bigsnakeye
Goto Top

IP Adresse sofort blacklisted?

Hallöchen!

Zugeben ich muss - ich weiß nicht wo ich genau mit dieser Frage hin soll.

Auf dem Server - einem SBS 2011 - läuft ein NIS David von Tobit. Nun haben wir die Domain und unser Hostingpaket von einem Webhoster zum anderen übertragen, doch seither gibt es nur Probleme. Alles ist richtig eingerichtet, sowohl der NIS, die neuen Zugangsdaten für den Grabber und die Mailboxen. Das wurde mit einem externen Dienstleister (Tobit Partner) wie auch mit den neuen Hoster abgesprochen und untersucht.

Das Problem ist offensichtlich ist jede neue dynamisch vergeben IP Adresse unseres Netzwerkes sofort blacklisted und zwar gleich bei mehreren Blacklist Betreibern. Spamhaus, Barracuda usw.

Dadurch entsteht wohl bei dem mx des neuen Hosters ein Sicherheitsproblem und der NIS kann im Endeffekt zwar Mails vom Server holen, aber nicht versenden.

Frage:
Kann es sein, dass der ISP blacklistet wurde bzw. sein IP Pool blacklisted wurde?

spam-1
spam-2

Content-ID: 310049

Url: https://administrator.de/forum/ip-adresse-sofort-blacklisted-310049.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

fognet
fognet 16.07.2016 um 18:00:51 Uhr
Goto Top
Hi

Normalerweise werden nur einzelne IPs blockiert, bzw. jede IP im Pool einzeln, aber auch nur wenn mit jeder IP ein Problem besteht.

Wegen was genau wird die IP blockiert? Und seit wann ist die IP Blockiert? Die Betreiber der listen geben dazu oft auf ihrer Seite Auskunft.
https://www.spamhaus.org/lookup/
http://www.abuseat.org/lookup.cgi


LG PPR
BigSnakeye
BigSnakeye 16.07.2016 aktualisiert um 18:12:32 Uhr
Goto Top
Das ist erst seit der Umstellung so. Siehe die Bilder oben.

Aber wir haben auch folgendes gemacht:
- Server gestoppt (alle Dienste des NIS gestoppt)
- den Router und Modem vom Strom genommen und nach 1 Minute wieder eingeschaltet
- neue IP vom ISP somit erhalten
- zunächst die neue IP Adresse immer auf den o.g. Seiten überprüft

Die neue Adresse (egal wie oft wir das wiederholt hatten und wieviele Adressen wir erhielten) war stets blacklisted wie oben auf den Bildern.

Zunächst hatte ich die IP auch bei den Anbietern austragen lassen (Spamhaus, Barracuda), aber bei Sorbs habe ich es nicht geschafft.

Der externe David Spezialist hat auch gemeint, dass es an den blacklists liegt.
aqui
aqui 16.07.2016 aktualisiert um 18:16:15 Uhr
Goto Top
jede neue dynamisch vergeben IP Adresse unseres Netzwerkes sofort blacklisted
Einen Mailserver mit dynamischen IPs... Ist nicht dein Ernst, oder ?
Kann man nur hoffen das du dich hast gedrückt da aus wohl falsch...hoffentlich ?!
Das PPPoE Pool IPs der Provider generell blacklisted als Mailadressen sind weiss ja nun jeder Azubi im ersten Lehrjahr... Dafür bedarf es keines Threads in einem Admin Forum.
BigSnakeye
BigSnakeye 16.07.2016 um 18:21:52 Uhr
Goto Top
Das ist kein Mailserver. Es ist ein NIS. Er holt für das Team Mails vom Mailserver ab und nutzt diesen als Relay.
GuentherH
GuentherH 16.07.2016 um 18:51:53 Uhr
Goto Top
Es ist ein NIS

Was bitte ist ein NIS?

