Hallo,
habe seit ein paar Tagen das Problem, dass scheinbar von einer unserer 2 IP´s Spam versand wird.
Der einzige Hinweis auf dem Server ist, dass im /tmp Verzeichnis eine
Sessiondatei existiert, in der nicht wie üblich Variablen gespeichert sind, sondern eine Rückmeldung der Zielprovider, dass die IP in der CBL (Spamhaus) steht
Hier einmal ein Auszug aus der Sessiondatei
Über den Owner der Datei kann ich auch den "Verursacher/Domain" auf dem Server ausmachen und vermute einmal, dass es sich um ein PHP Script handelt. In den typischen Logs (mail/mail.warn/...) ist in diesem Zeitfenster nichts ungewöhnliches zu sehen.
Das eigenartige ist auch, dass in den Apache-Logs der Domain nichts wirklich aufregendes zu dem Zeitpunkt passt.
Ausser PHP ist auf dieser Domain nichts aufgeschaltet (cgi,...)
Mir ist auch klar, dass aus dem o.a. Log ersichtlich ist, dass die IP auf der CBL steht, werde aber den Unlock erst dann
beantragen, wenn die Ursache dazu gefunden wurde.
Was mir nicht in den Kopf geht, wieso steht das in einer Session Datei ??
Da es sich um einen Internetshop handelt, fällt es mir schwer, hier an der richtigen Stelle einzugreifen, um das Problem zu lösen.
Den sendmail kann ich auch nicht einfach verbieten, da er benötigt wird.
Systemdaten :
- vserver mit plesk 11.0.9 uptodate
- postfix als MTA (negativ getestet auf open relay)
- Ubuntu 12.04.1 LTS
- Apache2.2.22-1ubuntu1.2
- PHP5.3.10-1ubuntu3.5
- PostFix2.9.3-2~12.04.4
Vielen Dank für eure Vorschläge.
Gruss
Holger
habe seit ein paar Tagen das Problem, dass scheinbar von einer unserer 2 IP´s Spam versand wird.
Der einzige Hinweis auf dem Server ist, dass im /tmp Verzeichnis eine
Sessiondatei existiert, in der nicht wie üblich Variablen gespeichert sind, sondern eine Rückmeldung der Zielprovider, dass die IP in der CBL (Spamhaus) steht
Hier einmal ein Auszug aus der Sessiondatei
E1135578{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135656{I554}p3pismtp01-064.prod.phx3.secureserver.net Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.
E1226549{I550}IP 85.214.xxx.xxx in zen.spamhaus.org : Access Denied, please see www.spamhaus.org
E1135285{B421}Temporarily rejected for 85.214.xxx.xxx. Try again later.
E1226142{E421}4.7.0 Try again later, closing connection. (DATA) c12si2068959bkw.2 - gsmtp
E1135492{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135597{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135551{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135250{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135533{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135655{I554}fed1rmimpi112 cox 85.214.xxx.xxx blocked. Error Code: IPBL0001 - Refer to Error Codes section at http://postmaster.cox.net/confluence/display/postmaster/Error+Codes for more information.
E1135704{F521}85.214.xxx.xxx blocked by sbc:blacklist.mailrelay.att.net. DNSRBL: Blocked for abuse. See http://att.net/blocks
E1135553{F521}85.214.xxx.xxx blocked by sbc:blacklist.mailrelay.att.net. DNSRBL: Blocked for abuse. See http://att.net/blocks
E1135604{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135206{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1226151{E421}4.7.0 Try again later, closing connection. (DATA) c5si2060561bkw.84 - gsmtp
E1135364{R554}Refused. Your IP address is listed in the RBL at cbl.abuseat.org: Blocked - see http://cbl.abuseat.org/lookup.cgi?ip=85.214.xxx.xxx See: http://www.mastercabo.com.br/#DENIED_RBL_MATCH
E1226169{E421}4.7.0 Try again later, closing connection. (DATA) gk9si2045167bkc.236 - gsmtp
E1135681{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135205{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135593{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135697{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135632{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135148{I550}mwinf5c40 ME Adresse IP source bloquee pour incident de spam. Client host blocked for spamming issues. OFR006_101 Ref http://r.orange.fr/r/Oassistance_adresserejetee?ec=OFR006_101&ip=85.214.xxx.xxx [101]
E1135560{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135258{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1135509{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1226159{E421}4.7.0 Try again later, closing connection. (DATA) hu1si2047446bkc.213 - gsmtp
E1135358{I550}mwinf5c40 ME Adresse IP source bloquee pour incident de spam. Client host blocked for spamming issues. OFR006_101 Ref http://r.orange.fr/r/Oassistance_adresserejetee?ec=OFR006_101&ip=85.214.xxx.xxx [101]
E1226573{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
E1226823{I421}4.7.1 : (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html
Über den Owner der Datei kann ich auch den "Verursacher/Domain" auf dem Server ausmachen und vermute einmal, dass es sich um ein PHP Script handelt. In den typischen Logs (mail/mail.warn/...) ist in diesem Zeitfenster nichts ungewöhnliches zu sehen.
Das eigenartige ist auch, dass in den Apache-Logs der Domain nichts wirklich aufregendes zu dem Zeitpunkt passt.
Ausser PHP ist auf dieser Domain nichts aufgeschaltet (cgi,...)
Mir ist auch klar, dass aus dem o.a. Log ersichtlich ist, dass die IP auf der CBL steht, werde aber den Unlock erst dann
beantragen, wenn die Ursache dazu gefunden wurde.
Was mir nicht in den Kopf geht, wieso steht das in einer Session Datei ??
Da es sich um einen Internetshop handelt, fällt es mir schwer, hier an der richtigen Stelle einzugreifen, um das Problem zu lösen.
Den sendmail kann ich auch nicht einfach verbieten, da er benötigt wird.
Systemdaten :
- vserver mit plesk 11.0.9 uptodate
- postfix als MTA (negativ getestet auf open relay)
- Ubuntu 12.04.1 LTS
- Apache2.2.22-1ubuntu1.2
- PHP5.3.10-1ubuntu3.5
- PostFix2.9.3-2~12.04.4
Vielen Dank für eure Vorschläge.
Gruss
Holger
Last edited by a moderator: