1. Welkom op het onafhankelijke Ziggo Gebruikersforum. Een forum voor en door gebruikers van Ziggo.
    Registreer je gratis om direct zelf berichten te plaatsen en gebruik te maken van extra functies!
    Verberg deze melding

smtp blok

Discussie in 'Internet - Email' gestart door twsgsm, 2 sep 2008.

Niet open voor verdere reacties.
  1. Hoi,

    Krijg ik opeens een mailtje dat ik virussen zou verspreiden.
    Niets is onmogelijk, maar na iets uitgebreider onderzoek blijkt postfix netjes te werken conform zo het hoort en onjuist geaddresseerde mail te weigeren.

    Deze mail komt dan 'kennelijk' terug bij de smtp server van ziggo en daar zegt dan iets: u verspreid virussen.

    OK, maar wat dan?
    postfix staat nu als volgt ingesteld:
    POSTFIX_ADD_SMTPD_SENDER_RESTRICTIONS=" permit_mynetworks reject_non_fqdn_sender reject_unknown_sender_domain"
    POSTFIX_ADD_SMTPD_RECIPIENT_RESTRICTIONS="
    permit_mynetworks
    reject_non_fqdn_recipient
    reject_unauth_destination
    reject_unverified_recipient"

    Conform handleidingen behoor je het zo te hebben staan.

    Wat nu?
     
  2. Heb je zelf vandaag nog een mail gestuurd naar een groot aantal personen?
     
  3. Hi!

    Je verstuurd ieg een aantal bounces, dus iets gaat er zeker niet ok ... :-)
    Naar adressen waarvan ik denk, daar mail jij niet zelf naar :)

    Check dus even waarom je bounces richting de mailserver gooit.

    Bye,
    Raymond.
     
  4. Hoi,

    Als ik lokaal test dan is dit het resultaat:

    220 checkmail.***.nl ESMTP Postfix
    mail from: <test@multikabel.nl>
    250 Ok
    rcpt to: bogus@***.nl
    data
    450 <bogus@***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command)
    554 Error: no valid recipients


    Dan staat het e.a. goed.

    En dan toch in de ban :(
     
  5. Alex,

    Ik vind de voorbeelden prachtig, ik zie echter vanaf jouw ip adres een hele serie bounces, waaronder ook bounces met besmetting (virus/phishing mails).

    Die mails hebben als msgid iets in de trend van checkmail.xxxxx dat komt je vast wel bekend voor.

    Ik had al in de logs gegrept, en zie ook gewoon bounces langs komen. En infected items. Dus hoe je postfix het doet, swah, maar je verstuurd echt rommel naar buiten. Denk dat je die vast wel in je log files terug kan vinden.

    Sep 2 12:01:04 vmx80 sendmail[8766]: m82A0v4d008766: from=<>, size=4996, class=0, nrcpts=1, msgid=<20080902100133.C28A31341C8@checkmail.xxx>, proto=ESMTP, daemon=MTA, relay=xxx.cable.quicknet.nl [xxx]
    Sep 2 12:01:04 vmx80 sendmail[8766]: m82A0v4d008766: to=<yiuwrt@bollywood.com>, delay=00:00:00, mailer=relay, pri=34996, stat=queued
    Sep 2 12:01:06 vmx80 sendmail[8993]: m82A0v4d008766: to=<yiuwrt@bollywood.com>, delay=00:00:02, xdelay=00:00:00, mailer=relay, pri=124996, relay=mx102.multikabel.net. [212.127.254.140], dsn=2.0.0, stat=Sent (OK id=1KaSh8-00016Y-Bp)

    Suc6,
    Raymond.
     
  6. Zoals ik al aangaf in het prive bericht, log rotate stond op 1 uur. Dat heb ik vanavond pas weer terug gezet. De log tijden die jij noemt kan ik dus niet nakijken.

