Immer wieder in der CBL

BDHServer

New Member
Hallo,

ich habe da mal eine Frage, andauernd lande ich aud der CBL wegen meinen emails.

[FONT=Verdana, Arial, Helvetica]IP Address 213.133.*.* is currently listed in the CBL.( die sterne stehen für den rest der IP)
Ich habe heute alle möglichen leute, die es sein könnten die email gelöscht, jetzt haben nur noch 2 leute zugang zur mail adressen.
ein mail relay test habe ich auch gemacht, alles ok..
nun verstehe ich nicht, was es noch sein könnte, kann mir da einer helfen?

[/FONT]
 

Till

Administrator
Das Relaying von spam emails geschieht heute mesitens durch Sicherheitslücken in Web Applikationen, Kontaktformularen und CMS Systemen. Am Besten Du aktualisierts mal alle CMS auf Deinem Server, insbesondere Joomla, falls Du es einsetzt.
 

cokotech

Member
Aber in welchem Log kann man denn nun sehen was wohin geschickt wird. Es müssen demzufolge ja mehr als mal eine Mail sein, die zu dem eintrag führt.


Gruß Sven
 

cokotech

Member
Hmmm, da steht bei ihm aber nix auffälliges drin. Als ich das Problem mal hatte da konnte man es recht schnell in der log erkennen!


Gruß Sven!
 

Till

Administrator
Du kannst sonst auch mal mit postqueue nachsehen, ob viele Mails in der Queue stehen. bei spam Attacken sind meist viele nicht zustellbare Mails dabei und die stehen danach noch Tagelang in der queue.
 

cokotech

Member
Hallo mal wieder!

Ne, also in der Queue sind zwar 64 Nachrichten, diese sind aber augenscheinlich gewollt und liegen da, weil die aufgrund der IP Sperre nicht zugestellt werden können. Wenn man die Löschung beantragt landet man aber kurze Zeit später wieder auf der Liste.


Gruß Sven!
 

Till

Administrator
Ok, wenn Du nach der Sperrung wieder auf der Blacklist gelandet bist, dann muss noch immer jemand spam über den Server verschicken. Da hilft nur durchsehen des mail.log, es muss irgend was dazu drin stehen. Meistens setzen die spammer ein paar Tausend mails innerhalb sehr kurzre Seit ab, es müssen also auf einmal sehr viele Einträge pro Minute im mail.log ein und dann muss man den Anfang dieses "Bursts" suchen und sehen ob sich der jenige über einen Account authentifiziert hat.

Ich gehe mal davon aus dass Du Deinen Server schon mit einem der im Internet verfügbaren relay tests untersucht hast, dass er kein offenes Relay ist?
 

cokotech

Member
Ja natürlich, relayen tut er nicht. Und beim besten willen, wir hatten die maillogs durch. Es ist absolut nichts verdächtiges darin. Es werden da mails verschickt für die Anmeldungen im Forum und für ein Spiel, aber es gibt keine Auffälligkeiten wie mehrere tausend Mails mit sehr ominösen Empfängern (so war es bei mir damals).


Gruß Sven!
 

Till

Administrator
Wenn dort hauptsächlich ein Forum läuft und Anmeldungen für ein Spiel, dann resultiert das Problem vermutlich einfach daraus dass Spammer sich im Forum mit falschen Emailadressen anmelden und dann z.B. automatische bestätigungsmails an irgendwelche Accounts gesendet werden und der Server daher als spam Versender gelistet wird. Dagegen machen kann man leider nicht allzu viel.
 

cokotech

Member
Naja, aber es sind nicht wirklich viele Nachrichten die darüber laufen. Ich meine was sind denn die Anhaltspunkte dafür das man da drauf landet?
Das blöde ist halt, das man nun gar keine Mail mehr raussbekommt bei den meisten großen Providern. Im Spam landen ist ja das eine, aber gleich beim Helo abgewiesen zu werden das andere!


Gruß Sven!
 

Werbung

Top