Spam über eigenen Server

So. Alles wieder gelöscht. Dachstuhl weg, aber keine Verletzten.

Also hier der Auszug:

Jul 26 09:15:23 dsXX-XXX-XXX-XX qmail: 1185434123.055989 new msg 1386395
Jul 26 09:15:23 dsXX-XXX-XXX-XX qmail: 1185434123.139560 info msg 1386395: bytes 4242 from <lnru@servername.tld> qp 30285 uid 2020

danach werden einige gesendet:

Jul 26 17:35:46 dsXX-XXX-XXX-XX qmail: 1185464146.393837 starting delivery 277381: msg 1386395 to remote pelalala@yahoo.com.tw

und dann end msg irgendwann.

Plesk Version ist 7.5.4. Qmail: 4.32-suse9.1.build75050824.12 (psa-qmail 1.03-suse9.1.build75060322.08)

gm
 
Das Problem ist, daß der Qmail erstmal alle Emails annimmt. Das sollte eigentlich das rcpt-plugin verhindern. Da dies aber Closed-Source ist, kann ich leider nicht sagen wie es arbeitet.

mausi said:
Fand noch diese nette Erleuchtung:
Click to expand...
Hilft Dir nur nicht weiter....
Denn der Plesk-Qmailer hat bereits alle Tips davon an Board.

huschi.
 
Hallo!
Huschi said:
Da dies aber Closed-Source ist, kann ich leider nicht sagen wie es arbeitet.
Click to expand...
Der überprüft unter anderem ob ein entsprechendes Maildir existiert. Das konnte ich dadurch festellen, daß ich für eine Domain in Plesk das bouncing abgestellt habe, was auch funktioniert, nur bei Emails an einen Domainalias funktioniert es nicht (sprich kein Maildir gefunden, spätere Prüfung in qmail).

Gruß flyingoffice
 
Anonymous Test Relay result

Mail relay testing
Connecting to xx.xx.xx.xxx for relay test...
<<< 220 domain.tld ESMTP
>>> HELO antispam-ufrj.pads.ufrj.br
<<< 250 domain.tld
Relay test 1
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@antispam-ufrj.pads.ufrj.br>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 2
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@antispam-ufrj.pads.ufrj.br>
<<< 250 ok
>>> RCPT TO: relaytest@antispam-ufrj.pads.ufrj.br
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 3
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 4
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 5
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[xx.xx.xx.xxx]>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 6
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@domain.tld>
<<< 250 ok
>>> RCPT TO: <relaytest@antispam-ufrj.pads.ufrj.br>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 7
>>> RSET
<<< 250 flushed
>>> MAIL FROM: <spamtest@[xx.xx.xx.xxx]>
<<< 250 ok
>>> RCPT TO: <relaytest%antispam-ufrj.pads.ufrj.br@[xx.xx.xx.xxx]>
<<< 250 ok

>>> QUIT
<<< 221 domain.tld
Relay test result
Ops!!! Host appeared to accept a message relay, but it may or not may a positive open relay. I need procced a complete test, sending a test message to probe it. This anonymous user test did not send a test message.
 
... also gib es keine Lösung für das Problemchen? Die Mails kommen jetzt natürlich alle unzustellbar wieder zurück :|
 
... cool. Werde ich in einer freien Minute diese Woche noch ausprobieren. Danach ist Urlaub angesagt - hoffentlich :)

Ich gebe Feedback wenn fertig ...

gm
 
... gab es jemals eine bessere Anleitung? Wirklich genial geschrieben! Hat direkt alles geklappt :)

Ich bin mal gespannt. Bei über 60 aktiven Domains kommt da echt ne Menge an Zeugs an. Woah! Allerdings das jemand versucht über den Server etwas zu verschicken verhindert das ja nun nicht ...
 
Abwarten und beobachten.
Es hat vor allem auch den Vorteil, daß Maillogs übersichtlicher werden. :)

huschi.
 
... ich werde das ganze jetzt einige Tage laufen lassen. Sofern sich keine Kunde beschwert, soll es gut sein ;)
 
... schön. Der größte Teil der Spams wird nun gebloggt. Aber das Anfangsproblem bleibt nach wie vor bestehten. Ich lösche jetzt regelmäßig die hunderten von Zustellversuchen per

find /var/qmail/queue/ -exec grep -l "yahoo.com.tw" '{}' ';' -exec rm '{}' ';'

, aber eine Lösung ist das nun nicht :|

Vor einigen Tagen war es 8-10.000 Mails glaube ich. Wenn die jetzt alle wegen Unzustellbarkeit zurückkommen - auhweiha ...

gm
 
Nachdem es nun aktuelle Emails sind, kannst Du im neuen übersichtlichen Logfile bestimmt auch erkennen wie die Emails in Dein System geraten.

