ralpht
Goto Top

Mailserver - Auf einer Blacklist gelandet

Moin,

ich habe heute mal aus reiner Neugier eine Überprüfung auf den Spamlisten durchgeführt. Eigentlich wollte ich nur einen Check wegen SPF bei "https://www.spf-record.de/spf-lookup" machen. Der ist soweit ok. Dabei ist mir aufgefallen, dass wir bei "Barracuda Reputation Block List" eingetragen sind. Leider weiß ich nicht, seit wann dieser Eintrag besteht.
Nun habe ich heute erst auf dem Exchangeserver den Sendeconnector auf das Senden ins Internet umgestellt.
Allerdings sind auf dieser betroffenen IP nur eine Handvoll Mails rausgegangen. Das habe ich im LOG vom Exchange beobachtet.

Derzeit sind im Mailversand keine Einschränkungen, Abweisungen zu erkennen.

Jetzt stellt sich für mich erstmal die Frage, seit wann dieser Eintrag besteht. Das wird sich wohl aber nicht herausfinden lassen.
Kann mir jemand einen Tipp geben, ob solche Einträge auch irgendwann automatisch gelöscht werden? Oder hängt das immer vom jeweiligen Betreiber der Liste ab?
Bevor ich jetzt dort dieses Delisting Formular ausfülle, wollte ich erst hiermal fragen, ob es dazu Erfahrungen gibt.

Es kann auch sein, dass dieser Eintrag schon über ein Jahr existiert, da wir mal in 2022 einen Sicherheitsvorfall hatten. Daher kann dieser Eintrag schon länger dort vorhanden sein.
Schade, dass ich das erst jetzt nach der Umstellung überprüft habe, dann wäre ich jetzt schlauer.

Content-ID: 4764576602

Url: https://administrator.de/forum/mailserver-auf-einer-blacklist-gelandet-4764576602.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

NordicMike
NordicMike 02.01.2024 um 15:10:23 Uhr
Goto Top
Steht das nicht auf deren Webseite seit wann?
Snuffchen
Snuffchen 02.01.2024 um 15:10:28 Uhr
Goto Top
Das ist je nach Blacklist-Betreiber unterschiedlich. Du solltest aber zusehen, dass eure IP dort nicht mehr gelistet wird. Ich nutzte z.B. Barracuda als eine von mehreren Kriterien um eingehende Mails zu bewerten und ggf. direkt zu blocken oder in den Junk-Ordner zu verschieben.
Crusher79
Crusher79 02.01.2024 um 15:43:38 Uhr
Goto Top
Jo Delisting Antrag und kurz begründen....

Hatte es vor 2-3 Jahren auch mal. Konnten Übeltäter intern ruhig stellen. Begründung hat den Betreiber der Liste gereicht. Deren Absichten sind ja teils sehr gut und haben Dienstleistungsgedanken. Hat bei uns recht gut und züggig geklappt. Einfach mal ran da....
RalphT
RalphT 02.01.2024 um 16:05:17 Uhr
Goto Top
Hatte es vor 2-3 Jahren auch mal. Konnten Übeltäter intern ruhig stellen. Begründung hat den Betreiber der Liste gereicht.

Ich würde natürlich primär erst mal gerne wissen, was die Ursache ist. Lieber nochmal alles in Ruhe durchsehen und überlegen, bevor ich dort hinschreibe. Wir hatten ja an dem besagten Vorfall alle Systeme komplett neu aufgesetzt. Daher bin ich auch jetzt gerade überfragt, was die Ursache sein könnte.
Es muss ja nicht gleich der Exchange sein. Wer weiß, vielleicht aggiert hier irgendwo ein kleiner SMPT Mailer, der die Mails direkt ins Internet sendet.

Es gibt ja viele Seiten zum Überrpüfen der Listen. Jetzt bin ich gerade auf dieser Seite:
https://dnschecker.org/ip-blacklist-checker.php
Dort wird bei der betreffende Liste ein Link unter "Details" angezeigt. Klickt man darauf landet man auf der Seite vom Blacklistbetreiber, allerdings steht dort "Sorry, we couldn't find the page you were looking for."
Schade, ich dachte eigentlich, dass man dort an mehr Informationen kommt.

