Verständnis zu Postfix Logeintrag: noqueue: reject: rcpt
Hi,
Vorgestern hat mich eine Mail vom Chef erreicht, er kann keine E-Mails mehr an seine iCloud-Mail schicken.
Nun bin ich aber nicht der Serveradmin, sondern nur der Letzte in der Vertretungsliste...
Das Problem ist das unsere IP in die Blackliste von Proofpoint geraten ist.
Also gehe ich gerade die Logs durch und suche nach möglichen Spammails (als möglichen Sperrgrund) als ich folgende Einträge finde (ca 4 Stunden VOR der ersten blockierten Mail). Anderes auffälliges habe ich nicht gefunden.
Ich habe lediglich den Hostnamen geändert, alle anderen Angaben sind original und haben nichts mit unserer Domain gemein ! (wir sind Strato gehostet)
Hier der Logeintrag des eigentlichen Sendeversuchs (4 Std. später):
Unter dem Link mit unserer IP wird dann auch unsere Domain angezeigt und der Status: "blocked".
Ich kann es entweder nicht lesen oder nicht glauben was dort steht.
"njuek" verbindet sich aus dem Proofpoint-Netzwerk zu unserem Server und versucht Mails(Spam?) an "Strato" und "Legacy" zu senden.
Das würde ja bedeuten das Proofpoint selber ein Problem hat, nee oder !?
Ich hoffe ihr könnt mir das etwas näher bringen oder gar bestätigen.
Schönen Abend noch
~Arano
Vorgestern hat mich eine Mail vom Chef erreicht, er kann keine E-Mails mehr an seine iCloud-Mail schicken.
Nun bin ich aber nicht der Serveradmin, sondern nur der Letzte in der Vertretungsliste...
Das Problem ist das unsere IP in die Blackliste von Proofpoint geraten ist.
Also gehe ich gerade die Logs durch und suche nach möglichen Spammails (als möglichen Sperrgrund) als ich folgende Einträge finde (ca 4 Stunden VOR der ersten blockierten Mail). Anderes auffälliges habe ich nicht gefunden.
Jan 19 11:25:53 h143nnnn postfix/smtpd[1805]: connect from lb-vip.sc4.proofpoint.com[208.84.66.42]
Jan 19 11:25:56 h143nnnn postfix/smtpd[1805]: NOQUEUE: reject: RCPT from lb-vip.sc4.proofpoint.com[208.84.66.42]: 454 4.7.1 <postmaster@stratoserver.net>: Relay access denied; from=<njuek@x-a.instagram.com> to=<postmaster@stratoserver.net> proto=ESMTP helo=<x-a.instagram.com>
Jan 19 11:25:56 h143nnnn postfix/smtpd[1805]: NOQUEUE: reject: RCPT from lb-vip.sc4.proofpoint.com[208.84.66.42]: 454 4.7.1 <u0p@legacy.com>: Relay access denied; from=<njuek@x-a.instagram.com> to=<u0p@legacy.com> proto=ESMTP helo=<x-a.instagram.com>
Jan 19 11:25:57 h143nnnn postfix/smtpd[1805]: disconnect from lb-vip.sc4.proofpoint.com[208.84.66.42]
Hier der Logeintrag des eigentlichen Sendeversuchs (4 Std. später):
Jan 19 15:41:19 h143nnnn postfix/smtp[10603]: 8FBB22F21DD7: to=<unserefirma.gmbh.co.kg@me.com>, relay=mx1.mail.icloud.com[17.142.163.10]:25, delay=2.1, delays=0.35/0.01/1.4/0.27, dsn=5.7.0, status=bounced (host mx1.mail.icloud.com[17.142.163.10] said: 550 5.7.0 Blocked - see https://support.proofpoint.com/dnsbl-lookup.cgi?ip=81.nn.nn.nn: unserefirma.gmbh.co.kg@me.com (in reply to RCPT TO command))
Ich kann es entweder nicht lesen oder nicht glauben was dort steht.
"njuek" verbindet sich aus dem Proofpoint-Netzwerk zu unserem Server und versucht Mails(Spam?) an "Strato" und "Legacy" zu senden.
Das würde ja bedeuten das Proofpoint selber ein Problem hat, nee oder !?
Ich hoffe ihr könnt mir das etwas näher bringen oder gar bestätigen.
Schönen Abend noch
~Arano
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294021
Url: https://administrator.de/contentid/294021
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
5 Kommentare
Neuester Kommentar
Die Hostname-Änderung wird schuld sein.
Jeder Mailserver meldet sich mit seinem Namen. Viele andere Mailserver prüfen beim Annehmen von E-Mails, ob der Hostname, mit den der Server in der Begrüßung vorstellt, auch legitim sein kann, ob Hostname und IP-Adresse zueinander passen und solche Sachen.
