlich) oder ein Webhostingpaket bei einem miesen Provider.
Statt Kumpel kann es natürlich auch die Rechnung eines Onlineshops sein oder der Verkäufer einer Inetauktion, dessen Mails nicht ankommen.
Click to expand...

Gut, das Risiko gehe ich gerne ein. :)
Wer seinen Server nicht richtig konfiguriert, wird es früher oder später eh merken. Denn wie gesagt, selbst die großen machen einen reverse lookup.

Gruß siroques
 
Last edited by a moderator:
@bjoernfal

Habe das Configfile gefunden, wo du das aktivieren kannst.

/etc/xinet.d/smtp_psa

die Zeile: server_args = -Rt0 /var/qmail/...
Dort einfach das "R" in dem -Rt0 löschen und xinet.d anschliessend neu starten.

Allerdings muss ich gleich dazu sagen, dass es dann beim Mailen teilweise zu kleinen Verzögerungen kommen kann, da nun erst immer ein DNS Reverse-lookup gemacht wird.

edit: ne, sry...irgendwie kommen trotzdem noch mails durch...
Aber muss irgendwas mit diesem File zu tun haben.
 
Last edited by a moderator:
Hallo,

siroques said:
Alles andere öffnet Spammern Tor und Tür.
Click to expand...
warum sollten Spammer keinen korrekten RDNS haben?
Die "großen" like gmx etc. machen es auch nicht anders.
Click to expand...
GMX hat vom User einstellbare Spamfilter, wenn der scharf eingestellt wird ist RDNS dabei, sonst nicht.
AOL und T-Online prüfen, AFAIK zusätzlich, ob es sich um eine Einwahl-IP handelt (und nerven damit die Leute die einen Server zuhause über DSL betreiben).
Die meisten anderen halten es nicht für sinnvoll.
ne, sry...irgendwie kommen trotzdem noch mails durch...
Click to expand...
Willst Du jetzt gar keine Mails mehr bekommen? :confused:

Deine Einwahl-IP hat natürlich einen korrekten RDNS.
 
charli said:
Hallo,
warum sollten Spammer keinen korrekten RDNS haben?
Click to expand...
Jo, gebe ich dir Recht. Haben sicherlich einige...
Aber ein Großteil wird über irgendwelche Zombie-Pc's in heimischen Wohnzimmern verschickt...

GMX hat vom User einstellbare Spamfilter, wenn der scharf eingestellt wird ist RDNS dabei, sonst nicht.
Click to expand...
Ich habe bei mir nix eingestellt (@gmx Account), und hatte bei meinem Server anfangs auch das Problem, dass ich an meinen eigenen gmx Account keine Mails senden konnte, weil der Server falsch konfiguriert war (Reverse-Lookup lieferte Host von Strato like: hxxxxxx.serverkompetenz.net).

AOL und T-Online prüfen, AFAIK zusätzlich, ob es sich um eine Einwahl-IP handelt (und nerven damit die Leute die einen Server zuhause über DSL betreiben).
Die meisten anderen halten es nicht für sinnvoll.
Click to expand...
Ok, kannst du mir eine Alternative nennen?
Stell dir mal vor, du bist Reseller und hast einige Kundendomains auf dem Server liegen. Diese Domains scheinen Spammern bekannt zu sein und die Kunden erhalten pausenlos Spam, nur weil irgendwelche Spammer den hauseigenen SMTP nutzen, um darüber Ihren Müll an die auf dem Server liegenden Domains zu versenden. Spamassassin greift leider nicht immer...

Willst Du jetzt gar keine Mails mehr bekommen? :confused:

Deine Einwahl-IP hat natürlich einen korrekten RDNS.
Click to expand...
Klar will ich das...
Aber probiere doch einfach mal dich via Telnet bei dem gmx SMTP anzumelden und dort einem gmx-Mitglied eine Mail zu schicken.

