Bumbum 11 Geschrieben 6. Oktober 2012 Melden Teilen Geschrieben 6. Oktober 2012 Hallo, ich vermute dieses Thema wurde schon öfters diskutiert, ich habe aber auf die Schnelle mit der Suchfunktion leider keinen passenden Treffer finden können. Wir nutzen einen SBS2003 mit Exchange und direkter Zustellung via MX-Einträge. Seit Mittwoch erhalten wir sehr viel weniger Mails. Meine Nachforschungen haben ergeben, dass wir seit diesem Tag auf einer Blacklist stehen. (blackscatterer.org) Der Grund ist, dass wir angeblich Spam versendet haben. Hier mal die Meldung des Blacklisters: Testresult for 217.86.xxx.xxx: This IP IS CURRENTLY LISTED in our Database. Please note that this listing does NOT mean you are a spammer, it means your mailsystem is either poorly configured or it is using abusive techniques. This kind of abuse is known as BACKSCATTER (Misdirected Bounces or Misdirected Autoresponders or Sender Callouts). Click the links above to get clue how and why to stop that kind of abuse. To track down what happened investigate your smtplogs near 26.09.2012 06:34 CEST +/-1 minute. You will either find that your system tried to send misdirected bounces or misdirected autoresponders to claimed but in reality faked senders, or your system tried sender verify callouts against our members near that time. So you should look for outgoing emails that have a NULL SENDER or POSTMASTER in MAIL FROM. Reading your logs carefully it shouldn't be a big deal to figure out what caused or renewed your listing. History: 16.08.2012 09:35 CEST listed 13.09.2012 10:25 CEST expired 26.09.2012 06:34 CEST listed A total of 1 Impacts were detected during this listing. Last was 26.09.2012 06:34 CEST +/- 1 minute. Earliest date this IP can expire is 24.10.2012 06:34 CEST. Zitieren Link zu diesem Kommentar
Bumbum 11 Geschrieben 6. Oktober 2012 Autor Melden Teilen Geschrieben 6. Oktober 2012 Warum wird dann eigentlich auch unser Mail-Empfang blockiert? Ich habe die SMTP-Logs von der genannten Uhrzeit (CEST bedeutet doch +3 Stunden in Deutschland oder) durchgeschaut: 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 220+mx.fakemx.net+ESMTP+Service+Ready 0 0 37 0 63 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionCommand SMTPSVC1 SERVER1 - 25 EHLO - FIRMA.de 0 0 4 0 63 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 250+OK 0 0 6 0 125 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionCommand SMTPSVC1 SERVER1 - 25 MAIL - FROM:<> 0 0 4 0 125 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 250+OK 0 0 6 0 188 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionCommand SMTPSVC1 SERVER1 - 25 RCPT - TO:<tcqilwybuwm@expert-sneic.com> 0 0 4 0 188 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 451+Try+again+later 0 0 19 0 250 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionCommand SMTPSVC1 SERVER1 - 25 RSET - - 0 0 4 0 250 SMTP - - - - 2012-09-26 10:32:42 176.9.102.185 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 250+OK 0 0 6 0 313 SMTP - - - - 2012-09-26 10:32:42 5.9.56.252 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 421+mx.fakemx.net+Service+Unavailable 0 0 37 0 63 SMTP - - - - 2012-09-26 10:32:42 92.48.126.227 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 421+mx.fakemx.net+Service+Unavailable 0 0 37 0 78 SMTP - - - - 2012-09-26 10:32:42 46.4.167.9 