LG Günther
aqui
aqui 16.07.2016 um 19:01:35 Uhr
Goto Top
kaiand1
kaiand1 16.07.2016 um 19:01:42 Uhr
Goto Top
Nach deinen 1ten Bild steht das ihr Dynmaische IPs habt was wohl als Dial UP Verbindung erkannt wurde und daher gesperrt wurde.
Hast du mal geschaut was der IP Bereich vorher war ?
evtl war der ja mal ein Dial UP Bereich und durch eine Neuverteilung der IPs sind diese nun zum Rechenzentrum gekommen aber in alten Listen stehen die noch als Dialup drin und daher die Sperre?
Vision2015
Vision2015 16.07.2016 aktualisiert um 19:03:48 Uhr
Goto Top
Network Information Service (Network Information System)

Frank
aqui
aqui 16.07.2016 um 19:05:59 Uhr
Goto Top
Nach deinen 1ten Bild steht das ihr Dynmaische IPs habt was wohl als Dial UP Verbindung erkannt wurde
Kein Provider vergibt dynamische IPs an Kunden die eine öffentliche IP verlangen. Entweder bekommt man eine feste aus dem Provider Pool oder ein kleines /29 oder /30 Netz !
PPPoE Pool IPs sind immer der Todesstoß für Email Server. Ist ja auch klar...kein Hoster oder ISP will Spammer aus dem dynmiaschen Dialup Bereich !
Das ist aber schon seit Jahren so und nix Neues.
Vision2015
Vision2015 16.07.2016 um 19:15:33 Uhr
Goto Top
sach mal...
wozu habt ihr eigentlich den SBS2011 ?
das NIS braucht ihr nicht... mails versenden kannst du über einen Smarthost...
mit popcon pro kannst du die mails auch einsammeln...

also wazu braucht ihr den Tobit kram ?

Frank
kaiand1
kaiand1 16.07.2016 um 19:16:35 Uhr
Goto Top
Es wurden doch wegen der Knappheit der IPv4 Adressen einige neu vergeben.
Wenn das welche aus einen DialUP Bereich waren die nun Feste sind und die Blacklisten noch die Alte Info haben das es DialUP IPs sind stehen die auf der Blacklist obwohl es kein DialIp mehr ist.
Vision2015
Vision2015 16.07.2016 um 19:19:51 Uhr
Goto Top
Zitat von @kaiand1:

Es wurden doch wegen der Knappheit der IPv4 Adressen einige neu vergeben.
Wenn das welche aus einen DialUP Bereich waren die nun Feste sind und die Blacklisten noch die Alte Info haben das es DialUP IPs sind stehen die auf der Blacklist obwohl es kein DialIp mehr ist.

ja.. und die ip segmente werden vorher geprüft... also quark

frank
St-Andreas
St-Andreas 16.07.2016 um 22:00:29 Uhr
Goto Top
Ok,

verstehe ich das richtig, nicht die Server bei den Empfängern der EMails verweigern die Annahme weil Ihr auf Blocklists stehts, sondern der Server bei Eurem Hoster, bei dem Ihr Eure Mails (per POP?) abholt und Eure Emails vom lokalen Server aus hinschickt, richtig?

Wenn Du bei mxtoolbox den MX für Eure EMaildomäne abfragst, ist das dann die selbe IP-Adresse wie Eure IP die Ihr vom ISP bekommen habt?

Wenn Ihr Eure Mails von Eurem NIS an den Server des Hosters übertragt, ist das dann mit einem SMTP-Auth?
Lochkartenstanzer
Lochkartenstanzer 16.07.2016 aktualisiert um 23:04:51 Uhr
Goto Top
Zitat von @BigSnakeye:

Dadurch entsteht wohl bei dem mx des neuen Hosters ein Sicherheitsproblem und der NIS kann im Endeffekt zwar Mails vom Server holen, aber nicht versenden.

Dann geht irgendetwas an der Authentifikation schief. Ihr macht doch SMTP-Auth? Oder etwas nicht? Denn wie sonst soll Euer Smarthost wissen, daß Ihr es seid und nicht Lieschen Müller aus China mit Ihren Sidanafil-Tabletten?

