Quantcast

Spam über ein Maillkonto - bei GMX geblacklistet

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
21 messages Options
12
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm
Hallo

Ich hab auf meinem root Server (Ubuntu 14 LTS) ein Postfix (Version 2.11.0-1ubuntu) laufen und da ging von einem Konto dessen Passwort gehackt wurde am 5. März um 14:20 etwa massenweise Spam raus.
Der Spuk dauerte ca. eine halbe Stunde, bis ich es gemerkt hatte, da waren aber wohl schon zigtausend Spammails rausgegangen, mit der Folge, dass GMX unseren Server geblacklistet hat.

1. wie krieg ich unseren Server aus der Blacklist von GMX raus? Ich hab da schon über so ein Kontaktformular hingeschrieben, aber keine Antwort gekriegt und noch ist er gelistet. Muss ich einfach warten?  Der Fehler ist ja erst mal behoben.
2. wie kann ich solche Massen an Mails auf ein Mal von vorne herein verhindern, da gibt es doch sicher eine Einstellung, oder? Das braucht doch keiner.


Danke

Gruß frank Walter
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Florian Pritz
On 11.03.2017 13:52, Frank Röhm wrote:
> 2. wie kann ich solche Massen an Mails auf ein Mal von vorne herein verhindern, da gibt es doch sicher eine Einstellung, oder? Das braucht doch keiner.

https://listi.jpberlin.de/pipermail/postfixbuch-users/2013-November/061284.html

Florian


signature.asc (875 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Robert Schetterer-2
In reply to this post by Frank Röhm
Am 11.03.2017 um 13:52 schrieb Frank Röhm:
> Hallo
>
> Ich hab auf meinem root Server (Ubuntu 14 LTS) ein Postfix (Version 2.11.0-1ubuntu) laufen und da ging von einem Konto dessen Passwort gehackt wurde am 5. März um 14:20 etwa massenweise Spam raus.
> Der Spuk dauerte ca. eine halbe Stunde, bis ich es gemerkt hatte, da waren aber wohl schon zigtausend Spammails rausgegangen, mit der Folge, dass GMX unseren Server geblacklistet hat.
>
> 1. wie krieg ich unseren Server aus der Blacklist von GMX raus? Ich hab da schon über so ein Kontaktformular hingeschrieben, aber keine Antwort gekriegt und noch ist er gelistet. Muss ich einfach warten?  Der Fehler ist ja erst mal behoben.

Kann schon sein dass es mal eine Woche dauert, ansonsten immer wieder
schreiben ,mehr bleibt nicht

> 2. wie kann ich solche Massen an Mails auf ein Mal von vorne herein verhindern, da gibt es doch sicher eine Einstellung, oder? Das braucht doch keiner.

eigentlich geht es darum den Hack zu verhindern bzw zu erkennen ( hoeh
Kunst ), ansonsten kannst du eigentlich nur die Auslieferung aller Mails
verzoegern oder eine Quota bei der Einlieferung einfuehren, alles
Kruecken die meist irgendwann Aerger verursachen, eine einfach Variante
waehre wohl eine Alarming auf die Anzahl der Mails in der Warteschleife
zu setzen, das setzt aber dann auch voraus das du sehr schnell reagieren
kannst.

>
>
> Danke
>
> Gruß frank Walter
>



Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm

> Am 11.03.2017 um 17:38 schrieb Robert Schetterer <[hidden email]>:
>
> Kann schon sein dass es mal eine Woche dauert, ansonsten immer wieder
> schreiben ,mehr bleibt nicht

Dann ist noch ein großes Problem, das ich nicht verstehe: Heute, etwa 5 Tage nach dem Befall, kommt erst eine Meldung von Mailer Daemon, dass  GMX ein Mail vom 6. März, einen Tag nach dem Befall, abgelehnt hatte:

… status=deferred (host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx106) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=37.120.188.94&c=bip) …

5 Tage später! Warum so eine Verzögerung? So merken die Benutzer ja lange gar nicht, dass ihre Mails an GMX gar nicht ankommen.
Das mail.log hat über 500 MB (wg. der vielen Spammails) kann es daran liegen?



Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Robert Schetterer-2
Am 11.03.2017 um 23:20 schrieb Frank Röhm:

>
>> Am 11.03.2017 um 17:38 schrieb Robert Schetterer <[hidden email]>:
>>
>> Kann schon sein dass es mal eine Woche dauert, ansonsten immer wieder
>> schreiben ,mehr bleibt nicht
>
> Dann ist noch ein großes Problem, das ich nicht verstehe: Heute, etwa 5 Tage nach dem Befall, kommt erst eine Meldung von Mailer Daemon, dass  GMX ein Mail vom 6. März, einen Tag nach dem Befall, abgelehnt hatte:
>
> … status=deferred (host mx01.emig.gmx.net[212.227.17.5] refused to talk to me: 554-gmx.net (mxgmx106) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.gmx.com/en/error-messages?ip=37.120.188.94&c=bip) …
>
> 5 Tage später! Warum so eine Verzögerung? So merken die Benutzer ja lange gar nicht, dass ihre Mails an GMX gar nicht ankommen.
> Das mail.log hat über 500 MB (wg. der vielen Spammails) kann es daran liegen?
>
>
>

sehr wahrscheinlich lag die Mail 5 Tage lang in einer Warteschlange,
denn 5 Tage sind die Standard Einstellung. Fuer gewoehnlich kann man
grosse Mengen Mails gar nicht so schnell loswerden an grosse
Mailprovider ( ausser man nutzt ein paar Tricks ), wenn du das genau
wissen willst musst du dein log sichten. Mail ist kein Real Zeit Medium
,5 Tage Verzoegerung sind technisch noch ok. Ich gebe zu, die
Erwartungshaltung ist eine andere.


Best Regards
MfG Robert Schetterer

--
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Schleißheimer Straße 26/MG, 80333 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Marc Schiffbauer
Aufsichtsratsvorsitzender: Florian Kirstein
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm


Am 12. März 2017 09:33:57 MEZ schrieb Robert Schetterer <[hidden email]>:>sehr wahrscheinlich lag die Mail 5 Tage lang in einer Warteschlange,

>denn 5 Tage sind die Standard Einstellung. Fuer gewoehnlich kann man
>grosse Mengen Mails gar nicht so schnell loswerden an grosse
>Mailprovider ( ausser man nutzt ein paar Tricks ), wenn du das genau
>wissen willst musst du dein log sichten. Mail ist kein Real Zeit Medium
>,5 Tage Verzoegerung sind technisch noch ok. Ich gebe zu, die
>Erwartungshaltung ist eine andere.
>
>
>Best Regards
>MfG Robert Schetterer

Danke!
Tatsächlich lag es wohl irgendwo.
Jetzt kommt die Fehlermeldung von meinem Server nämlich sofort, wenn ich versuche was an GMX zu senden. Also ist auch immer noch gelistet.
Mist, Mist, Mist.
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Philipp Resch


Am 12.03.2017 um 10:31 schrieb Frank Röhm:
> Danke!
> Tatsächlich lag es wohl irgendwo.
> Jetzt kommt die Fehlermeldung von meinem Server nämlich sofort, wenn ich versuche was an GMX zu senden. Also ist auch immer noch gelistet.
> Mist, Mist, Mist.
Als "Workaround" bis deine IP wieder freigegeben ist könntest du die Mails
an GMX erstmal über ein anderes Relay (Mailgun, Sendgrid,...)
rausschicken - sofern du nicht
Massen verschickst sollten die 10000 freien Mails im Monat über Mailgun
ja dicke reichen...

Gruß
Philipp
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm

> Am 13.03.2017 um 09:58 schrieb Philipp Resch <[hidden email]>:
>
>
>
> Am 12.03.2017 um 10:31 schrieb Frank Röhm:
>> Danke!
>> Tatsächlich lag es wohl irgendwo.
>> Jetzt kommt die Fehlermeldung von meinem Server nämlich sofort, wenn ich versuche was an GMX zu senden. Also ist auch immer noch gelistet.
>> Mist, Mist, Mist.
> Als "Workaround" bis deine IP wieder freigegeben ist könntest du die Mails
> an GMX erstmal über ein anderes Relay (Mailgun, Sendgrid,...)
> rausschicken - sofern du nicht
> Massen verschickst sollten die 10000 freien Mails im Monat über Mailgun
> ja dicke reichen…

Kann ich das Filtern? Also nur Mails an GMX laufen über ein Relay? Wie geht das?