Immer häufiger gibt es auch eine Prüfung, bei der der Hostname in eine IP-Adresse aufgelöst wird und dann eine Rückwärtsauflösung der IP-Adresse gemacht wird. Dabei muss jedes mal der selbe Hostname rauskommen.
Jeder Mailserver meldet sich mit seinem Namen. Viele andere Mailserver prüfen beim Annehmen von E-Mails, ob der Hostname, mit den der Server in der Begrüßung vorstellt, auch legitim sein kann, ob Hostname und IP-Adresse zueinander passen und solche Sachen.
Immer häufiger gibt es auch eine Prüfung, bei der der Hostname in eine IP-Adresse aufgelöst wird und dann eine Rückwärtsauflösung der IP-Adresse gemacht wird. Dabei muss jedes mal der selbe Hostname rauskommen.
Die billigste Methode Spam abzuliefern ist, sich wahrscheinliche Empfängeradressen aus dem PTR des Ziel-Mailservers abzuleiten.
Wenn ihr den Default von Strato "h098765.stratoserver.net" beibehalten habt wird vom Spambot einfach der vordere Teil abgeschnitten, so dass nur eine normale Domain ("stratoserver.net") übrig bleibt. Und so RFC-Adressen wie postmaster, hostmaster, webmaster oder auch gerne mal info werden dann gerne als Ziel angegeben - weil die einfach so gut wie immer vorhanden sind. Daraus wurde dann "postmaster@stratoserver.net" gebaut und versucht mit Spam zu bewerfen.
Euer Server hat - wie es sich gehört - die unauthorisierte Zustellung an fremde Domains abgelehnt.
Dass das aus dem Netz von Proofpoint kommt hat erstmal überhaupt nichts zu sagen. Das kann z.B. ein gehacketer Webspace sein der da missbraucht wird.
Das ist erstmal völlig antikoinzident zu dem Problem, dass ihr nicht mehr an @me.com senden könnt. Da würde ich eher euren generischen PTR im Verdacht haben. Ändert den mal auf was weniger generisches ab (z.B. "mail.eurefirma.tld") und stellt sicher, dass dieser Hostname auch wieder auf exakt eure Server-IP zeigt.
Wenn das gemacht wurde, müsst ihr ein wenig warten bis die DNS-Caches verfallen sind und könnt es dann wieder probieren
Genauere Gründe, warum ihr blockiert werdet, kann nur Apple euch unter der angegebenen URL sagen.
Es kann auch sein, dass eure Maildomain als Absender für Spam/Phishing/Viren missbraucht wurde (nur der Absender wurde gefälscht, nicht euer Server benutzt). Dann werden die Absenderdomains gerne mal in irgendwelche Blacklisten aufgenommen. Dagegen hilft dann nur DKIM und SPF.
Wenn ihr den Default von Strato "h098765.stratoserver.net" beibehalten habt wird vom Spambot einfach der vordere Teil abgeschnitten, so dass nur eine normale Domain ("stratoserver.net") übrig bleibt. Und so RFC-Adressen wie postmaster, hostmaster, webmaster oder auch gerne mal info werden dann gerne als Ziel angegeben - weil die einfach so gut wie immer vorhanden sind. Daraus wurde dann "postmaster@stratoserver.net" gebaut und versucht mit Spam zu bewerfen.
Euer Server hat - wie es sich gehört - die unauthorisierte Zustellung an fremde Domains abgelehnt.
Dass das aus dem Netz von Proofpoint kommt hat erstmal überhaupt nichts zu sagen. Das kann z.B. ein gehacketer Webspace sein der da missbraucht wird.
Das ist erstmal völlig antikoinzident zu dem Problem, dass ihr nicht mehr an @me.com senden könnt. Da würde ich eher euren generischen PTR im Verdacht haben. Ändert den mal auf was weniger generisches ab (z.B. "mail.eurefirma.tld") und stellt sicher, dass dieser Hostname auch wieder auf exakt eure Server-IP zeigt.
Wenn das gemacht wurde, müsst ihr ein wenig warten bis die DNS-Caches verfallen sind und könnt es dann wieder probieren
Genauere Gründe, warum ihr blockiert werdet, kann nur Apple euch unter der angegebenen URL sagen.
Es kann auch sein, dass eure Maildomain als Absender für Spam/Phishing/Viren missbraucht wurde (nur der Absender wurde gefälscht, nicht euer Server benutzt). Dann werden die Absenderdomains gerne mal in irgendwelche Blacklisten aufgenommen. Dagegen hilft dann nur DKIM und SPF.