Beim googeln bin ich auf die folgende Seite gekommen:
https://nicolewerner.com/barracuda-blacklist/

Dort steht u.a., dass die Anfrage automatisiert abgearbeitet wird und eine weitere Chance/Antrag wird nicht bearbeitet. Kann das stimmen?
Doskias
Doskias 02.01.2024 aktualisiert um 16:11:48 Uhr
Goto Top
Zitat von @Crusher79:

Jo Delisting Antrag und kurz begründen....

Hatte es vor 2-3 Jahren auch mal. Konnten Übeltäter intern ruhig stellen. Begründung hat den Betreiber der Liste gereicht. Deren Absichten sind ja teils sehr gut und haben Dienstleistungsgedanken. Hat bei uns recht gut und züggig geklappt. Einfach mal ran da....

Vorher aber prüfen wieso du drauf gelandet bist und ggf. die Ursache abstellen. Manche Blacklistbetreiber nennen dir den Grund auf Nachfrage, ggf. nur schriftlich und auch nur auf die bei der Domain registrierten Mail-Adresse. Das ganze auch ggf. nur gegen Einwurf von kleinen Scheinen. Ich hatte mal einen Kunden, der sich für 100 € hat delisten lassen ohne die Ursache abzustellen. möchtest du raten, wie lange es gedauert hat bis er wieder gelistet wurde? face-wink Tipp: Rate in Minuten. Und dadurch war der Ärger dann groß, denn der Betreiber der Liste war verständlicherweise nicht gewillt ein erneutes delisting vorzunehmen und er musste den regulären Sperrzeitraum abwarten.

Gruß
Doskias
Crusher79
Crusher79 02.01.2024 um 16:13:29 Uhr
Goto Top
Jo stimmt. Bei uns ging es. Ich weiß nicht mehr welcher Anbieter es war.

https://www.talosintelligence.com

Da sind wir nun "neutral".

Bei uns war es nachhaltig abgestellt und rasch allles wieder gut. Aber du hast natürlich recht!
10505791074
10505791074 02.01.2024 um 21:02:21 Uhr
Goto Top
Zitat von @RalphT:

ich habe heute mal aus reiner Neugier eine Überprüfung auf den Spamlisten durchgeführt. Eigentlich wollte ich nur einen Check wegen SPF bei "https://www.spf-record.de/spf-lookup" machen. Der ist soweit ok. Dabei ist mir aufgefallen, dass wir bei "Barracuda Reputation Block List" eingetragen sind. Leider weiß ich nicht, seit wann dieser Eintrag besteht.

In der Regel ist man gut beraten, über das Monitoring regelmässig dies zu prüfen. Da fällt das dann sehr schnell auf und man kann sofort reagieren, die Ursache ermitteln und ein Delisting anzustreben.

Es kann auch sein, dass dieser Eintrag schon über ein Jahr existiert, da wir mal in 2022 einen Sicherheitsvorfall hatten. Daher kann dieser Eintrag schon länger dort vorhanden sein.

Wie ich schon sagte, besser Listing der eignen IPs|NAMES regelmässig checken und natürlich der Mail-Queues laufend monitoren, dann passiert sowas nicht.

Aber sieh es mal "sportlich", aus Fehlern kann man nur lernen und es künftig besser machen.
Dani
Dani 02.01.2024 um 22:43:58 Uhr
Goto Top
Moin,
Frage mich gerade obs evtl. nen Vorteil hätte Domains und Hosting zu separieren....oder obs eigentlich wurscht ist...
eine bestimmte Anzahl von Mailservern von uns hat es auch schon auf deren Liste geschafft. Bei uns war es kein Problem, die selben IP-Adressen mehrfach entfernen zu lassen. Zu not den Support kontaktieren.

und natürlich der Mail-Queues laufend monitoren, dann passiert sowas nicht.
Damit erschlägst du evtl. nur einen offensichtlichen SPAM Versand. Alles andere ist Zufall oder du hast eine Datenerfassung + passender Software, welche Anomalien erkennen kann. Je nach Tage (Historie und Masse an E-Mails) werden Server und dazugehörigen Speicherplatz + weitere Ressourcen (Wartung, Personal, etc.). Alternativ sollte man überlegen, ob man verschiedene E-Mail Plattformen für Mitarbeiter, unkritische und kritische Services als auch Servers mit und ohne Kunden trennt. Damit kann der möglichen Schaden minimiert (nicht eliminiert) werden.


