Hi Leute,
derzeit stellen wir den Mailserver um. Gestern habe ich mir überlegt, wie lange es wohl dauert, bis ein offenes Relay genutzt wird. Zu diesem Zweck habe ich Exim als Einzelinstanz laufen lassen und lasse alle eingehenden Mails in einen Ordner ablegen (werden also nicht zugestellt!).
Heute morgen waren bereits über 14500 Mails drin und es nimmt weiter zu. Inzwischen sind wir um 14:19 bei ca. 21600 Mails. Ich muss schon sagen, respekt. Kaum 2 Stunden nachdem ich Exim gestartet habe gings los!
Es ist wirklich krass... inzwischen tauchen auch IPs von der Telekom und AOL auf.
Naja, wollte nur einen kurzen Einblick geben wie schnell ein undichter Mailserver zur Spamschleuder werden kann.

oafish

respekt ;)

gute idee, steht er denn schon auf blacklists?

greez

Original geschrieben von oafish
Naja, wollte nur einen kurzen Einblick geben wie schnell ein undichter Mailserver zur Spamschleuder werden kann.Ich durfte das mal leider "live" erleben an meinem eigenen Mailserver. Mitten in der Konfiguration wurde ich gestoert und musste meine Arbeit unterbrechen. Dann kam ein Kollege auf ein/zwei/drei Bier vorbei, und ich habe den Compi ganz vergessen bis zum naechsten Morgen. Da war die /var-Partition bereits vollgelaufen mit Datenmuell und Fehlermeldungen, und ich war von meinem Provider "mail-maessig" abgehaengt, will sagen, er akzeptierte von mir keine Mail mehr. Dauerte rund eine Woche, bis alles wieder rund lief......

Gruss Pit.

das geht ja wirklich flott :)

Thx for info :)

Gruß Temp

Log die IPs und schreib deren Providern ne nette Email :)

Das ist echt "viel zu krass"...:eek:

... lol

Mir ist vor einigen Wochen der MTA eines regionales ISP (!) in Österreich als Open Relay aufgefallen. Vor einer Woche hab' ich dem technischen Leiter ein Mail geschrieben => keine Reaktion, kein Änderung. Heute ein Mail an den Geschäftsführer, immer noch nix ...

weitere Vorgangsweise? => ordb.org?

Was machen?

Grüße

Manx

schick denen doch über ihren eigenen mailserver mal 100 mails.... mit der bitte das loch zu stopfen...

witzig wärs auf alle Fälle :D

Gruß Temp

> schick denen doch über ihren eigenen mailserver mal 100 mails.... mit der bitte das loch zu stopfen...

Hi!

Nun ja, diese Mails muss ja auch ein selektives Relay annehmen, da sie local zugestellt werden (das ließe sich nur über RBL und dem Filtern von dial-up Adressen verhindern).
Und Mails an nicht existente (externe) Adressen mit nicht existentem (externen) Absender zu verschicken, damit die die ganzen Double Bounces bekommen, ist vielleicht schon illegal ;)

Mich interessiert eigentlich nur, ob bei einer Meldung an ordb.org auf mich zurückgegriffen werden kann, wenn die dann Probleme mit Mailzustellungen bekommen.

Grüße

Manx

PS: muss vielleicht mal telefonieren

Wirklich sehr interessanter Versuch :)


gute idee, steht er denn schon auf blacklists?

Das würde mich auch interessieren...

mfg
cane

Original geschrieben von oafish
[...]und lasse alle eingehenden Mails in einen Ordner ablegen (werden also nicht zugestellt!). [...]

kommt der so überhaupt auf eine spamlist?

Original geschrieben von [WCM]Manx
... lol

Mir ist vor einigen Wochen der MTA eines regionales ISP (!) in Österreich als Open Relay aufgefallen. Vor einer Woche hab' ich dem technischen Leiter ein Mail geschrieben => keine Reaktion, kein Änderung. Heute ein Mail an den Geschäftsführer, immer noch nix ...

weitere Vorgangsweise? => ordb.org?

Was machen?