Im Übrigen kommen jetzt wieder keine Fehlermeldungen, wenn die Mails abgelehnt werden, ich weiß nicht was das ist. Man man man.
In der Queue hängen ca. 30 Mails an GMX und auch WEB.de die nicht angenommen werden aber meine Kunden wissen davon nichts :(
Ich musste es ihnen manuell schreiben gestern, sehr unangenehm.

Gruß franc

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Philipp Resch


Am 13.03.2017 um 10:34 schrieb Frank Röhm:

>> Als "Workaround" bis deine IP wieder freigegeben ist könntest du die Mails
>> an GMX erstmal über ein anderes Relay (Mailgun, Sendgrid,...)
>> rausschicken - sofern du nicht
>> Massen verschickst sollten die 10000 freien Mails im Monat über Mailgun
>> ja dicke reichen…
> Kann ich das Filtern? Also nur Mails an GMX laufen über ein Relay? Wie geht das?
>
> Im Übrigen kommen jetzt wieder keine Fehlermeldungen, wenn die Mails abgelehnt werden, ich weiß nicht was das ist. Man man man.
> In der Queue hängen ca. 30 Mails an GMX und auch WEB.de die nicht angenommen werden aber meine Kunden wissen davon nichts :(
> Ich musste es ihnen manuell schreiben gestern, sehr unangenehm.
>
> Gruß franc
>
Das kannst du über die transport Datei machen, z.b.
gmx.de    smtp:[mailrelay.server]:25

Falls das Relay Authentifizierung benötigt geht das auch, über eine sasl
password map.
In der main.cf:
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

den Pfad zum sasl File festlegen. Dann diese Datei erstellen und einen
Eintrag in der Art
[mailrelay.server]      username:password
anlegen.

Gruß,
Philipp

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm


Am 13. März 2017 10:58:21 MEZ schrieb Philipp Resch <[hidden email]>:

>
>
>Am 13.03.2017 um 10:34 schrieb Frank Röhm:
>>> Als "Workaround" bis deine IP wieder freigegeben ist könntest du die
>Mails
>>> an GMX erstmal über ein anderes Relay (Mailgun, Sendgrid,...)
>>> rausschicken - sofern du nicht
>>> Massen verschickst sollten die 10000 freien Mails im Monat über
>Mailgun
>>> ja dicke reichen…
>> Kann ich das Filtern? Also nur Mails an GMX laufen über ein Relay?
>Wie geht das?
>>
>> Im Übrigen kommen jetzt wieder keine Fehlermeldungen, wenn die Mails
>abgelehnt werden, ich weiß nicht was das ist. Man man man.
>> In der Queue hängen ca. 30 Mails an GMX und auch WEB.de die nicht
>angenommen werden aber meine Kunden wissen davon nichts :(
>> Ich musste es ihnen manuell schreiben gestern, sehr unangenehm.
>>
>> Gruß franc
>>
>Das kannst du über die transport Datei machen, z.b.
>gmx.de    smtp:[mailrelay.server]:25
>
>Falls das Relay Authentifizierung benötigt geht das auch, über eine
>sasl
>password map.
>In der main.cf:
>smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
>
>den Pfad zum sasl File festlegen. Dann diese Datei erstellen und einen
>Eintrag in der Art
>[mailrelay.server]      username:password
>anlegen.
>
>Gruß,
>Philipp

Danke!

Uff!
GMX hat endlich auf eine meiner Anfragen reagiert, vorhin bekam ich das von der GMX Security:

"Dear Sirs,

thank you for your query.

We have received quite a high amount of emails from your mailserver that were classified as spam.

As a result, the IP has been blacklisted.