Die Blocklisten greifen üblicherweise nur dann, wenn man ohne Authentifikation sendet.

lks
BigSnakeye
BigSnakeye 17.07.2016 aktualisiert um 00:58:09 Uhr
Goto Top
Also nochmal. Ich erkläre es noch einmal an alle bitte.

1. Mein Chef hat sich an die Software gewöhnt und arbeitet damit schon wohl seit über 15 Jahren. Alle Mitarbeiter müssen damit arbeiten. Da widerspreche ich nicht.
2. Das NIS wird stets noch supportet und entwickelt. Ist also wohl doch nicht so veraltert. Halt nur selten.
3. In dem Programm ist ein Connector namens "PostMan" der ist als Smarthost konfiguriert. Er holt die Mails vom Webserver des Webhosters ab und sendet die mails über den Webhoster Server als Relay.
4. Der ISP ist ein Kabelanbieter. Öffentliche IP ist nicht statisch. Wir haben einen Modem von Zyxel und dahinter eine Fritzbox 7270. Bisher lief alles tadellos.
5. Der PostMan Log gibt folgendes beim Versuch zu versenden aus:

(1) Send Mail from dominik@domain.com to testmal@yahoo.de
RESOLVE MX wpXXXXXXXX.server-he.de
(1) Connecting to server xxx.xxx.xxx.5 on port 587
SecondScan job found
(00000400) Connect to xxx.xxx.xxx.5 Timed Out
(1) Could not connect to mx0.wpXXXXXXXX.server-he.de on port 587
(1) Send Mail from dominik@domain.com to testmal@yahoo.de
RESOLVE MX wpXXXXXXXX.server-he.de
(1) Connecting to server xxx.xxx.xxx.5 on port 5877

6. Der Hoster ist Hosteurope. Die Login Methode "Auth=Login" und Port 587, sowie der "wpxxxxxx.server-he.de" und Name der Mailbox+PW sind laut dem Support des Webhosters korrekt.

7. Und hier die Settings:
david1
david2



david3
St-Andreas
St-Andreas 17.07.2016 um 09:08:20 Uhr
Goto Top
Moin,

Warum aport 587 und poste mal bitte "Postman-Smtp dienst" den Tab erweitert. Dort sollte irgendwas mit TLS konfiguriert sein.
Frag bei Hosteurope mal nach, warum blacklists greifen, wenn ein per smpt-auth eingeliefert wird.
BigSnakeye
BigSnakeye 17.07.2016 aktualisiert um 11:52:20 Uhr
Goto Top
Die Position "Postman-SMTP Dienst" ist leer wenn man drauf klickt. Da muss mit der rechten Maustaste ein Kontextmenü aufgerufen werden.

david4
david5


So sieht das dann aus wenn die Konfiguration mit der rechten Maustaste aufgerufen wird, erscheint das Fenster. Rechts habe ich noch die verschiedenen Authentifizierungsmethoden erweitert.

