PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mail-Logfile irreführend (Plesk/Postfix)



19Marc82
10.08.17, 18:30
Hallo zusammen,

lange nicht aktiv gewesen hier. Nun dann mal wieder etwas, mir schleierhaftes. In /var/log/mail.log fällt mir alle naselang folgender Eintrag auf:


Aug 10 17:11:03 SERVERNAME postfix/smtpd[5430]: connect from exone.iprsnet.de[89.21.55.11]
Aug 10 17:11:03 SERVERNAME postfix/smtpd[5430]: NOQUEUE: reject: RCPT from exone.iprsnet.de[89.21.55.11]: 454 4.7.1 <meine.mail@firma.de>: Relay access denied; from=<kirchhoerde@dentlounge.de> to=<meine.mail@firma.de> proto=ESMTP helo=<exone.iprsnet.de>
Aug 10 17:11:03 SERVERNAME postfix/smtpd[5430]: disconnect from exone.iprsnet.de[89.21.55.11]

Von dieser Art ist das Logfile voll und wird im Minutentackt mehr. Kann mir dazu jemand etwas sagen? Hack / Spamschleuder etc.?
Auf dem Server läuft Plesk und als Mailserver Postfix. Besten Dank im Voraus.

Marc

corresponder
10.08.17, 22:50
"Relay access denied"
ist ja schon mal gut ;-)

89.21.55.11 versucht über deinen mailserver zu verschicken, darf aber nicht....

gruss

c.

DrunkenFreak
11.08.17, 08:03
Mit fail2ban filtern und IPs blocken. Dann tauchen die Einträge zumindest nicht mehr auf. Ist aber auch nur Kosmetik.

fork
11.08.17, 09:14
Existiert die Adresse meine.mail@firma.de?

Der Versuch E-Mails in gigantischen Mengen durchzuprobieren ist Normalität geworden. Zusätzlich zum erwähnten fail2ban ist es noch hilfreich Blacklists(DNSBL/RBL) einzusetzen. Und da Dein Mailserver die Mail nicht annimmt, ist er diesbezüglich auch schon mal sauber konfiguriert.

19Marc82
11.08.17, 10:03
Hi,

nein meine.mail@firma.de wurde aus Datenschutzgründen verändert. Rest im Log ist korrekt.
Also es handelt sich definitiv um einen Sendeversuch von unserem Server ausgehend? Ein Kollege meint deren Mailer (dentlounge.de) versucht uns Mails zu schicken. Es kommt immer die gleiche E-Mail-Adresse im Log vor.

EDIT:
Gelöst habe ich es nun, indem ich die Domain dentlounge.de in Plesk auf die Blacklist gesetzt habe und 10 Minuten später wieder runtergenommen habe. Damit hörte das erst mal auf. Mal sehen wie lange.

Marc

fork
11.08.17, 10:25
Also es handelt sich definitiv um einen Sendeversuch von unserem Server ausgehend?

Nein. Das ist eingehend. Das sieht man an dem Teil der Zeile des Prozesses, der die Meldung produziert hat: postfix/smtpd (smtpD = D wie Daemon) und an der IP-Adresse des Servers, die eingeliefert hat: 89.21.55.11.


...die Domain dentlounge.de in Plesk auf die Blacklist gesetzt habe und 10 Minuten später wieder runtergenommen habe....

Damit kann man aber auch den ganzen Tag zubringen, wenn man das möche. Die zwei Empfehlungen für Dich stehen ja oben.

19Marc82
11.08.17, 10:56
Okay gut. Das war etwas irreführend aufgrund der Aussage



89.21.55.11 versucht über deinen mailserver zu verschicken, darf aber nicht....

Mit fail2ban bin ich auf dem Server schon etwas im Thema. Das scheint aber nicht so sauber auf Mail-Dienstens zu klappen. Das Thema Blacklists (DNSBL/RBL) muss ich mit nochmal etwas genauer anschauen. Damit habe ich bisher noch nicht gearbeitet. Wird aber Zeit...

fork
11.08.17, 11:11
Hier auch ein guter Tip, wie man das mit Postscreen(mit dabei ab Postfix Version 2.8) erledigen kann. Dabei wird ein Punktewert definiert, ab dem eine E-Mail wegen Listeneinträgen abgelehnt wird. Der Punktewert wird wird erst erreicht, wenn Einträge in mehreren Listen vorhanden sind und keine Einträge in Whitelists vorhanden sind.

https://serversupportforum.de/forum/379542-post7.html

Postscreen-Doku

http://www.postfix.org/POSTSCREEN_README.html

(So. Jetzt habe ich das auch mal in ein Forum gepackt und kann es aus meiner Bookmarkliste entfernen :) )

19Marc82
11.08.17, 16:45
Super, danke dir.
Ich habe es nun mal nach dieser Anleitung hier eingerichtet: https://dokuwiki.nausch.org/doku.php/centos:mail_c7:spam_3