arano
Goto Top

Verständnis zu Postfix Logeintrag: noqueue: reject: rcpt

Hi,


Vorgestern hat mich eine Mail vom Chef erreicht, er kann keine E-Mails mehr an seine iCloud-Mail schicken.
Nun bin ich aber nicht der Serveradmin, sondern nur der Letzte in der Vertretungsliste...

Das Problem ist das unsere IP in die Blackliste von Proofpoint geraten ist.
Also gehe ich gerade die Logs durch und suche nach möglichen Spammails (als möglichen Sperrgrund) als ich folgende Einträge finde (ca 4 Stunden VOR der ersten blockierten Mail). Anderes auffälliges habe ich nicht gefunden.

Jan 19 11:25:53 h143nnnn postfix/smtpd[1805]: connect from lb-vip.sc4.proofpoint.com[208.84.66.42]
Jan 19 11:25:56 h143nnnn postfix/smtpd[1805]: NOQUEUE: reject: RCPT from lb-vip.sc4.proofpoint.com[208.84.66.42]: 454 4.7.1 <postmaster@stratoserver.net>: Relay access denied; from=<njuek@x-a.instagram.com> to=<postmaster@stratoserver.net> proto=ESMTP helo=<x-a.instagram.com>
Jan 19 11:25:56 h143nnnn postfix/smtpd[1805]: NOQUEUE: reject: RCPT from lb-vip.sc4.proofpoint.com[208.84.66.42]: 454 4.7.1 <u0p@legacy.com>: Relay access denied; from=<njuek@x-a.instagram.com> to=<u0p@legacy.com> proto=ESMTP helo=<x-a.instagram.com>
Jan 19 11:25:57 h143nnnn postfix/smtpd[1805]: disconnect from lb-vip.sc4.proofpoint.com[208.84.66.42]
Ich habe lediglich den Hostnamen geändert, alle anderen Angaben sind original und haben nichts mit unserer Domain gemein ! (wir sind Strato gehostet)

Hier der Logeintrag des eigentlichen Sendeversuchs (4 Std. später):
Jan 19 15:41:19 h143nnnn postfix/smtp[10603]: 8FBB22F21DD7: to=<unserefirma.gmbh.co.kg@me.com>, relay=mx1.mail.icloud.com[17.142.163.10]:25, delay=2.1, delays=0.35/0.01/1.4/0.27, dsn=5.7.0, status=bounced (host mx1.mail.icloud.com[17.142.163.10] said: 550 5.7.0 Blocked - see https://support.proofpoint.com/dnsbl-lookup.cgi?ip=81.nn.nn.nn: unserefirma.gmbh.co.kg@me.com (in reply to RCPT TO command))
Unter dem Link mit unserer IP wird dann auch unsere Domain angezeigt und der Status: "blocked".

Ich kann es entweder nicht lesen oder nicht glauben was dort steht.
"njuek" verbindet sich aus dem Proofpoint-Netzwerk zu unserem Server und versucht Mails(Spam?) an "Strato" und "Legacy" zu senden.

Das würde ja bedeuten das Proofpoint selber ein Problem hat, nee oder !?
Ich hoffe ihr könnt mir das etwas näher bringen oder gar bestätigen.


Schönen Abend noch
~Arano

Content-ID: 294021

Url: https://administrator.de/contentid/294021

Ausgedruckt am: 24.11.2024 um 17:11 Uhr

tikayevent
tikayevent 23.01.2016 um 22:29:44 Uhr
Goto Top
Die Hostname-Änderung wird schuld sein.

Jeder Mailserver meldet sich mit seinem Namen. Viele andere Mailserver prüfen beim Annehmen von E-Mails, ob der Hostname, mit den der Server in der Begrüßung vorstellt, auch legitim sein kann, ob Hostname und IP-Adresse zueinander passen und solche Sachen.
Immer häufiger gibt es auch eine Prüfung, bei der der Hostname in eine IP-Adresse aufgelöst wird und dann eine Rückwärtsauflösung der IP-Adresse gemacht wird. Dabei muss jedes mal der selbe Hostname rauskommen.
LordGurke
Lösung LordGurke 23.01.2016, aktualisiert am 08.02.2016 um 21:41:19 Uhr
Goto Top
Die billigste Methode Spam abzuliefern ist, sich wahrscheinliche Empfängeradressen aus dem PTR des Ziel-Mailservers abzuleiten.
Wenn ihr den Default von Strato "h098765.stratoserver.net" beibehalten habt wird vom Spambot einfach der vordere Teil abgeschnitten, so dass nur eine normale Domain ("stratoserver.net") übrig bleibt. Und so RFC-Adressen wie postmaster, hostmaster, webmaster oder auch gerne mal info werden dann gerne als Ziel angegeben - weil die einfach so gut wie immer vorhanden sind. Daraus wurde dann "postmaster@stratoserver.net" gebaut und versucht mit Spam zu bewerfen.