Gruß,
Dani
peierlfe
peierlfe 03.01.2024 um 05:28:29 Uhr
Goto Top
Schreibe vielleicht mal dem Betreiber der Website
peierlfe
peierlfe 03.01.2024 um 05:29:18 Uhr
Goto Top
Zitat von @peierlfe:

Schreibe vielleicht mal dem Betreiber der Website

Es gibt ja bestimmt ein Impressum mit Kontakt (Impressumspflicht)
RalphT
RalphT 03.01.2024 um 07:30:24 Uhr
Goto Top
Schreibe vielleicht mal dem Betreiber der Website

Das ist eine IP-Adresse aus dem Bereich /29 vom Provider der Leitung. An dieser IP hing/hängt nur die Firewall. Irgendwelche Dienste laufen dort nicht.

Ich will jetzt erst einmal etwas Ruhe bewahren und nochmal genau überlegen, was die Ursache gewesen sein könnte. Zum Glück treten bis jetzt jetzt noch keine Probleme beim Mailversand auf. Das Problem ist einfach, ich weiß nicht seit wann dieser Eintrag besteht.
Ich hatte bis vor kurzem jahrelang den Sendeconnector vom Exchange über den Smarthost von IONOS laufen lassen. Daher hatte mich das Thema Blacklist wenig interessiert. Ok, war wohl ein Fehler.
Ich war noch mal auf deren Webseite und dort stehen auch die möglichen Gründe. Sowas wie Newsletter versenden wir nicht. Daher bin jetzt noch ratlos, was den Grund für den Eintrag sein kann.

Vielleicht war das mal in der Vergangenheit ein falsch konfigurierter SMTP-Mailer, der nach außen telefoniert hatte. Das muss ich intern mal abklären. Weiterhin werde ich nochmal überprüfen, dass nur der Exchange nach außerhalb senden kann, alles andere sollte dicht sein.

Sollte ich nichts finden, dannn werde ich dann die Tage mir mal eine Begründung zurecht legen und dann das Formular dort ausfüllen. Wäre natürlich ein GAU, wenn dann einen Tag später ein Eintrag dort wäre.

Gestern war ich natürlich noch neugierig und habe auch andere IP-Adressen überpüft. Zu Hause habe ich auch eine feste IP. Tatsächlich bin ich auch auf einer Liste, allerdings woanders. Da wir ja IONOS Kunde sind, habe ich auch deren Server überprüft. Sogar einen von denen ist auf einer Liste zu sehen.
Ist schon etwas merkwürdig.
10505791074
10505791074 03.01.2024 um 08:57:11 Uhr
Goto Top
Zitat von @Dani:

Moin,
Frage mich gerade obs evtl. nen Vorteil hätte Domains und Hosting zu separieren....oder obs eigentlich wurscht ist...
eine bestimmte Anzahl von Mailservern von uns hat es auch schon auf deren Liste geschafft. Bei uns war es kein Problem, die selben IP-Adressen mehrfach entfernen zu lassen. Zu not den Support kontaktieren.

Interessant ist eben, warum die auf RBLs & Co gelandet sind. Quasi täglich eine "remove us from your list"-Mails abzusetzen, macht ja weder Spaß noch grossartig Sinn. Dann doch lieber die Ursache abstellen. jm2ct


und natürlich der Mail-Queues laufend monitoren, dann passiert sowas nicht.
Damit erschlägst du evtl. nur einen offensichtlichen SPAM Versand. Alles andere ist Zufall oder du hast eine Datenerfassung + passender Software, welche Anomalien erkennen kann. Je nach Tage (Historie und Masse an E-Mails) werden Server und dazugehörigen Speicherplatz + weitere Ressourcen (Wartung, Personal, etc.). Alternativ sollte man überlegen, ob man verschiedene E-Mail Plattformen für Mitarbeiter, unkritische und kritische Services als auch Servers mit und ohne Kunden trennt. Damit kann der möglichen Schaden minimiert (nicht eliminiert) werden.

