1. Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!
    Verberg deze melding

abuse<at>multikabel

Discussie in 'Internet - Algemeen' gestart door Ppaul, 21 apr 2007.

Niet open voor verdere reacties.
  1. Post hier eens een stukje uit je log met de volgens jou 'verdachte' entries ....
     
  2. [28/Apr/2007 16:22:52] Attempt to delivery to unknown recipient <102ftpfreakftpfreak@************.nl>, from <info@gary.net>, IP address 212.127.254.136
    [28/Apr/2007 16:22:52] Attempt to delivery to unknown recipient <1066ftpfreakftpfreak@************.nl>, from <info@gary.net>, IP address 212.127.254.136
    [28/Apr/2007 16:22:52] Attempt to delivery to unknown recipient <1068ftpfreakftpfreak@************.nl>, from <info@gary.net>, IP address 212.127.254.136
    [28/Apr/2007 16:22:52] Directory harvest attack from 212.127.254.136 detected
    [28/Apr/2007 16:26:09] SMTP connection from 212.127.254.136 rejected: directory harvest attack
    [28/Apr/2007 16:27:22] SMTP connection from 212.127.254.136 rejected: directory harvest attack
    [28/Apr/2007 16:28:33] SMTP connection from 212.127.254.136 rejected: directory harvest attack

    De ************ is een geldig domein wat hier draait in de mail server...
    Dit is maar een heel klein stukje uit een log van 1,5 MB ..
     
  3. Abuse heeft helemaal gelijk. Ik weet niet of ze je vertelt hebben waarom dit gebeurt en wat je hieraan kunt doen, maar volgens mij zit het zo :

    Ja, het is inderdaad één van de mailservers van quicknet die probeert verbinding te maken met jouw mailserver met zo te zien nogal wat spam-mailtjes. Jouw mailserver weigert zo te zien deze mailtjes en herkent in het patroon een "directory harvest attack" van de mailserver. Vervolgens weigert jouw mailserver inkomende verbindingen van de Multikabel/Quicnet mailserver. Maar deze heeft nog steeds mail voor jou en probeert deze continue af te leveren totdat de mail na een paar dagen zal 'expiren'.

    Dit komt denk ik door een foute ("overbeveiligd") instelling op jouw eigen mailserver die een inkomende mailserver gaat afsluiten als hij denkt dat het een willekeurige spammer is. Een directory-harvest-attack is een mailserver die willekeurige email-adressen in een domein probeert. Zoiets kan een hele mailserver platleggen dus kan een mailserver dit proberen uit te sluiten en na een aantal van die mailtjes alle inkomende verbindingen van die tegenpartij blokkeren.

    Jij krijgt zo te zien spam binnen voor "102ftpfreakftpfreak@jouwdomein" en dan 1066ftp..... en dan 1068ftp.... en zo zal er wel een hele reeks vergelijkbare adressen zijn.
    Zo lang je mailserver deze berichten slechts weigert is er niets aan de hand, maar dat hij na verloop van tijd de mailserver van quicknet gaat blokkeren is fout in dit geval. Want nu zal de quicknet mailserver blijven proberen mail af te leveren omdat er nog steeds veel mail voor jou staat. Je hebt dan ook kans dat 'echte' mail blijft hangen omdat die ook niet afgeleverd kan worden omdat jouw mailserver de hele SMTP-connect niet meer accepteert en dus ook niet kan zien welke mail er aangeboden wordt......

    Ik weet niet of je deze beveiliging uit kunt zetten (directory harvest attack), daarna zal de mail allemaal aan jouw mailserver aangeboden worden en als de mailqueue op de quicknet server leeg is zal het verkeer afnemen.

    Via www.dnsstuff.com kun je de 'verdachte' ip-adressen beter eerst even opvragen. Als dat een van de mailservers van quicknet/multikabel is, kan dat dus geen kwaad. Verder is poort-25 ook geblokkeerd dus alles wat van het boze-internet probeert binnen te komen op jouw server op poort-25 (SMTP) kan alleen maar van de mailservers van Multikabel komen en is dus geen attack. Alleen de mailserver van quicknet kan met smtp binnen komen bij klanten.

    Waarom je dit vroeger niet had zou kunnen zijn dat jouw domein de laatste tijd meer met spam gebombardeerd wordt waardoor nu wel die beveiliging ingrijpt en vroeger niet.

    Eigenlijk veroorzaakt je mailserver dus zelf al dat overtollige verkeer :wink: omdat de beveiliging 'te goed' is voor jouw configuratie. Immers de enige mailserver die bij jou binnen kan komen is die van Multikabel/Quicknet en die kun je gerust als 'veilig' beschouwen. De spam die je binnen krijgt zul je moeten weigeren of op jouw server weggooien, maar dus niet de quicknet mailserver blokkeren.

    Ofwel het advies van abuse was helemaal correct. :idea:

    PS: hoeden verteren niet goed, dus je kunt beter een cookie nemen :)
     
  4. <Even een klein knippie>

    Die meneer van die mij had gebeld, heeft feitelijk alleen gezegd waar die ip`s van wren, maar kon mijn geen uitleg geven wat er daadwerkelijk aan de hand was..Toen ik vroeg, dus het probleem ligt aan mijn kant zij hij alleen maar " ja" , hij bedoelde het ongetijfeld goed, maar veel wijzer werd ik niet..

    Jou verhaal maakt een hoop duidelijk, ik heb inderdaad mijn best gedaan om die mailserver goed te beveligen, blijkbaar iets te goed en daardoor een fout gemaakt..

    Ik ga eens een aantal settings in mijn mailserver nalopen en iets loser afstellen..

    Dan je wel voor je uitleg en hulp ..
     
Niet open voor verdere reacties.

Deel Deze Pagina