We have now delisted the IP however, please note that in case of recurrence, the IP might be blacklisted again.

Best regards,

Konrad Meier"
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm
In reply to this post by Robert Schetterer-2

> Am 11.03.2017 um 17:38 schrieb Robert Schetterer <[hidden email]>:
>
> Am 11.03.2017 um 13:52 schrieb Frank Röhm:
>> Hallo
>>
>> Ich hab auf meinem root Server (Ubuntu 14 LTS) ein Postfix (Version 2.11.0-1ubuntu) laufen und da ging von einem Konto dessen Passwort gehackt wurde am 5. März um 14:20 etwa massenweise Spam raus.
>> Der Spuk dauerte ca. eine halbe Stunde, bis ich es gemerkt hatte, da waren aber wohl schon zigtausend Spammails rausgegangen, mit der Folge, dass GMX unseren Server geblacklistet hat.
>>
>> 1. wie krieg ich unseren Server aus der Blacklist von GMX raus? Ich hab da schon über so ein Kontaktformular hingeschrieben, aber keine Antwort gekriegt und noch ist er gelistet. Muss ich einfach warten?  Der Fehler ist ja erst mal behoben.
>
> Kann schon sein dass es mal eine Woche dauert, ansonsten immer wieder
> schreiben ,mehr bleibt nicht
>
>> 2. wie kann ich solche Massen an Mails auf ein Mal von vorne herein verhindern, da gibt es doch sicher eine Einstellung, oder? Das braucht doch keiner.
>
> eigentlich geht es darum den Hack zu verhindern bzw zu erkennen ( hoeh
> Kunst ), ansonsten kannst du eigentlich nur die Auslieferung aller Mails
> verzoegern oder eine Quota bei der Einlieferung einfuehren, alles
> Kruecken die meist irgendwann Aerger verursachen, eine einfach Variante
> waehre wohl eine Alarming auf die Anzahl der Mails in der Warteschleife
> zu setzen, das setzt aber dann auch voraus das du sehr schnell reagieren
> kannst.


Mir kommt noch der Gedanke, dass es ja eigentlich schon erkennbar sein muss, wenn jemand versucht das Passwort zu erraten, also auszuprobieren, kann man das nicht einfach sperren?
Klassisch nach drei Fehlversuchen wird die IP geblockt oder so was?

Danke

franc
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Joachim Fahrner

Am 13.03.2017 um 18:20 schrieb Frank Röhm:
> Mir kommt noch der Gedanke, dass es ja eigentlich schon erkennbar sein
> muss, wenn jemand versucht das Passwort zu erraten, also
> auszuprobieren, kann man das nicht einfach sperren?
> Klassisch nach drei Fehlversuchen wird die IP geblockt oder so was?
>
> Danke
>
> franc

https://wiki.ubuntuusers.de/fail2ban/
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm

> Am 13.03.2017 um 18:44 schrieb J. Fahrner <[hidden email]>:
>
>
> Am 13.03.2017 um 18:20 schrieb Frank Röhm:
>> Mir kommt noch der Gedanke, dass es ja eigentlich schon erkennbar sein
>> muss, wenn jemand versucht das Passwort zu erraten, also
>> auszuprobieren, kann man das nicht einfach sperren?
>> Klassisch nach drei Fehlversuchen wird die IP geblockt oder so was?
>>
>> Danke
>>
>> franc
>
> https://wiki.ubuntuusers.de/fail2ban/

Ich hatte bei fail2ban (habe ich schon lange) die Postfix Regel aber schon drin:

[postfix]

enabled  = true
port     = smtp,ssmtp,submission
filter   = postfix
logpath  = /var/log/mail.log


allerdings ohne maxretry, das habe ich jetzt mal auf 20 gestellt, also

maxretry = 20

werde ich testen…

Danke.





Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Andreas Ziegler-2

Frank Röhm schrieb am 13.03.2017 um 22:55:

> Ich hatte bei fail2ban (habe ich schon lange) die Postfix Regel aber schon drin:
>
> [postfix]
>
> enabled  = true
> port     = smtp,ssmtp,submission
> filter   = postfix
> logpath  = /var/log/mail.log
>
>
> allerdings ohne maxretry, das habe ich jetzt mal auf 20 gestellt, also

wenn es nicht explizit gesetzt war, war es dennoch mit dem default Wert
aktiv.

