Unregelmäßig bei spamrl.com gelistet

classic Classic list List threaded Threaded
2 messages Options
Reply | Threaded
Open this post in threaded view
|

Unregelmäßig bei spamrl.com gelistet

Claas Goltz
Hallo Kollegen,

ich habe hin und wieder, vielleicht einmal im Monat, das Problem, dass
ein bestimmter MX Server von uns bei spamrl.com mit folgender Begründung
gelistet ist:

"(..) said: 550 The sending IP (x.x.x.x) is listed on https://spamrl.com 
as a source of dictionary attacks. (in reply to end of DATA command)) (...)"

Prüfe ich zu dem fraglichen Zeitpunkt mit diversen blacklist checker, ob
wir irgendwo sonst gelistet sind, ist das nie der Fall. Es ist also
ausschließlich spamrl.com.
Meine anderen MX'e sind nicht betroffen. Es ist immer der eine. Ich kann
mir da keinen Reim 'draus machen. Ich sehe keine verdächtigen Prozesse.

Habt ihr einen Tipp für mich, wie ich der Sache auf den Grund gehen kann?

Auf dem Server läuft ein Deb 9.5 mit Postfix 3.1.8 und Amavis 2.10. Ich
lasse auch outbound Mails checken.

Danke und Viele Grüße!


#postconf -n (ist auf den anderen MX Server auch aktiv)

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
bounce_queue_lifetime = 3d
check_greylist = check_policy_service inet:127.0.0.1:10023
compatibility_level = 2
delay_warning_time = 4h
header_checks = regexp:/etc/postfix/header_checks
inet_interfaces = all
insiders_only = check_sender_access hash:/etc/postfix/insiders, reject
maximal_queue_lifetime = 3d
message_size_limit = 41943040
mydestination = fqdn, localhost.domain, localhost
myhostname = fqdn
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 (...)
myorigin = fqdn
readme_directory = no
relay_domains = hash:/etc/postfix/relay_domains,
smtp_helo_name = fqdn
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_cert_file = $smtpd_tls_cert_file
smtp_tls_key_file = $smtpd_tls_key_file
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtpd_banner = fqdn ESMTP $mail_name
smtpd_helo_required = yes
smtpd_recipient_restrictions = check_recipient_access
hash:/etc/postfix/access_recipient, check_client_access
cidr:/etc/postfix/access_client, check_helo_access
hash:/etc/postfix/access_helo, check_sender_access
hash:/etc/postfix/access_sender, check_recipient_access
hash:/etc/postfix/protected_destinations reject_non_fqdn_sender,
reject_non_fqdn_recipient, reject_unknown_sender_domain,
reject_unknown_recipient_domain, reject_invalid_hostname,
permit_sasl_authenticated, permit_mynetworks, reject_rbl_client
zen.spamhaus.org, reject_rbl_client ix.dnsbl.manitu.net,
check_policy_service inet:127.0.0.1:12525 check_client_access
regexp:/etc/postfix/check_client_greylist reject_unverified_recipient,
permit_mx_backup, reject_unauth_destination, permit
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
defer_unauth_destination
smtpd_restriction_classes = check_greylist, insiders_only
smtpd_sasl_auth_enable = no
smtpd_tls_cert_file = /etc/ssl/wildcard/fullchain.pem
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/postfix/dh_512.pem
smtpd_tls_eecdh_grade = strong
smtpd_tls_key_file = /etc/ssl/wildcard/fqdn.key
smtpd_tls_loglevel = 1
smtpd_tls_security_level = may
strict_rfc821_envelopes = yes
tls_preempt_cipherlist = yes
transport_maps = hash:/etc/postfix/transport_maps, $relay_domains
unverified_recipient_reject_code = 599


--
Claas Goltz

IT-Systemadministrator

CONTACT Software GmbH
Wiener Straße 1–3, 28359 Bremen, Germany
T +49 421 20153-27
F +49 421 20153-41

mailto:[hidden email]
www.contact-software.com

Registered office: Bremen, Germany
Managing directors: Karl Heinz Zachries, Ralf Holtgrefe
Court of register: Amtsgericht Bremen HRB 13215

Reply | Threaded
Open this post in threaded view
|

Re: [ext] Unregelmäßig bei spamrl.com gelistet

Ralf Hildebrandt
* Claas Goltz <[hidden email]>:
> Hallo Kollegen,
>
> ich habe hin und wieder, vielleicht einmal im Monat, das Problem, dass ein
> bestimmter MX Server von uns bei spamrl.com mit folgender Begründung
> gelistet ist:
>
> "(..) said: 550 The sending IP (x.x.x.x) is listed on https://spamrl.com as
> a source of dictionary attacks. (in reply to end of DATA command)) (...)"

dictionary attacks, also viel Emails an (unbekannte) Adressen.

> Prüfe ich zu dem fraglichen Zeitpunkt mit diversen blacklist checker, ob wir
> irgendwo sonst gelistet sind, ist das nie der Fall. Es ist also
> ausschließlich spamrl.com.

Jede  Liste hat ihre eigenen Aufnahmekriterien.

> Meine anderen MX'e sind nicht betroffen. Es ist immer der eine. Ich kann mir
> da keinen Reim 'draus machen. Ich sehe keine verdächtigen Prozesse.

Für mich klingt das eher so, als würde von dem einen Host viel
gesendet werden.

> Habt ihr einen Tipp für mich, wie ich der Sache auf den Grund gehen kann?

Mails suchen mit "status=bounced" und nachsehen, ob viele Mails an
unbekannte Adressen gesendet wurden.

http://postfix.1071664.n5.nabble.com/Spamrl-com-RBL-problem-td84686.html-- 

Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  [hidden email] | https://www.charite.de