Archiv verlassen und diese Seite im Standarddesign anzeigen : Mail-Logfile irreführend (Plesk/Postfix)
Hallo zusammen,
lange nicht aktiv gewesen hier. Nun dann mal wieder etwas, mir schleierhaftes. In /var/log/mail.log fällt mir alle naselang folgender Eintrag auf:
Aug 10 17:11:03 SERVERNAME postfix/smtpd[5430]: connect from exone.iprsnet.de[89.21.55.11]
Aug 10 17:11:03 SERVERNAME postfix/smtpd[5430]: NOQUEUE: reject: RCPT from exone.iprsnet.de[89.21.55.11]: 454 4.7.1 <meine.mail@firma.de>: Relay access denied; from=<kirchhoerde@dentlounge.de> to=<meine.mail@firma.de> proto=ESMTP helo=<exone.iprsnet.de>
Aug 10 17:11:03 SERVERNAME postfix/smtpd[5430]: disconnect from exone.iprsnet.de[89.21.55.11]
Von dieser Art ist das Logfile voll und wird im Minutentackt mehr. Kann mir dazu jemand etwas sagen? Hack / Spamschleuder etc.?
Auf dem Server läuft Plesk und als Mailserver Postfix. Besten Dank im Voraus.
Marc
corresponder
10.08.17, 21:50
"Relay access denied"
ist ja schon mal gut ;-)
89.21.55.11 versucht über deinen mailserver zu verschicken, darf aber nicht....
gruss
c.
DrunkenFreak
11.08.17, 07:03
Mit fail2ban filtern und IPs blocken. Dann tauchen die Einträge zumindest nicht mehr auf. Ist aber auch nur Kosmetik.
Existiert die Adresse meine.mail@firma.de?
Der Versuch E-Mails in gigantischen Mengen durchzuprobieren ist Normalität geworden. Zusätzlich zum erwähnten fail2ban ist es noch hilfreich Blacklists(DNSBL/RBL) einzusetzen. Und da Dein Mailserver die Mail nicht annimmt, ist er diesbezüglich auch schon mal sauber konfiguriert.
Hi,
nein meine.mail@firma.de wurde aus Datenschutzgründen verändert. Rest im Log ist korrekt.
Also es handelt sich definitiv um einen Sendeversuch von unserem Server ausgehend? Ein Kollege meint deren Mailer (dentlounge.de) versucht uns Mails zu schicken. Es kommt immer die gleiche E-Mail-Adresse im Log vor.
EDIT:
Gelöst habe ich es nun, indem ich die Domain dentlounge.de in Plesk auf die Blacklist gesetzt habe und 10 Minuten später wieder runtergenommen habe. Damit hörte das erst mal auf. Mal sehen wie lange.
Marc
Also es handelt sich definitiv um einen Sendeversuch von unserem Server ausgehend?
Nein. Das ist eingehend. Das sieht man an dem Teil der Zeile des Prozesses, der die Meldung produziert hat: postfix/smtpd (smtpD = D wie Daemon) und an der IP-Adresse des Servers, die eingeliefert hat: 89.21.55.11.
...die Domain dentlounge.de in Plesk auf die Blacklist gesetzt habe und 10 Minuten später wieder runtergenommen habe....
Damit kann man aber auch den ganzen Tag zubringen, wenn man das möche. Die zwei Empfehlungen für Dich stehen ja oben.
Okay gut. Das war etwas irreführend aufgrund der Aussage
89.21.55.11 versucht über deinen mailserver zu verschicken, darf aber nicht....
Mit fail2ban bin ich auf dem Server schon etwas im Thema. Das scheint aber nicht so sauber auf Mail-Dienstens zu klappen. Das Thema Blacklists (DNSBL/RBL) muss ich mit nochmal etwas genauer anschauen. Damit habe ich bisher noch nicht gearbeitet. Wird aber Zeit...
Hier auch ein guter Tip, wie man das mit Postscreen(mit dabei ab Postfix Version 2.8) erledigen kann. Dabei wird ein Punktewert definiert, ab dem eine E-Mail wegen Listeneinträgen abgelehnt wird. Der Punktewert wird wird erst erreicht, wenn Einträge in mehreren Listen vorhanden sind und keine Einträge in Whitelists vorhanden sind.
https://serversupportforum.de/forum/379542-post7.html
Postscreen-Doku
http://www.postfix.org/POSTSCREEN_README.html
(So. Jetzt habe ich das auch mal in ein Forum gepackt und kann es aus meiner Bookmarkliste entfernen :) )
Super, danke dir.
Ich habe es nun mal nach dieser Anleitung hier eingerichtet: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_3
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.