Also bei einer Installation, bei der ich meine Patschehändchen ab und an anlege, verschicken wir am Tag (!) zwischen 0,5 bis zu 10 Mio Mails an die registrierten Empfänger. Im Monitoring sieht man dann sehr schnell, ob z.B. 1und1 mit web.de und gmx.de mal wieder Stress haben, denn da sehen wir sehr schnell ein Anwachsen der Mailqueues. Sollte uns jemand unberechtigter Weise auf eine RBL stellen, merken wir das so auch recht schnell und können reagieren.

Was lernen wir daraus? Echtzeitmonitoring der Queues und auch das Tracken von Durchlaufzeiten vom Mailversand bis hin zur Inbox auf einem IMAP-Server, ist nicht nur just4fun, sondern dringend gebotenes daily-doing!

Beim Trennen von Verkehrsströmen gebe ich Dir Recht, das macht Sinn. So werden bestimmte Mails nur von einem kleinen Teil unserer 20 outbound-relays versandt und die Massenmails an die registrierten Empfänger eben von anderen SMTP-Servern.
NordicMike
NordicMike 03.01.2024 um 09:33:48 Uhr
Goto Top
Sollte ich nichts finden, dannn werde ich dann die Tage mir mal eine Begründung zurecht legen und dann das Formular dort ausfüllen. Wäre natürlich ein GAU, wenn dann einen Tag später ein Eintrag dort wäre.

Warum nicht anders herum? Zuerst waschen und schauen ob die Wäsche wieder schmutzig wird.
Als Begründung kannst du immer schreiben: Mail Server neu installiert.
RalphT
RalphT 03.01.2024 um 09:43:09 Uhr
Goto Top
Warum nicht anders herum? Zuerst waschen und schauen ob die Wäsche wieder schmutzig wird.
Als Begründung kannst du immer schreiben: Mail Server neu installiert.

Hmm, da bin ich derzeit unsicher, da ich mit solchen Anbietern keine Erfahrung habe. Ich habe einfach Bedenken, dass man mir beim zweiten Mal mir einen Riegel vorschiebt.

Ja klar, vielleicht habe ich derzeit noch zuviele Bedenken.
NordicMike
NordicMike 03.01.2024 aktualisiert um 09:49:11 Uhr
Goto Top
Versende vom Exchange nicht direkt zu den Zielservern, sondern schieb alle ausgehenden Mails zum Smarthost deines Lieblingsproviders und du musst dich nie wieder um Blacklisten kümmern. Das macht der Provider schon selbstständig, es geht ja um seine festen IP's.

Erst kürzlich hatten wir einen User, der seine M365 Daten auf einer fremden Webseite eingegeben hat und eine Massen Spam Welle ausgelöst hat. Kennwort geändert, Blacklisten durchsucht, alles sauber. Keiner kommt auf die Idee die Microsoft IP Adressen zu blacklisten.
RalphT
RalphT 03.01.2024 um 09:54:09 Uhr
Goto Top
Versende vom Exchange nicht direkt zu den Zielservern, sondern schieb alle ausgehenden Mails zum Smarthost deines Lieblingsproviders und du musst dich nie wieder um Blacklisten kümmern. Das macht der Provider schon selbstständig, es geht ja um seine festen IP's.

Tja so lief es ja die ganzen Jahre. Ab dem 15. Januar geht das bei IONOS nicht mehr. Man hinterlegt ja für den Smarthost einen Account zum Authentifizieren. Siehe hier:

https://www.ionos.de/hilfe/index.php?id=5380

Außerdem wollte ich dieses Jahr von diesem POP-Abholer weg.
10138557388
10138557388 03.01.2024 aktualisiert um 10:04:14 Uhr
Goto Top
Zitat von @RalphT:
Tja so lief es ja die ganzen Jahre. Ab dem 15. Januar geht das bei IONOS nicht mehr. Man hinterlegt ja für den Smarthost einen Account zum Authentifizieren. Siehe hier:

https://www.ionos.de/hilfe/index.php?id=5380

Quatsch das geht das auch weiterhin, solange die Domain des Absenders (also alles nach dem @) der des Auth Accounts entspricht, das war aber schon immer so das der 1und1 Server Mails abgelehnt hat bei denen der Absender nicht einer der Domains des Kunden entsprach.

Viele meinen hier fälschlicherweise das die ganze Adresse übereinstimmen muss, aber das ist ein Trugschluss und Fake-News.