Grüße

Manx

Welcher Provider?

Gruß
Steve

Original geschrieben von [WCM]Manx

Mich interessiert eigentlich nur, ob bei einer Meldung an ordb.org auf mich zurückgegriffen werden kann, wenn die dann Probleme mit Mailzustellungen bekommen.


ja und? wenn der provider ein OR betreiben will, ok, ist seine sache. genausogut hast du das recht, dieses OR auf eine blacklist setzen zu lassen. einfach http://www.ordb.org/submit/ und gut ist.


-j

Hier wäre dann wohl eine Teergrube angebracht. Hab aber keine Ahnung, obs was bringt ....

Warte noch auf eine Antwort von ordb.org... die lassen sich reichlich viel Zeit
Ich muss in der Firma auf 7 Tage die Woche stramm stehen :D :D :D

oafish

Original geschrieben von oafish
Hi Leute,
derzeit stellen wir den Mailserver um. Gestern habe ich mir überlegt, wie lange es wohl dauert, bis ein offenes Relay genutzt wird. Zu diesem Zweck habe ich Exim als Einzelinstanz laufen lassen und lasse alle eingehenden Mails in einen Ordner ablegen (werden also nicht zugestellt!).
Heute morgen waren bereits über 14500 Mails drin und es nimmt weiter zu. Inzwischen sind wir um 14:19 bei ca. 21600 Mails. Ich muss schon sagen, respekt. Kaum 2 Stunden nachdem ich Exim gestartet habe gings los!
Es ist wirklich krass... inzwischen tauchen auch IPs von der Telekom und AOL auf.
Naja, wollte nur einen kurzen Einblick geben wie schnell ein undichter Mailserver zur Spamschleuder werden kann.

oafish

Klasse Versuch. Das ist ganz nett um mal uneinsichtigen IT'lern vorzuführen, wie das ganze mißbraucht werden kann.

Original geschrieben von oafish
[...]und lasse alle eingehenden Mails in einen Ordner ablegen (werden also nicht zugestellt!). [...]



kommt der so überhaupt auf eine spamlist?


Da habe ich natürlich nicht dran gedacht :ugly:

mfg
cane

Original geschrieben von cane
Da habe ich natürlich nicht dran gedacht :ugly:

AFAIK scannen einige Blacklist-Dienste ganze Addressbereiche nach Relays ab. Also kann es gut sein, dass der Server in einer Blacklist landet, auch wenn nie ein (Spam-) Mail den Server verlassen hat.

GMX wurde mal auf eine Blacklist gesetzt, weil es dem Blacklist-Dienst nicht gefallen hat, wie der Server auf Spam-versuche reagiert. Irgendwie haben GMX eine spezielle Lösung, die zwar Spamming verhindert, aber für die Scanversuche nach Open-Relay aussehen.

Gruss, Andy

> Irgendwie haben GMX eine spezielle Lösung, die zwar Spamming verhindert, aber für die Scanversuche nach Open-Relay aussehen.

Qmail nimmt Mails mancher Relay-Tests zwar an, bounced sie später aber.


aus der qmail-ldap Doku:

tcpserver ENV: BLOCKRELAYPROBE

Note: This is quite useful to stop so called anti-spam probes of clueless
and overzealus wannabe RBL operators. These probes try to exploit
some ancient sendwhale bugs never existent in qmail. Unfortunatly
qmail accepts such stuff even if it doesn't relays it and bounces
it later. "!" is the old UUCP bang path. "%" is a sendwhale relaying
hack and double-"@" a sendwhale bug.

Manx

hallo,

hab auch einen honeypot mit postfix laufen.
dazu hab ich allerdings nur als relayhost einen nichtexistenten im internen netz genommen,wodurch nichts versendet wird.
kennt jemand vielleicht eine bessere variante fuer postfix, da mit der methode natuerlich immernoch der versuch des versendens unternommen wird und die rechnerlast sich proportional zur emailzahl verhaelt?
btw:kennt jemand den parameter, mit welchem die anzahl der sendungsversuche reduziert werden kann? :)

piefke