Ich frage noch beim Webhoster nach wieso das mit den Blacklists ist.
St-Andreas
St-Andreas 17.07.2016 um 12:04:37 Uhr
Goto Top
Poste mal bitte den Reier " erweitert
BigSnakeye
BigSnakeye 17.07.2016 aktualisiert um 15:21:06 Uhr
Goto Top
Ich habe jetzt das Log von PostMan erweitert. Das kommt hierbei heraus wenn ich noch die Option "TSL wenn möglich nutzen" beim Versand einstelle:
(00000952) Connect to xxx.xxx.xxx.5 Timed Out
(1) Could not connect to mx0.wpXXXXXXXX.server-he.de on port 587
(00000952) Connect to xxx.xxx.xxx.5 Timed Out
Init Message Identification Services...
Init Message Identification Services successfull
Host IP 1: 192.168.90.101
Error loading RX certificate! RX TLS not available
No tx certificate found. Using default certificate for tx TLS
TX TLS initialisation successful
MSN TLS initialisation successful
(00000880) New Socket
(00000880) ReUseAddr          : 1
(00000880) OutOfBandDataInline: 1
(00000880) KeepAlive          : 5 minutes
(00000880) Socket Bound to Port 25
(00000880) listen
(00000880) SMTP Listener Active
(00000892) New Socket
(00000892) ReUseAddr          : 1
(00000892) OutOfBandDataInline: 1
(00000892) KeepAlive          : 5 minutes
(00000892) Socket Bound to Port 587
(00000892) listen
(00000892) SMTP Listener Active
(00000904) New Socket
(00000904) ReUseAddr          : 1
(00000904) OutOfBandDataInline: 1
(00000904) KeepAlive          : 5 minutes
(00000904) Socket Bound to Port 366
(00000904) listen
(00000904) SMTP ATRN Listener Active
(00000916) New Socket
(00000916) ReUseAddr          : 1
(00000916) OutOfBandDataInline: 1
(00000916) KeepAlive          : 5 minutes
(00000916) Socket Bound to Port 1279
(00000916) listen
(00000916) Secure Listener Active
Answer Entries     : 1
wpXXXXXXXX.server-he.de
mx0.wpXXXXXXXX.server-he.de (50)
Name Server Entries: 2
server-he.de
ns2.hans.hosteurope.de
server-he.de
ns1.hans.hosteurope.de
Resource Entries   : 2
ns2.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.10
ns1.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.140
(00000948) UDP SendTo (45)
QUERY/QUERY/RD/No Error
Query Entries      : 1
mx0.wpXXXXXXXX.server-he.de
Answer Entries     : 0
Name Server Entries: 0
Resource Entries   : 0
(00000948) UDP RecvFrom (145)
RESPONSE/QUERY/RD/RA/No Error
Query Entries      : 1
mx0.wpXXXXXXXX.server-he.de
Answer Entries     : 1
mx0.wpXXXXXXXX.server-he.de
IP Adr. xxx.xxx.xxx.5
Name Server Entries: 2
server-he.de
ns2.hans.hosteurope.de
server-he.de
ns1.hans.hosteurope.de
Resource Entries   : 2
ns2.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.10
ns1.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.140
(1) Connecting to server xxx.xxx.xxx.5 on port 587
(00000956) New Socket
(00000956) ReUseAddr          : 1
(00000956) OutOfBandDataInline: 1
(00000956) KeepAlive          : 5 minutes
(00000956) Socket Bound to Port 0
(2) Send Mail from dominik@domain.com to test12345@yahoo.de
(00000972) New Socket
RESOLVE MX wpXXXXXXXX.server-he.de
(00000972) UDP SendTo (41)
QUERY/QUERY/RD/No Error
Query Entries      : 1
wpXXXXXXXX.server-he.de
Answer Entries     : 0
Name Server Entries: 0
Resource Entries   : 0
(00000972) UDP RecvFrom (145)
RESPONSE/QUERY/RD/RA/No Error
Query Entries      : 1
wpXXXXXXXX.server-he.de
Answer Entries     : 1
wpXXXXXXXX.server-he.de
mx0.wpXXXXXXXX.server-he.de (50)
Name Server Entries: 2
server-he.de
ns2.hans.hosteurope.de
server-he.de
ns1.hans.hosteurope.de
Resource Entries   : 2
ns2.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.10
ns1.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.140
(00000972) UDP SendTo (45)
QUERY/QUERY/RD/No Error
Query Entries      : 1
mx0.wpXXXXXXXX.server-he.de
Answer Entries     : 0
Name Server Entries: 0
Resource Entries   : 0
(00000972) UDP RecvFrom (145)
RESPONSE/QUERY/RD/RA/No Error
Query Entries      : 1
mx0.wpXXXXXXXX.server-he.de
Answer Entries     : 1
mx0.wpXXXXXXXX.server-he.de
IP Adr. xxx.xxx.xxx.5
Name Server Entries: 2
server-he.de
ns2.hans.hosteurope.de
server-he.de
ns1.hans.hosteurope.de
Resource Entries   : 2
ns2.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.10
ns1.hans.hosteurope.de
IP Adr. xxx.xxx.xxx.140
(2) Connecting to server xxx.xxx.xxx.5 on port 587
(00000980) New Socket
(00000980) ReUseAddr          : 1
(00000980) OutOfBandDataInline: 1
(00000980) KeepAlive          : 5 minutes
(00000980) Socket Bound to Port 0
(00000956) Connect to xxx.xxx.xxx.5 Timed Out
(1) Could not connect to mx0.wpXXXXXXXX.server-he.de on port 587
(00000980) Connect to xxx.xxx.xxx.5 Timed Out
(2) Could not connect to mx0.wpXXXXXXXX.server-he.de on port 587