PJ.
NordicMike
NordicMike 03.01.2024 um 10:07:13 Uhr
Goto Top
Außerdem wollte ich dieses Jahr von diesem POP-Abholer weg
Das versenden der Emails hat nicht unbedingt auch was mit dem Empfangen der Emails zu tun. Der empfangende Server steht im DNS als MX-Eintrag. Der versendende Mail Server steht im DNS als SPF Eintrag. Das können auch unterschiedliche oder mehrere Server sein.
10505791074
10505791074 03.01.2024 um 10:15:11 Uhr
Goto Top
Zitat von @NordicMike:

Versende vom Exchange nicht direkt zu den Zielservern, sondern schieb alle ausgehenden Mails zum Smarthost deines Lieblingsproviders und du musst dich nie wieder um Blacklisten kümmern.

Nix für ungut und bitte nicht falsch verstehen, aber ich würde definitiv zwei Sachen nie machen:
1. Eine VSE als Mailserver benutzen
2. Mails über fremde relays versenden
... sondern immer
1. MXer selbst aufsetzen und betreiben, das das mit "richtiger Hard-/Software und Netzanbindung" und DNS sauber pflegen
2. immer nach der Devise fahren "mach es selbst und mach es richtig"
3. Wenn ich mich nicht auskenne, bei Peer oder Patrick einen Schulung besuchen

O.K. fairer weise sollte man natürlich noch bemerken und bedenken was man machen will, eine Handvol Mails oder eben Mio Mais verschicken wollen - MX für SOHO oder big business.
RalphT
RalphT 03.01.2024 um 10:25:55 Uhr
Goto Top
Zitat von @10138557388:

Zitat von @RalphT:
Tja so lief es ja die ganzen Jahre. Ab dem 15. Januar geht das bei IONOS nicht mehr. Man hinterlegt ja für den Smarthost einen Account zum Authentifizieren. Siehe hier:

https://www.ionos.de/hilfe/index.php?id=5380

Quatsch das geht das auch weiterhin, solange die Domain des Absenders (also alles nach dem @) der des Auth Accounts entspricht, das war aber schon immer so das der 1und1 Server Mails abgelehnt hat bei denen der Absender nicht einer der Domains des Kunden entsprach.

Viele meinen hier fälschlicherweise das die ganze Adresse übereinstimmen muss, aber das ist ein Trugschluss und Fake-News.

PJ.

Sicher? Dann habe ich das vielleicht falsch verstanden.
Hier nochmal ein Auszug aus dem Text von IONOS:

wir haben festgestellt, dass Sie E-Mails mit alternativen oder leeren Absendern über unsere E-Mail-Server versenden. Dies kann ein Sicherheitsrisiko darstellen und dazu führen, dass andere E-Mail-Anbieter diese E-Mails ablehnen oder als Spam einstufen.
Um die Sicherheit für alle E-Mail-Kunden zu erhöhen, ist es ab dem 15.01.2024 nur noch möglich, E-Mails über unsere Server zu versenden, wenn die Absenderadresse mit dem entsprechenden Postfach übereinstimmt. Weitere Informationen dazu finden Sie in unserem Hilfe-Center.


Ich hatte für den SMTP-Versand ein extra Konto dafür eingerichtet. Und dieses Konto wurde dann in diesem Hinweis auch noch benannt.
10138557388
10138557388 03.01.2024 aktualisiert um 10:38:12 Uhr
Goto Top
Zitat von @RalphT:
Sicher? Dann habe ich das vielleicht falsch verstanden.
Absolut!
Hier nochmal ein Auszug aus dem Text von IONOS:

wir haben festgestellt, dass Sie E-Mails mit alternativen oder leeren Absendern über unsere E-Mail-Server versenden. Dies kann ein Sicherheitsrisiko darstellen und dazu führen, dass andere E-Mail-Anbieter diese E-Mails ablehnen oder als Spam einstufen.
Um die Sicherheit für alle E-Mail-Kunden zu erhöhen, ist es ab dem 15.01.2024 nur noch möglich, E-Mails über unsere Server zu versenden, wenn die Absenderadresse mit dem entsprechenden Postfach übereinstimmt. Weitere Informationen dazu finden Sie in unserem Hilfe-Center.


