Plötzlich bei ORDB.ORG gelistet!

[mcdaniels 33]

Hi Leute!

Mit schrecken hab ich heute festgestellt , dass mein Server (Mailserver) bei ordb.org also open relay gelistet ist!

 

Nach genauerer Betrachtung hat er eigentlich alle Mails als SPAM klassifiziert (hier wurde nämlich von ordb.org ein test durchgeführt...) bis auf ein Mail das wie folgt aufgebaut war

 

test%test.ordb.org@meinedomäne.at

 

In meiner Logdatei sehe ich die ganzen Tests- > wie gesagt alle geblockt und als spam abgewiesen bis auf die Mail mit dieser Absenderkennung (steht im Mailheader als for: test%test.ordb.org@meinedomäne.at)

 

Kann sich das jemand erklären bzw. mir das erklären.

 

Was hat denn eigentlich das Prozentzeichen zu sagen???

 

Hoffe auf baldige Hilfe (mir is dabei ned gerade sehr wohl...) ;)

[edv-olaf 10]

Hallo,

 

was dort durchgeführt wurde ist kein Spam-Test sondern ein Relay-Test. Dein Mailserver erlaubt die Versendung von Mails durch Dritte an Personen, die nicht in deiner Domäne sind, dies nennt sich ein offener Mail-Relay. Hiermit können Spamer zehntausende von Mails unbemerkt durch euren Mailserver versenden (pro Stunde versteht sich).

 

Deshalb ist der Server auf einer Blacklist gelandet. Du solltest dringendst die Konfiguration auf erlaubtes Relaying hin untersuchen und dies abstellen.

 

Grüße

Olaf

[mcdaniels 33]

Hi Olaf!

Also ich versuch das grade von zu Hause aus. D.h. als mailserver hab ich meinen Firmenserver eingegeben (als postausgang) Dann hab ich ne gefakte mailaddy mit @firmenadresse.at als von angegeben und als an Adresse hab ich meine Adresse zu Hause angegeben..

 

D.h. von der Logik her versende ich über meinen Firmenserver eine Mail an eine dritte Person also mich privat. Das is der Sinn des Relay soweit ich das weiß (Spam war vorhin falsch ausgedrückt, da meine Mailwall alles in der Richtung als Spam Relay einreiht)

 

Ich erhalte sofort nach dem SENDEN die Meldung "Spam Relay detectet - > also Mail abgewiesen...."

 

Ich versteh allerdings nicht warum die Mailadresse von ordb durchgekommen ist.

 

Wie gesagt im Header sehe ich noch folgendes:

 

Return-Path: <spamtest@meinedomäne.at>

X-Original-To: name@name.ordb.org

Delivered-To: name@bockscar.ordb.org

Received: from meinmailserver (meinmailserver [meineip])

by bockscar.ordb.org (Postfix) with ESMTP id xxxxxxxxxx

for <name@name.ordb.org>; Sat, 9 Jul 2005 10:24:49 +0000 (GMT)

Received: from meinmailserver ([meineip]) by meinmailserver

(MeinMTA)

ID# xxxxxxxxxxxx) with SMTP id xxxxxx

for <name%name.ordb.org@meinedomäne>;

Sat, 9 Jul 2005 12:27:05 +0200

Received: From localhost.localdomain ([fremde offizielle ip]) by meinmailserver (MeineMailwall);

id 1120904824806; Sat, 9 Jul 2005 12:27:04 +0200

From: spamtest@meinedomäne.at

To: name%name.ordb.org@meinedomäne.at

X-ORDB-Envelope-From: spamtest@meinedomäne.at

X-ORDB-Envelope-To: name%name.ordb.org@meinedomäne.at

Subject: ORDB.org check (0.7179205226503170.6701688461) ip=meineip

Message-Id: <20050709102449.9772854D1@bockscar.ordb.org>

Date: Sat, 9 Jul 2005 10:24:49 +0000 (GMT)

 

Olaf, was würdest du hier dazu sagen.

 

Für mich sieht das so aus (wenn ich es richtig interpretiere) dass er

 

1. Eine Von Adresse mit meiner Domäne verwendet hätte (die bei mir nicht angelegt ist)

2. Weiss ich nicht was das mit dem % Zeichen soll. Wird das nicht automatisch abgeschnitten Ich meine alles was nach dem % steht?

3. X-Original-To: name@name.ordb.org bedeutet , dass die Mail eigentlich dorthin gehen soll und die eigentliche to Adresse (spamtest@meinedomäne.at) nur als Trittbrett diente?

 

Allerdings wäre das ja wiederum eindeutig ein Sendeversuch über meinen Server mit einer fremden Mailaddi an eine Fremde Mailaddi und das blockt der Server aber... !

 

Gerade probiert von daheim -> bekomme sofort Ne SPAM RELAY Fehlermeldung und kann das Mail ned schicken.

 

Hat der Herr vorn ordb hier etwas "Besonderes" gemacht?!

Ganz sehe ich mich hier noch nicht raus....

[mcdaniels 33]

Hi again!

So nach langem herumprobieren bin ich jetzt mal dahinter gekommen welches System hier verfolgt wird beim Test ... es dürfte dieses hier sein:

 

Sender address uses local hostname and recipient uses percent hack with domain literal

 

mail from: <test@your.local.foo>

rcpt to: <nobody%third-party.bar@[mailserver]>

 

Die Frage bleibt allerdings wie abdrehen?! ;)

[xtragood 10]

Hallo mcdaniels,

 

ich wiederhole nochmal die Bemerkung meines Vorposters:

 

Du solltest das Relaying im Exchange Systemmanager abschalten?

 

 

Gruß, xtra.

[edv-olaf 10]

Die Frage bleibt allerdings wie abdrehen?! ;)

Antwort:

http://www.google.de/search?q=mail+relay+exchange

 

Das Problem hast du ja bereits korrekt herausgearbeitet und eingegrenzt ;)

 

Grüße

Olaf

[mcdaniels 33]

Hi Leute!

Danke für die Antworten. Es gibt aber leider einen Haken bei der Story... Wir haben kein Exchange... ;) sondern Post.office -> wird wahrscheinlich keiner mehr kennen und Webshield SMTP von Mcafee...

[mcdaniels 33]

So!

Wie es aussieht hab ichs jetzt geschafft und er nimmt keine Relays mit diesem percent hack mehr an. Sozusagen allerdings erst in zweiter Instanz. (Nicht das Webshield blockt) sondern mein MTA und retourniert die Mail mit Fehlermeldung.

 

Ich hoffe es passt den ordb.org folks ;) Na schau ma mal...

 

Interessantes Detail am Rande. Der Server hat grundsätzlich bereits vorher x verschiedenen Online Relay Tests ohne Probleme Stand gehalten ?

[xtragood 10]

Das liegt wohl an den Verfahren, die die verschiedenen Lister verwenden...

 

Du musst dich beim Lister auch noch austragen, das dauert erfahrungsgemäß ca. 24h...

 

 

Gruß, xtra.

[mcdaniels 33]

@xtra hab den Server zum erneuten Check angemeldet. -> Check war ok...

 

Server is jetzt wieder clean :D