Postscreen PREGREET-Test: Exigo.com wartet nicht

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Postscreen PREGREET-Test: Exigo.com wartet nicht

Martin Steigerwald
Hallo.

Ich hab mich gewundert, warum ich die Newsletter einer Firma, deren
Newsletter ich doch tatsächlich abonniert habe, nicht mehr bekomme.

Die Antwort ist:

  Sep  1 09:48:14 mondschein postfix/postscreen[8914]: CONNECT from [208.90.224.33]:3140 to [194.150.191.11]:25
  Sep  1 09:48:14 mondschein postfix/dnsblog[8977]: addr 208.90.224.33 listed by domain list.dnswl.org as 127.0.10.0
  Sep  1 09:48:14 mondschein postfix/postscreen[8914]: PREGREET 25 after 0.12 from [208.90.224.33]:3140: EHLO mailque2.exigo.com\r\n
  Sep  1 09:48:14 mondschein postfix/postscreen[8914]: DISCONNECT [208.90.224.33]:3140

Ich habe exigo.com informiert und die Firma, die den Newsletter versendet,
informiert, denn offenbar halten die sich hier nicht an RFCs:

"The SMTP protocol is a classic example of a protocol where the server speaks before the client."
http://www.postfix.org/POSTSCREEN_README.html#before_220

Habt ihr das auch schon gesehen? Ich vermisse keine anderen Mails. Also
bekommen das wohl die meisten Newsletter-Dienst-Anbieter besser hin.

Falls das öfter passiert, schalte ich den Test wohl global aus. Jetzt versuche
ich es erstmal mit einem Whitelist-Eintrag.

Denn soweit ich sehe, trifft der PREGREET-Test hier ansonsten schon die
Richtigen. Wie z.B. diese Kandidaten hier:

Aug 27 19:24:52 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.14 from [70.90.59.237]:10557: EHLO ylmf-pc\r\n
Aug 27 19:24:52 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:10557
Aug 27 19:24:53 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:25875 to [194.150.191.11]:25
Aug 27 19:24:53 mondschein postfix/dnsblog[1196]: addr 70.90.59.237 listed by domain dnsbl-1.uceprotect.net as 127.0.0.2
Aug 27 19:24:53 mondschein postfix/dnsblog[1133]: addr 70.90.59.237 listed by domain ix.dnsbl.manitu.net as 127.0.0.2
Aug 27 19:24:53 mondschein postfix/dnsblog[1177]: addr 70.90.59.237 listed by domain bl.blocklist.de as 127.0.0.13
Aug 27 19:24:53 mondschein postfix/dnsblog[1167]: addr 70.90.59.237 listed by domain zen.spamhaus.org as 127.0.0.4
Aug 27 19:24:53 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.14 from [70.90.59.237]:25875: EHLO ylmf-pc\r\n
Aug 27 19:24:53 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:25875
Aug 27 19:24:53 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:6641 to [194.150.191.11]:25
Aug 27 19:24:53 mondschein postfix/dnsblog[1177]: addr 70.90.59.237 listed by domain ix.dnsbl.manitu.net as 127.0.0.2
Aug 27 19:24:53 mondschein postfix/dnsblog[1133]: addr 70.90.59.237 listed by domain dnsbl-1.uceprotect.net as 127.0.0.2
Aug 27 19:24:53 mondschein postfix/dnsblog[1132]: addr 70.90.59.237 listed by domain bl.blocklist.de as 127.0.0.13
Aug 27 19:24:53 mondschein postfix/dnsblog[1158]: addr 70.90.59.237 listed by domain zen.spamhaus.org as 127.0.0.4
Aug 27 19:24:53 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.13 from [70.90.59.237]:6641: EHLO ylmf-pc\r\n
Aug 27 19:24:53 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:6641
Aug 27 19:24:54 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:16270 to [194.150.191.11]:25
Aug 27 19:24:54 mondschein postfix/dnsblog[1218]: addr 70.90.59.237 listed by domain dnsbl-1.uceprotect.net as 127.0.0.2
Aug 27 19:24:54 mondschein postfix/dnsblog[1131]: addr 70.90.59.237 listed by domain ix.dnsbl.manitu.net as 127.0.0.2
Aug 27 19:24:54 mondschein postfix/dnsblog[1135]: addr 70.90.59.237 listed by domain bl.blocklist.de as 127.0.0.13
Aug 27 19:24:54 mondschein postfix/dnsblog[1158]: addr 70.90.59.237 listed by domain zen.spamhaus.org as 127.0.0.4
Aug 27 19:24:54 mondschein postfix/postscreen[1130]: PREGREET 14 after 0.14 from [70.90.59.237]:16270: EHLO ylmf-pc\r\n
Aug 27 19:24:54 mondschein postfix/postscreen[1130]: DISCONNECT [70.90.59.237]:16270
Aug 27 19:24:54 mondschein postfix/postscreen[1130]: CONNECT from [70.90.59.237]:32514 to [194.150.191.11]:25