Hier die Bilder:
david6


und noch ein weiteres dazu
david7

Vorher war TLS abgeschaltet. Aber das hat nicht viel verändert. Die David Dienste sind neugestartet worden nach der Umstellung.

Übrigens - die Firewall ist auch aus, Virenschutz deinstalliert.
Lochkartenstanzer
Lochkartenstanzer 17.07.2016 um 16:16:47 Uhr
Goto Top
Wirf doch einfach mal wireshark an.
aqui
aqui 17.07.2016 um 16:23:28 Uhr
Goto Top
Could not connect to mx0.wpXXXXXXXX.server-he.de on port 587
(00000980) Connect to xxx.xxx.xxx.5 Timed Out

...spricht ja schon Bände ! Da ist entweder ne Firewall dazwischen für TCP 587 oder den Server gibts gar nicht...oder er antwortet noch auf dem alten Port TCP 465.
Wireshark is your best friend here indeed...
BigSnakeye
BigSnakeye 17.07.2016 aktualisiert um 17:48:16 Uhr
Goto Top
Ohje, jetzt habe ich Probleme den Wireshark richtig einzustellen. Das wird wieder mal was...

Übrigens. Noch eine Ausgabe von mxtools. Vollständigkeitshalber.
mxtools-smtp
BigSnakeye
BigSnakeye 17.07.2016 um 18:56:45 Uhr
Goto Top
Ist es das hier? Ich habe die IP des Mailservers gecapt und das hier kam raus.

wireshark1
Lochkartenstanzer
Lochkartenstanzer 17.07.2016 um 22:03:51 Uhr
Goto Top
Du bekommst RST/ACK-Pakete zurück. Frag Deine Hoster.

lks
BigSnakeye
BigSnakeye 18.07.2016 um 17:13:08 Uhr
Goto Top
Laut dem Webhoster Support kommen wir mit unserer IP Adresse nicht an den Mailserver. Also wird schon zuvor geblockt. Allerdings soll auch nicht so sein, dass wir gar nicht durchkommen selbst wenn die IP Adresse blacklisted ist. Das kann am Netzwerk liegen.

Wir haben ein Zyxel Modem und dahinter hängt eine Fritzbox 7270. Das Modem ist laut unserers ISP komplett offen, da wird angeblich nichts geblockt und bisher ging auch alles (seit über einem Jahr). Gewechselt wurde nur der Webhoster.

Kann es an dem Modem oder der Fritzbox liegen?
Vision2015
Vision2015 18.07.2016 um 17:16:21 Uhr
Goto Top
gehen tut alles...

wiso fritte und modem ? hat die fritte kein internes modem ?