Deren E-Mail ist kacke und missverständlich geschrieben!
Richtig steht es auf deren Webseite, die du ja selbst auch gepostet hast!!
https://www.ionos.de/hilfe/index.php?id=5380
Zitat:
Um die Sicherheit für unsere Kunden zu erhöhen, deaktivieren wir ab dem 15.01.2024 auf unseren E-Mail-Servern den Versand mit alternativen oder leeren Absenderadressen. Danach können E-Mails nur noch versendet werden, wenn die Absenderadresse die gleiche Domain hat, wie die des benutzten E-Mail-Postfachs.

Hinweis
Beachten Sie: Der Teil Ihrer E-Mail-Adresse vor dem @-Zeichen kann weiterhin frei gewählt werden. Der Teil der E-Mail-Adresse nach dem @-Zeichen muss bei Absenderadresse und verwendetem E-Mail-Postfach der Gleiche sein.
NordicMike
NordicMike 03.01.2024 aktualisiert um 10:45:58 Uhr
Goto Top
MXer selbst aufsetzen und betreiben, das das mit "richtiger Hard-/Software und Netzanbindung" und DNS sauber pflegen

Das hängt zu 50% von der Leitung ab (und zu 50% von der Paranoia des Admins)
Es gibt auch Spamfilter, die ganze IP Bereiche von Privatleitungen pauschal höher einstufen, z.B. die ganzen dynamischen IP Bereiche. Deswegen würde ich nie aus einer Telekom Leitung direkt versenden, auch, wenn ich eine feste IP bekommen habe.
RalphT
RalphT 03.01.2024 um 10:43:03 Uhr
Goto Top
Ok. 1:0 für dich.
Ich habe nur die Mail gelesen. In der Hilfe wurde es etwas anders formuliert. Da ist sogar ein Absatz, speziell zu diesem Thema. Habe ich natürlich nicht gelesen.

Gut, haben wir das auch geklärt.
RalphT
RalphT 03.01.2024 um 10:48:58 Uhr
Goto Top
Das versenden der Emails hat nicht unbedingt auch was mit dem Empfangen der Emails zu tun. Der empfangende Server steht im DNS als MX-Eintrag. Der versendende Mail Server steht im DNS als SPF Eintrag. Das können auch unterschiedliche oder mehrere Server sein.

Das ist richtig. Ich wollte ja eh von diesem Konstrukt mit senden über Smarthost und POP-Abholer weg. Nur nicht heute.

Aber so wie es ja aussieht, kann ich ja auch noch nach dem 15 Januar den Smarthost benutzen und mich in aller Ruhe um diesen Blacklisteintrag bemühen. Ich gucke mir die LOGs noch mal an, suche nach verdächtigen Sendetätigkeiten, danach stelle ich den Delisting Antrag. Weiß der Geier, wie lange dieser Eintrag schon existiert. Vielleicht suche nach etwas, was es schon lange nicht mehr gibt.
NordicMike
NordicMike 03.01.2024 aktualisiert um 10:53:59 Uhr
Goto Top
Wenn du bisher keine Beschwerden bekommen hast, dass jemand eure Email nicht empfangen hat, oder sogar Spam erhalten hat, würde ich mir keine großen Sorgen machen bzw keinen extremen Aufwand betreiben.

3 Zeilen ausfüllen (Der Grund ist nicht einmal ein Pflichtfeld), abschicken, beobachten.

https://www.barracudacentral.org/rbl/removal-request
RalphT
RalphT 03.01.2024 aktualisiert um 11:07:51 Uhr
Goto Top
NordicMike 03.01.2024 aktualisiert um 10:53:59 Uhr
Markiere als 'Lösung'
Goto Top
Wenn du bisher keine Beschwerden bekommen hast, dass jemand eure Email nicht empfangen hat, oder sogar Spam > erhalten hat, würde ich mir keine großen Sorgen machen bzw keinen extremen Aufwand betreiben.

So ist es auch und so werde ich das auch machen.
godlie
godlie 03.01.2024 um 17:51:28 Uhr
Goto Top
Hallo,
was mir bereits untergekommen ist, dass gewisse RBL Betreiber vorsorglich gleich eine ganze Ränge sperren.
Da kann es dann sein, dass man zum Handkuss kommt, wenn im Nachbarrack die Party läuft 😁

Grüße