Die IP ist besonders notorisch. Da wäre gut, gleich einen passenden
IPTables-Eintrag mit DROP als Target. Hat das mal jemand gebaut?
sshguard schützt in Bezug auf Postfix offenbar nicht. Vielleicht dann
doch fail2ban. Mir gefielt sshguard besser, da schlanker.


Allerdings sehe ich bei fehlgeschlagenen PREGREET-Tests bei meiner
Stichproben-Analyse auch so viele Blacklist-Einträge, dass der PREGREET-Test
vielleicht gar nicht erforderlich ist.

Naja, es gibt auch welche mit weniger Einträgen:

Aug 28 00:14:05 mondschein postfix/postscreen[4977]: CONNECT from [121.237.143.70]:49824 to [194.150.191.11]:25
Aug 28 00:14:05 mondschein postfix/dnsblog[4983]: addr 121.237.143.70 listed by domain zen.spamhaus.org as 127.0.0.11
Aug 28 00:14:05 mondschein postfix/postscreen[4977]: PREGREET 16 after 0.22 from [121.237.143.70]:49824: EHLO em8qRE1gJ\r\n
Aug 28 00:14:05 mondschein postfix/postscreen[4977]: DISCONNECT [121.237.143.70]:49824

Den hätte Postscreen aufgrund dnsbl bei mir nicht abgelehnt, da ich den
Threshold auf 3 gesetzt hab, zen.spamhaus.org bei mir aber nur 2 Punkte
bekommt.

Naja, ich belasse es erstmal bei einem Whitelist-Eintrag.

Danke,
--
Martin
Reply | Threaded
Open this post in threaded view
|

Re: Postscreen PREGREET-Test: Exigo.com wartet nicht

Andreas Schulze
Am 03.09.2017 um 10:53 schrieb Martin Steigerwald:

> Hallo.
>
> Ich hab mich gewundert, warum ich die Newsletter einer Firma, deren
> Newsletter ich doch tatsächlich abonniert habe, nicht mehr bekomme.
>
> Die Antwort ist:
>
>   Sep  1 09:48:14 mondschein postfix/postscreen[8914]: CONNECT from [208.90.224.33]:3140 to [194.150.191.11]:25
>   Sep  1 09:48:14 mondschein postfix/dnsblog[8977]: addr 208.90.224.33 listed by domain list.dnswl.org as 127.0.10.0
>   Sep  1 09:48:14 mondschein postfix/postscreen[8914]: PREGREET 25 after 0.12 from [208.90.224.33]:3140: EHLO mailque2.exigo.com\r\n
>   Sep  1 09:48:14 mondschein postfix/postscreen[8914]: DISCONNECT [208.90.224.33]:3140
>
> Ich habe exigo.com informiert und die Firma, die den Newsletter versendet,
> informiert, denn offenbar halten die sich hier nicht an RFCs:
>

es gibt immer mal wieder Leute, die sich einen ranzigen MTA andrehen lassen. Meist tatsächlich als Bundle mit anderen Funktionen.

Hier hilft selektives whitelisten.

> Denn soweit ich sehe, trifft der PREGREET-Test hier ansonsten schon die
ja, das ist der Normalfall. Deswegen würde ich wegen eines Einzelfalls das nicht global ausschalten.

Andreas


--
A. Schulze
DATEV eG