    Wat ik wel kan laten zien:
    Hier staat mijn /var/log/mail log mee vol:

    Sep 2 21:31:58 checkmail postfix/smtpd[4723]: connect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:31:58 checkmail postfix/smtpd[4723]: NOQUEUE: reject: RCPT from mx102.multikabel.net[212.127.254.140]: 450 <thisisjusttestletter@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<sellexur@TA.NO> to=<thisisjusttestletter@f***.nl> proto=SMTP helo=<mx102.multikabel.net>
    Sep 2 21:31:58 checkmail postfix/smtpd[4723]: disconnect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:31:58 checkmail postfix/smtpd[4723]: connect from vmx10.multikabel.net[212.127.254.136]
    Sep 2 21:31:59 checkmail postfix/smtpd[4723]: NOQUEUE: reject: RCPT from vmx10.multikabel.net[212.127.254.136]: 450 <uzsjtpxfiabd@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<Way-nistelro@8dayspromotion.com> to=<uzsjtpxfiabd@f***.nl> proto=SMTP helo=<vmx10.multikabel.net>
    Sep 2 21:31:59 checkmail postfix/smtpd[4723]: disconnect from vmx10.multikabel.net[212.127.254.136]
    Sep 2 21:32:59 checkmail postfix/smtpd[4723]: connect from vmx10.multikabel.net[212.127.254.136]
    Sep 2 21:32:59 checkmail postfix/smtpd[4723]: NOQUEUE: reject: RCPT from vmx10.multikabel.net[212.127.254.136]: 450 <uzsjtpxfiabd@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<Way-nistelro@8dayspromotion.com> to=<uzsjtpxfiabd@f***.nl> proto=SMTP helo=<vmx10.multikabel.net>
    Sep 2 21:32:59 checkmail postfix/smtpd[4723]: disconnect from vmx10.multikabel.net[212.127.254.136]
    Sep 2 21:33:08 checkmail postfix/smtpd[4723]: connect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:33:08 checkmail postfix/smtpd[4723]: NOQUEUE: reject: RCPT from mx102.multikabel.net[212.127.254.140]: 450 <thisisjusttestletter@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<sellexur@TA.NO> to=<thisisjusttestletter@f***.nl> proto=SMTP helo=<mx102.multikabel.net>
    Sep 2 21:33:08 checkmail postfix/smtpd[4723]: disconnect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:33:27 checkmail postfix/smtpd[4672]: lost connection after MAIL from unknown[192.168.220.106]
    Sep 2 21:33:27 checkmail postfix/smtpd[4672]: disconnect from unknown[192.168.220.106]
    Sep 2 21:33:40 checkmail postfix/smtpd[4723]: connect from unknown[192.168.220.106]
    Sep 2 21:34:16 checkmail postfix/cleanup[5009]: 3AA30134179: message-id=20080902193416.3AA30134179@checkmail.*
    Sep 2 21:34:16 checkmail postfix/qmgr[4615]: 3AA30134179: from=postmaster@checkmail.*, size=283, nrcpt=1 (queue active)
    Sep 2 21:34:16 checkmail postfix/smtp[5013]: 3AA30134179: to=<bogus@***.nl>, relay=192.168.220.251[192.168.220.251], delay=0, status=undeliverable (host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command))
    Sep 2 21:34:16 checkmail postfix/qmgr[4615]: 3AA30134179: removed
    Sep 2 21:34:19 checkmail postfix/smtpd[4723]: NOQUEUE: reject: RCPT from unknown[192.168.220.106]: 450 <bogus@***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<test@multikabel.nl> to=<bogus@***.nl> proto=SMTP
    Sep 2 21:34:27 checkmail postfix/smtpd[4672]: connect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:34:27 checkmail postfix/smtpd[4672]: NOQUEUE: reject: RCPT from mx102.multikabel.net[212.127.254.140]: 450 <thisisjusttestletter@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<sellexur@TA.NO> to=<thisisjusttestletter@f***.nl> proto=SMTP helo=<mx102.multikabel.net>
    Sep 2 21:34:27 checkmail postfix/smtpd[4672]: disconnect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:35:37 checkmail postfix/smtpd[4672]: connect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:35:37 checkmail postfix/smtpd[4672]: NOQUEUE: reject: RCPT from mx102.multikabel.net[212.127.254.140]: 450 <thisisjusttestletter@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<sellexur@TA.NO> to=<thisisjusttestletter@f***.nl> proto=SMTP helo=<mx102.multikabel.net>
    Sep 2 21:35:37 checkmail postfix/smtpd[4672]: disconnect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:36:46 checkmail postfix/smtpd[4672]: connect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:36:47 checkmail postfix/smtpd[4672]: NOQUEUE: reject: RCPT from mx102.multikabel.net[212.127.254.140]: 450 <thisisjusttestletter@f***.nl>: Recipient address rejected: undeliverable address: host 192.168.220.251[192.168.220.251] said: 550 No such recipient (in reply to RCPT TO command); from=<sellexur@TA.NO> to=<thisisjusttestletter@f***.nl> proto=SMTP helo=<mx102.multikabel.net>
    Sep 2 21:36:47 checkmail postfix/smtpd[4672]: disconnect from mx102.multikabel.net[212.127.254.140]
    Sep 2 21:36:50 checkmail postfix/smtpd[4672]: connect from vmx10.multikabel.net[212.127.254.136]