Und du kannst uns bestimmt auch mal den ein oder anderen Email-Header zukommen lassen, oder?

huschi.
 
... die E-Mails werden ja über meinen Server versendet (obwohl kein Open-Relay vorliegt, siehe oben). Das hier ist die E-Mail die über den Server versendet wurde. Die Return-Path-Absender-Mail existiert natürlich auf dem Server nicht (wie Du bereits Anfangs mal erwähntest). Jetzt kommen natürlich alle nicht zustellbaren daran, weil Catch-All, zurück. Anmerkung: Es handelt sich um die Root-Mail-Adresse, die vom gesamten System verwendet wird).

gm
Code: 
Return-Path: <lnru@xxxxxxx.xxx>
Received: (qmail 25743 invoked from network); 8 Aug 2007 02:31:49 +0200
Received: from 132.197.128.219.broad.st.gd.dynamic.163data.com.cn (HELO [email]jljl@yahoo.com.tw[/email]) (219.128.197.132)
  by xxxxxxx.xxx with SMTP; 8 Aug 2007 02:31:49 +0200
Message-ID: <20070808083152780067@jljl@yahoo.com.tw>
Date: Wed, 8 Aug 2007 08:31:52 +0800
From: =?big5?B?RaVApU669Lj0pua+UA==?= <>
To: <a8712103@yahoo.com.tw>,
	<gazza0729@yahoo.com.tw>,
	<lili485413@yahoo.com.tw>,
	<j015088@yahoo.com.tw>,
	<y3205008@yahoo.com.tw>,
	<n223707739@yahoo.com.tw>,
	<lifa30@yahoo.com.tw>,
	<jk7019@yahoo.com.tw>,
	<kotomohung@yahoo.com.tw>,
	<amd_0417@yahoo.com.tw>,
	<tainanxn@yahoo.com.tw>
Subject: =?big5?B?p0OmqKW7oUKwqq7Er3GhQrFNt36lTrVvvHOnaatI?=
X-mailer: CIysqao 9
Mime-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_0F03_013C1AAE.1AF0E0E0"

This is a multi-part message in MIME format.

------=_0F03_013C1AAE.1AF0E0E0
Content-Type: text/plain;
	charset="big5"
Content-Transfer-Encoding: base64

ZmQ5bWt6ZXYweDU3aHd4NGI3cjJmdDYzdmhub25xZ2JnMWE5a25wajBiNnZpa3lpbHYyZ3FoN3E2

... BLA BLA BLA ...

cmRra2ogPC9CT0RZPjwvSFRNTD4NCg==

------=_0F03_013C1AAE.1AF0E0E0--
 
Last edited by a moderator:
Hallo!
Langsam komme ich hier durcheinander. Bis jetzt sehe ich noch nicht, dass Mails über deinen Server versandt wurden. Das sind doch jetzt alles Bounces auf nicht existierende* lokale Konten, oder?
Gerade in diesem Zusammenhang ist das Betreiben von CatchAll Adressen natürlich problematisch.


* Nicht existierend muss hier natürlich relativiert werden. Siehe CatchAll.

mfG
Thorsten
 
Hallo!

Ich war im Urlaub, daher jetzt erst ein Feedback. Ich hatte etwas weiter oben ja einen Logfileeintrag gepostet. Daher ging hervor, dass die Mails über meinen Server gesendet wurden. Die Mail oben betrifft ja nur die Meldung die nach dem Versand die zurückkam.
ABER: Nach nun 13 Tagen Greylisting ist der Spuk vorbei. Dazu wurden ca. 1 Millionen Spams bisher geblockt :) Die Kunden sind hellauf begeistert. Hatte denen von der Installation nichts gesagt, erst als einige anriefen und sich positiv "beschwerten" das sie kaum noch Spam bekommen. Warum dies nun so ist, verstehe ich nicht ganz. Aber evt. weiß ja jemand eine Antwort darauf.

gm
 
You must log in or register to reply here.
Back
Top