Euer Server hat - wie es sich gehört - die unauthorisierte Zustellung an fremde Domains abgelehnt.
Dass das aus dem Netz von Proofpoint kommt hat erstmal überhaupt nichts zu sagen. Das kann z.B. ein gehacketer Webspace sein der da missbraucht wird.

Das ist erstmal völlig antikoinzident zu dem Problem, dass ihr nicht mehr an @me.com senden könnt. Da würde ich eher euren generischen PTR im Verdacht haben. Ändert den mal auf was weniger generisches ab (z.B. "mail.eurefirma.tld") und stellt sicher, dass dieser Hostname auch wieder auf exakt eure Server-IP zeigt.
Wenn das gemacht wurde, müsst ihr ein wenig warten bis die DNS-Caches verfallen sind und könnt es dann wieder probieren face-wink
Genauere Gründe, warum ihr blockiert werdet, kann nur Apple euch unter der angegebenen URL sagen.

Es kann auch sein, dass eure Maildomain als Absender für Spam/Phishing/Viren missbraucht wurde (nur der Absender wurde gefälscht, nicht euer Server benutzt). Dann werden die Absenderdomains gerne mal in irgendwelche Blacklisten aufgenommen. Dagegen hilft dann nur DKIM und SPF.
Arano
Arano 24.01.2016 aktualisiert um 01:50:58 Uhr
Goto Top
Hi

oh...
Die Hostname-Änderung wird schuld sein.
Mit der Änderung (h143nnnn) meinte ich lediglich den Auszug des Logfiles, sorry
Der Server selbst hat seit einigen Jahren ein und den selben Namen.

~Arano
Arano
Arano 24.01.2016 um 16:41:18 Uhr
Goto Top
Hi,

[...] aus dem PTR des Ziel-Mailservers abzuleiten.
Wenn ihr den Default von Strato "h098765.stratoserver.net" beibehalten habt [...]
Nein haben wir nicht, der PTR zeigt auf unsere Domain (s. etwas tiefer).

Dass das aus dem Netz von Proofpoint kommt hat erstmal überhaupt nichts zu sagen. Das kann z.B. ein gehacketer Webspace sein der da missbraucht wird.
Ja da hast du natürlich Recht, nur ist Proofpoint aber der Dienstleister den Apple als "Spamfilter" einsetzt. (klar kann auch der gehackt worden sein, wer weiß)
Aber gelesen habe ich das Log soweit richtig ? Proofpoint-Server versucht über unseren Mail-Server eine Mail von "Instagram" an "Strato/Legacy" zu senden.

Da würde ich eher euren generischen PTR im Verdacht haben [...]
[15:34]arano:~$ dig -x 81.nn.nn.nn +shortunsere-firma.de.[15:47]arano:~$ dig unsere-firma.de A +short81.nn.nn.nn[15:35]arano:~$ dig unsere-firma.de MX +short10 unsere-firma.de.
Das sieht für mich vernünftig aus. Zumal das Plesk DNS-Tamplate mit vielen Funden aus dem Netz übereinstimmt.

Genauere Gründe, warum ihr blockiert werdet, kann nur Apple euch unter der angegebenen URL sagen.
Nun, da die Proofpoint einsetzen wird Apple da vieleicht auch keine Ahnung haben. Ne Mail an Proofpoint habe ich bereits verschickt - wird nur wegen dem Wochenende keiner drauf antworten face-smile

Es kann auch sein, dass eure Maildomain als Absender missbraucht wurde [...]
Da, wie ich gerade sehe kein SPF gesetzt ist müssten wir dann aber doch Backscatter erhalten. (zumindest immer mal wieder) Und das ist soweit ich weiß nicht der Fall.
Den SPF habe ich jetzt mal gesetzt, der muss nur Verteilt werden.
Ist dann aber wie folgt definiert:
unsere-firma.de TXT v=spf1 +a +mx -all

Nun, ich muss dann wohl erstmal auf die Antwort von Proofpoint warten wie es aussieht.

Danke vorerst für eure Zeit,
ich werde mich spätestens mit der Proofpoint Antwort mal melden.


Schönen Sonntag noch
~Arano
Arano
Arano 08.02.2016 um 21:40:37 Uhr
Goto Top
Guten Abend.

ich werde mich spätestens mit der Proofpoint Antwort mal melden
Also dann werdet ihr nie wieder etwas von mir hören.
Absolut keine Reaktion !
Weder auf die False-Positiv-Meldungen, noch auf irgendwelche eMails - nix !

Nun das Problem hat sich "in Luft aufgelöst" (oder vielleicht waren es doch die Mails), jedenfalls wird unsere IP-Adresse seit ein paar Tagen nicht mehr geblockt und alles geht wieder seiner Wege.

Nur unser SPF-Eintrag ist nicht gesetzt bzw. was ich tat erzielte keinen Eintrag. Da kümmern sich jetzt aber wieder die anderen drum.


Danke face-smile
~Arano