Grüße

Andreas
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm
In reply to this post by Frank Röhm

> Am 13.03.2017 um 13:32 schrieb Frank Röhm <[hidden email]>:
> ...
> …
>  
>
> Uff!
> GMX hat endlich auf eine meiner Anfragen reagiert, vorhin bekam ich das von der GMX Security:
>
> "Dear Sirs,
>
> thank you for your query.
>
> We have received quite a high amount of emails from your mailserver that were classified as spam.
>
> As a result, the IP has been blacklisted.
>
> We have now delisted the IP however, please note that in case of recurrence, the IP might be blacklisted again.
>
> Best regards,
>
> Konrad Meier"


Au weh!
Jetzt ist unser Server mit seiner IP anscheinend bei Gmail geblockt.
Ich habe etwas gesucht und doch tatsächlich auch ein Formularautomat gefunden, wo ich einiges an Informationen eintragen musste/konnte:

https://support.google.com/mail/contact/msgdelivery

Ich schrieb u.a.:

> Hallo, two weeks ago an account of our server was hacked and has sent many spam mails. I discovered this abuse only hours ago and stopped it.
> But it seems that Gmail has put our servers IP (37.120.188.94) on a Blacklist.
> Our issue is solved two weeks ago, could you remove us from your blacklist? Thank you.
> It seems that our IP is blocked and not only domain names. We have several domains under one IP, all seem blocked.

Mal sehen, ob das auch wieder so lange dauert...


Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm
In reply to this post by Florian Pritz

> Am 11.03.2017 um 17:27 schrieb Florian Pritz <[hidden email]>:
>
> On 11.03.2017 13:52, Frank Röhm wrote:
>> 2. wie kann ich solche Massen an Mails auf ein Mal von vorne herein verhindern, da gibt es doch sicher eine Einstellung, oder? Das braucht doch keiner.
>
> https://listi.jpberlin.de/pipermail/postfixbuch-users/2013-November/061284.html
>
> Florian
>

Ich habe jetzt etwas mit postfwd rum experimentiert, jedes Mal wenn ich eine Einstellung versucht habe, gingen erst mal gar keine Mails mehr rein.
Ich habe ja auch greylist und da schon eine Regel dafür drin im main.cf:

   smtpd_recipient_restrictions =
   ...
       check_policy_service inet:127.0.0.1:60000,
   …

Da rein kann ich also die Regel:

   check_policy_service inet:127.0.0.1:10045,

nicht setzen, das würde einfach die Regel für greylist überschreiben, dann gäbe es kein greylist mehr :(
Daher habe ich nach etwas Suchen aber auch nur eine Anleitung gefunden für greylist und postfwd gemeinsam:

http://www.synology-forum.de/showthread.html?10386-Postgrey-und-Postfwd-auf-der-DS/page2

wo man das für greylist auslagert:

   smtpd_restriction_classes = greylist
      greylist = check_policy_service inet:127.0.0.1:60000

Das wirft dann aber die Warnung:

   warning: unknown smtpd restriction: "smtpd_restriction_classes"

und keine Mails kommen mehr an, liegt wohl daran.

Ist die Konfiguration denn so ungewöhnlich, dass man greylist _und_ postfwd gemeinsam verwendet?
Ich muss das Problem lösen, immer noch sind wir bei Google anscheinend geblacklistet, trotz abgeschicktem Formular :(

Danke

franc





signature.asc (858 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Joachim Fahrner
Am 2017-03-23 10:10, schrieb Frank Röhm:
>    smtpd_restriction_classes = greylist
>       greylist = check_policy_service inet:127.0.0.1:60000
>
> Das wirft dann aber die Warnung:
>
>    warning: unknown smtpd restriction: "smtpd_restriction_classes"


Prüf mal deine Einrückungen. Beide Zeilen dürfen nicht eingerückt sein.

Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm

> Am 23.03.2017 um 10:54 schrieb Joachim Fahrner <[hidden email]>:
>
> Am 2017-03-23 10:10, schrieb Frank Röhm:
>>   smtpd_restriction_classes = greylist
>>      greylist = check_policy_service inet:127.0.0.1:60000
>> Das wirft dann aber die Warnung:
>>   warning: unknown smtpd restriction: "smtpd_restriction_classes"
>
>
> Prüf mal deine Einrückungen. Beide Zeilen dürfen nicht eingerückt sein.
>

Ja, das war es wohl! Danke!
Jetzt hab ich:

smtpd_recipient_restrictions =
 reject_unknown_sender_domain,
 reject_unknown_recipient_domain,
    permit_mynetworks,
 reject_unlisted_recipient,
 reject_non_fqdn_sender,
 reject_non_fqdn_recipient,
 reject_unlisted_sender,
    permit_sasl_authenticated,
    reject_unauth_destination,
 reject_invalid_helo_hostname,
 reject_non_fqdn_helo_hostname,
 reject_unknown_client_hostname,
 reject_unknown_helo_hostname,
    check_recipient_access hash:/etc/postfix/roleaccount_exceptions,
    check_client_access hash:/etc/postfix/rbl_client_exceptions,
    check_policy_service inet:127.0.0.1:10040,
 reject_rbl_client zen.spamhaus.org

smtpd_restriction_classes = greylist
greylist = check_policy_service inet:127.0.0.1:60000

und damit geht es. Ich hatte aber noch an anderer Stelle Fehler, nämlich habe ich postfwd über aptitude installiert und die Konfig des Startskripts in:

/etc/default/postfwd

musste ich erst richtig einstellen, dann lief es erst.

Danke

Gruß franc




Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Frank Röhm
In reply to this post by Andreas Ziegler-2

> Am 14.03.2017 um 00:44 schrieb Andreas Ziegler <[hidden email]>:
>
>
> Frank Röhm schrieb am 13.03.2017 um 22:55:
>> Ich hatte bei fail2ban (habe ich schon lange) die Postfix Regel aber schon drin:
>>
>> [postfix]
>>
>> enabled  = true
>> port     = smtp,ssmtp,submission
>> filter   = postfix
>> logpath  = /var/log/mail.log
>>
>>
>> allerdings ohne maxretry, das habe ich jetzt mal auf 20 gestellt, also
>
> wenn es nicht explizit gesetzt war, war es dennoch mit dem default Wert
> aktiv.
>
> Grüße
>
> Andreas

mein fail2ban funktioniert gar nicht.
Habe gerade 35 x mit falschem Login versucht, in Serie, jedes Mal lese ich im mail.log brav etwa:

Mar 27 11:20:24 ew6 postfix/smtpd[4977]: warning: x590cf290.dyn.telefonica.de[89.12.242.144]: SASL PLAIN authentication failed: UGFzc3dvcmQ6

aber nichts wird gesperrt.
Mist. Das muss natürlich gehen.


franc


Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Spam über ein Maillkonto - bei GMX geblacklistet

Joachim Fahrner
Am 2017-03-27 11:28, schrieb Frank Röhm:

>>> [postfix]
>>>
>>> enabled  = true
>>> port     = smtp,ssmtp,submission
>>> filter   = postfix
>>> logpath  = /var/log/mail.log
> Mar 27 11:20:24 ew6 postfix/smtpd[4977]: warning:
> x590cf290.dyn.telefonica.de[89.12.242.144]: SASL PLAIN authentication
> failed: UGFzc3dvcmQ6
>
> aber nichts wird gesperrt.

Falsches jail. Für SASL ist das Jail sasl zuständig.

[sasl]

enabled  = true
port     = smtp,ssmtp,submission,imap2,imap3,imaps,pop3,pop3s
filter   = postfix-sasl
# You might consider monitoring /var/log/mail.warn instead if you are
# running postfix since it would provide the same log lines at the
# "warn" level but overall at the smaller filesize.
logpath  = /var/log/mail.log

12
Loading...