Wenn ich mich dort via Telnet einlogge und den Empfänger angebe, wird spätestens beim "mail from:" eine Message ausgegeben, dass nur registrierte Benutzer Mailen dürfen. Wenn ich nun aber als mail from: meinen gmx Account angebe, bekomme ich die Message, dass ich mich vorher via SMTP-AUTH authentifizieren muss.

Also greift deren System...probiere es aus...
 
Hallo,

siroques said:
Aber ein Großteil wird über irgendwelche Zombie-Pc's in heimischen Wohnzimmern verschickt.
Click to expand...
auch die haben meistens einen korrekten RDNS. Allerdings kann man (über eine Datenbank) feststellen, ob es eine Einwahlverbindung ist und Annahme von Einwahlverbindungen ablehnen.

(Reverse-Lookup lieferte Host von Strato like: hxxxxxx.serverkompetenz.net).
Click to expand...
Was ist daran falsch konfiguriert?

Wenn ich mich dort via Telnet einlogge und den Empfänger angebe, wird spätestens beim "mail from:" eine Message ausgegeben, dass nur registrierte Benutzer Mailen dürfen. Wenn ich nun aber als mail from: meinen gmx Account angebe, bekomme ich die Message, dass ich mich vorher via SMTP-AUTH authentifizieren muss.
Click to expand...

stimmt. Der mail.gmx.net ist allerdings ein Server(verbund) der ausschließlich dafür da ist, daß die Kunden ihre Mails abholen und abliefern, er ist nicht für die Annahme der Mails von anderen Servern zuständig. Dann kann man das so machen.

Im Nameserver ist mx0.gmx.net als MX eingetragen. Der lehnt allerdings auch ab, weil meine IP zu einem Einwahlaccount gehört. Dazu wird die SORBS-Datenbank abgefragt. Das kann man auch auf dem eigenen Server machen, bei Postfix:
Code: 
reject_rbl_client dul.dnsbl.sorbs.net
Dann wird natürlich jedesmal Sorbs kontaktiert, was die Systemlast erhöht, aber Dir bleiben Mails von Einwahlaccounts erspart.
 
Ich halte es für keine gute Idee, Mails von dynamischen IPs generell abzulehnen. Es trifft nämlich häufiger Mal die Falschen. Ich habe schon von Providern gehört, die mit steigendem Interesse an fixen IPs einfach ehemals dynamische IP-Ranges umdeklariert haben. Deren Kunden haben jetzt zwar eine fixe IP, sind aber immer noch auf den Blocklists, von wo sie so schnell nicht wieder runterkommen.

Die Filterung aufgrund von Inhalt oder Checksumme (Razor, Pyzor) funktioniert mittlerweile so gut, dass man auf solch radikale Massnahmen nicht mehr angewiesen ist. Ich lehne Mails von dynamischen IPs nicht generell ab, bewerte sie aber mit Spamassassin. So haben sie schonmal ein paar Punkte auf dem Konto und werden schon bei einem spamverdächtigen Wort als Spam klassifiziert.
 
Okay, ich merke schon, die Interessen gehen hier deutlich auseinander...
Wenn ich nur eine Domain auf meinem Server (es ist ja nicht nur einer) hosten würde, würde ich mir auch keine Sorgen machen....

Da dieses aber nicht der Fall ist, und immo ein paar 100 Kunden dran glauben müssen, werde ich mir auf jeden Fall etwas einfallen lassen müssen...

Trotzdem ein Dank an charli und mkr...
 
Last edited by a moderator:
Ich muß noch schnell was richtig stellen:
siroques said:
die Zeile: server_args = -Rt0 /var/qmail/...
Dort einfach das "R" in dem -Rt0 löschen und xinet.d anschliessend neu starten.
Click to expand...
-Rt0 ist eigendlich doppeltgemoppelt:
-R heißt keinen Reverse-lookup
-t0 heißt Timeout 0 Sekunden bei Reverse-Lookup


Und nochwas:
Greylisting ist ebenfalls äusserst Effektiv gegen Spammer.
Nur im PSA-Qmail schlecht zu integrieren. :)

huschi.
 
You must log in or register to reply here.
Back
Top