    In mijn optiek weigert postfix deze mail dus gewoon.

    Of zie ik dat verkeert?

    Daarnaast zie ik in de syslog van de cisco router ook geen verbindingen opgezet worden naar jullie toe, wel van jullie af.


    Alex
     
  7. Hi!

    Zul je even moeten checken als je weer wat langer je logs hebt staan. De blokkade is inmidels verwijderd, dus als er iets langs komt zien we het vanzelf wel in de logs weer.

    Wat je postfix wel en niet aanpakt kun je niet door een simpele test als dit doen. Het kan bijvoorbeeld een config setting zijn, to name one, waar je zegt, postmaster en abuse@ pak ik altijd aan. Vervolgens zegt postfix, ken ik eigenlijk toch niet, bounce. En zo zijn er legio scenario's ;)

    We hebben er vandaag een stuk of 30 langs zien komen, dus je kunt er van uit gaan dat er spul terug is gemailed. De logs zijn daar op zich ook vrij duidelijk in :-)

    Staat er nu niks in je mail queue bijvoorbeeld. Ik zag namelijk geen mails meer na de blokkade, dat kan bijna geen toeval zijn.

    Bye,
    Raymond.
     
  8. Ehlo,

    Dank.

    We kunnen nu een lange thread doorzetten over wat wel of niet door postfix gedaan wordt. Dat wordt dan uitgebreid verhaal over bits en bytes. Ook leuk.

    Wat denk ik belangrijker is de manier van berichtgeving omtrend het geheel.

    Ik denk persoonlijk dat die beter kan.

    Ooit heeft xs4all dezelfde methode gehanteerd en daar is toen ook met hun uitgebreid over gesproken.
    De uitkomst was helder en duidelijk.

    De manier hoe dat ging kon beter en anders.

    Punt 1: de helpdesk wist van niets nadat er een mail uitgegaan was.
    Punt 2: puur bekeken vanuit een nitwit, jullie mail server stuurt de virus. Dat je die dan terug kan krijgen, dat kan je verwachten.
    Punt 3: duidelijke log informatie wordt niet verstrekt, alleen maar:
    Virus amount : 15
    Virus found : 10 * Trojan.Agent-44657
    5 * Trojan.Agent-44657 FOUND
    Block added : Tue Sep 2 15:09:11 2008
    Punt 4: het telefoon nummer dat vermeld wordt is niet meer courant.

    Ik ben persoonlijk van mening dat dit beter kan.

    Alex
     
  9. Hi!

    DSN ... ja laten we fijn DSN's gaan versturen in een era waar 95% van de mail spam is ... goed idee....

    Bye,
    Raymond.
     
Niet open voor verdere reacties.

Deel Deze Pagina