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 421+mx.fakemx.net+Service+Unavailable 0 0 37 0 62 SMTP - - - - 2012-09-26 10:32:42 46.4.167.9 OutboundConnectionCommand SMTPSVC1 SERVER1 - 25 QUIT - - 0 0 4 0 78 SMTP - - - - 2012-09-26 10:35:15 117.211.83.34 - SMTPSVC1 SERVER1 192.168.1.249 0 QUIT - - 240 0 173 4 0 SMTP - - - - 2012-09-26 10:36:01 122.252.233.72 - SMTPSVC1 SERVER1 192.168.1.249 0 QUIT - - 240 0 286 4 0 SMTP - - - - 2012-09-26 10:37:05 72.167.238.201 OutboundConnectionResponse SMTPSVC1 SERVER1 - 25 - - 554-p3pismtp01-054.prod.phx3.secureserver.net 0 0 45 0 4438 SMTP - - - - 2012-09-26 10:39:32 81.4.68.225 da284.proserve.nl SMTPSVC1 SERVER1 192.168.1.249 0 EHLO - +da284.proserve.nl 250 0 325 22 0 SMTP - - - - 2012-09-26 10:39:32 81.4.68.225 da284.proserve.nl SMTPSVC1 SERVER1 192.168.1.249 0 STARTTLS - - 220 0 0 8 0 SMTP - - - - 2012-09-26 10:39:32 81.4.68.225 da284.proserve.nl SMTPSVC1 SERVER1 192.168.1.249 0 STARTTLS - - 220 0 29 8 0 SMTP - - - - 2012-09-26 10:39:32 81.4.68.225 da284.proserve.nl SMTPSVC1 SERVER1 192.168.1.249 0 STARTTLS - da284.proserve.nl 503 997 29 8 78 SMTP - - - - 2012-09-26 10:39:32 81.4.68.225 da284.proserve.nl SMTPSVC1 SERVER1 192.168.1.249 Was auffällt sind die vielen Einträge OutboundConnectionResponse. Norbert hat hier in einem anderen Thema darüber geschrieben, dass ein dies NDR-Spam sein könnte. Ich habe mir auch mal die Einstellungen des virtuellen Standardservers angesehen, und dort war unter Verbindungskontrolle konfiguriert, dass er von allen Computern Mails annehmen soll. Dies habe ich jetzt erst mal auf unser Firmeninternes Subnetz beschränkt. Kann dies der Grund gewesen sein, oder muss ich noch in andere Richtungen suchen? Als Relay war nur der Server selbst eingetragen (192.168.1.249 und 127.0.0.1) Viele Grüße Andreas Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 6. Oktober 2012 Melden Teilen Geschrieben 6. Oktober 2012 Warum wird dann eigentlich auch unser Mail-Empfang blockiert? Mit Sicherheit nicht. Kein Absender frägt nach ob der Empfänger auf einer Blacklist steht. Was auffällt sind die vielen Einträge OutboundConnectionResponse. Norbert hat hier in einem anderen Thema darüber geschrieben, dass ein dies NDR-Spam sein könnte. Das wird es auch sein, und deshalb steht ja euer Server auf der Blacklist. Steht ja aber auch im Text, denn du gepostet hast. Backscatter bekommt man mit Boardmitteln nicht in den Griff. Dies können dzt. nur meines Wissens nach 2 Produkte - XWALL von DataEnter's Utilites for Microsoft Exchange und wenn mich nicht alles täuscht auch ORF 5 von Vamsoft - The new ORF 5. Simply different. LG Günther Zitieren Link zu diesem Kommentar
Bumbum 11 Geschrieben 6. Oktober 2012 Autor Melden Teilen Geschrieben 6. Oktober 2012 Hallo Günther, Mit Sicherheit nicht. Kein Absender frägt nach ob der Empfänger auf einer Blacklist steht. Das ist schlecht, dann haben wir seit Mittwoch zwei zeitgleiche Probleme. Es sind z.B. alle Mails, die von 1&1-Accounts versendet werden betroffen. Seltsamerweise zum gleichen Zeitpunkt, wie wir auf die Blacklist gekommen sind. Backscatter bekommt man mit Boardmitteln nicht in den Griff... The new ORF 5. Simply different. Den schaue ich mir gerade genauer an. Diesen Filter wollte ich wegen eines anderen Problems eh mal installieren. Viele Grüße Andreas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.