Frank
BigSnakeye
BigSnakeye 18.07.2016 aktualisiert um 17:42:03 Uhr
Goto Top
Die Fritzbox ist für DSL, der Anbieter ist ein Kabelnetzbetreiber. Willy Tel

Also in der Fritzbox wird wohl kein Fehler stecken, die ist über LAN#1 mit dem Modem verbunden und blockt soweit mir bekannt nur eingehenden Verkehr.
St-Andreas
St-Andreas 18.07.2016 um 18:56:55 Uhr
Goto Top
Könnt ihr nicht auf Port 25 wechseln?
BigSnakeye
BigSnakeye 18.07.2016 um 23:40:50 Uhr
Goto Top
Schon versucht. Kommt aufs selbe hinaus.
BigSnakeye
BigSnakeye 20.07.2016 aktualisiert um 14:12:02 Uhr
Goto Top
So, ich habe jetzt das Problem eingeschränkt. Ich komme zum Server des Mailhosters doch durch, aber das Kennwort wird abgelehnt. Es ist exakt das gleiche Kennwort wie eingetragen und wird auch (mit Erfolg) für das Abholen der Mails benutzt. Die Mails über POP3 abzuholen klappt wie gesagt problemlos.

Ich habe das jetzt von Zuhause aus ausprobiert. Benutzt habe ich Thunderbird. Und das ist ein ganz anderer ISP, anderer Anschlus, andere Hardware und Software. Also alles komplett anders und ohne David. Auch Thunderbird kann Mails abholen, aber nicht senden! Er meldet falsches Kennwort obwohl es richtig ist. Ich habe sowohl über copy & paste wie auch mit eintippen versucht. Andere Mailadressen (andere Mailanbieter) klappen mit den selben mail client (thunderbird). Also kann der Fehler nur beim Hoster liegen.
St-Andreas
St-Andreas 20.07.2016 um 14:21:31 Uhr
Goto Top
Setz mal ein anderes Kennwort, testweise ohne Donderzeichen wie slashes etc
BigSnakeye
BigSnakeye 20.07.2016 um 15:40:04 Uhr
Goto Top
Habs auch schon versucht. Nur Zahlen und Buchstaben (groß/klein). Keine Lösung.
BigSnakeye
BigSnakeye 21.07.2016 aktualisiert um 11:32:46 Uhr
Goto Top
Ich habe mit traceroute port check auf meine öffentliche IP versucht. Das kommt dabei hier raus
portclosed

Genau so auf dem Server in der Firma - ist das normal? Allerdings habe ich das auch mit sämtlichen anderen Ports. Port 80, 25, 110, 443 usw.

http://www.traceroute.eu/port-chk/
St-Andreas
St-Andreas 21.07.2016 um 13:50:50 Uhr
Goto Top
Du musst das bei dem SMTP des Hosters probieren.
Lochkartenstanzer
Lochkartenstanzer 21.07.2016 um 14:08:20 Uhr
Goto Top
Zitat von @BigSnakeye:

Ich habe mit traceroute port check auf meine öffentliche IP versucht.

Genau so auf dem Server in der Firma - ist das normal? Allerdings habe ich das auch mit sämtlichen anderen Ports. Port 80, 25, 110, 443 usw.


Sofern Ihr von außen keine Dienste auf diesen Ports anbietet, ist das völlig normal.

Was Du aber machen willst, ist das ganze mit der IP-Adresse Eures Hosters zu versuchen.

lks
BigSnakeye
BigSnakeye 22.07.2016 um 16:10:34 Uhr
Goto Top
So, hier nun - endlich - die Auflösung.

Die Namen der Postfächer waren in Groß statt der Kleinschreibung eingetragen worden. Also sollte es sein "postfach12345-name". Zum Beispiel "ws8930239-klaus". Auf dem Server war es so, aber auf dem Client (David NIS bzw. Thunderbird) stand "ws8930239-KLAUS". Damit funktionierte der Empfang, allerdings nicht der Versand!? Ich frage ich wie das möglich ist, dass der Empfang damit gewährleistet ist, der Versand aber nicht? In den FAQ des Webhosters habe ich nichts darüber gefunden. Auch als ich mit den Support telefonierte wurde ich darauf nicht angesprochen. Erst als wir die Daten zur Überprüfung in der Mail an den Support versendeten, fiel das den Supportern auf.