mail server blacklistato!!!
Matteo Rossini
http://www.senderbase.org/senderbase_queries/detailip?search_string=88.40.125.66
http://cbl.abuseat.org/lookup.cgi?ip=88.40.125.66&.submit=Lookup
non è la prima volta credo. Ho fato la richiesta di sblocco e
l'avevano fatto, ma ora è nuovamente blacklistato.
Prima di richiedere lo sblocco devo scoprire la causa, altrimenti me
lo bloccano definitivamente.
Come avviene solitamente il blocco? che parametri usano? da che si
accorgono?
Per dire, se nella rete ho un pc infetto, probabilmente questo
comincia a fare spam o simili, ma come si accorge il cbl e gli altri
che sto spammando?
Ora stiamo facendo la scansione di tutti i computer con un antivirus,
antiadware ecc.
Comunque più che altro io lo spam lo ricevo.
al proposito, nel maillog ho un po' di righe:
Nov 26 12:05:29 intesys postfix/smtpd[18251]: connect from unknown
[113.53.12.69]
postfix/smtpd[18251]: NOQUEUE: reject: RCPT from unknown
[113.53.12.69]: 550 <giovan...@miodominio.it>: Recipient address
rejected: User unknown in local recipient table;
from=<deforme...@roxy.com> to=<giovan...@tesys-spa.it>
proto=ESMTP helo=<dsldevice.lan>
postfix/smtpd[18251]: NOQUEUE: reject: RCPT from unknown
[113.53.12.69]: 550 <giovan...@tesys-spa.it>: Recipient address
rejected: User unknown in local recipient table;
from=<deforme...@roxy.com> to=<giovan...@tesys-spa.it>
proto=ESMTP helo=<dsldevice.lan>
...
...
postfix/smtpd[18251]: too many errors after RCPT from unknown
[113.53.12.69]
postfix/smtpd[18251]: disconnect from unknown[113.53.12.69]
che significa helo=<dsldevice.lan> ?
il whois di 113.53.12.69 mi restituisce: Unknown AS number or IP
network. Please upgrade this program.
Che posso fare?
Matteo
THe_ZiPMaN
> http://www.senderbase.org/senderbase_queries/detailip?search_string=88.40.125.66
> http://cbl.abuseat.org/lookup.cgi?ip=88.40.125.66&.submit=Lookup
>
E questo � molto male.
> Ho fato la richiesta di sblocco e
> l'avevano fatto, ma ora � nuovamente blacklistato.
Perch� non hai rimosso la causa del problema.
> Prima di richiedere lo sblocco devo scoprire la causa, altrimenti me
> lo bloccano definitivamente.
E farebbero bene :-)
> Come avviene solitamente il blocco? che parametri usano? da che si
> accorgono?
SpamTrap
> Per dire, se nella rete ho un pc infetto, probabilmente questo
> comincia a fare spam o simili, ma come si accorge il cbl e gli altri
> che sto spammando?
Perch� invii spam anche a loro.
> Ora stiamo facendo la scansione di tutti i computer con un antivirus,
> antiadware ecc.
>
> Comunque pi� che altro io lo spam lo ricevo.
Evidentemente lo invii anche altrimenti non saresti finito in BL.
> al proposito, nel maillog ho un po' di righe:
>
> Nov 26 12:05:29 intesys postfix/smtpd[18251]: connect from unknown
> [113.53.12.69]
> postfix/smtpd[18251]: NOQUEUE: reject: RCPT from unknown
> [113.53.12.69]: 550 <giovan...@miodominio.it>: Recipient address
> rejected: User unknown in local recipient table;
> from=<deforme...@roxy.com> to=<giovan...@tesys-spa.it>
> proto=ESMTP helo=<dsldevice.lan>
> postfix/smtpd[18251]: NOQUEUE: reject: RCPT from unknown
> [113.53.12.69]: 550 <giovan...@tesys-spa.it>: Recipient address
> rejected: User unknown in local recipient table;
> from=<deforme...@roxy.com> to=<giovan...@tesys-spa.it>
> proto=ESMTP helo=<dsldevice.lan>
> ...
> ...
> postfix/smtpd[18251]: too many errors after RCPT from unknown
> [113.53.12.69]
> postfix/smtpd[18251]: disconnect from unknown[113.53.12.69]
>
> che significa helo=<dsldevice.lan> ?
E' la stringa di Helo con cui si � presentato il client.
Se leggi le RFC5321 e RFC5322 (e se proprio vuoi anche le precedenti 821,
822, 2821 e 2822) c'� scritto tutto.
IMHO non � concepibile che chi amministra un server di posta non conosca
nemmeno le basi del protocollo SMTP.
> il whois di 113.53.12.69 mi restituisce: Unknown AS number or IP
> network. Please upgrade this program.
A che ti serve il whois? Perch� non aggiorni il programma come richiesto?
pippo@culettorosa:~$ whois 113.53.12.69
% APNIC found the following authoritative answer from: whois.apnic.net
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 113.53.0.0 - 113.53.191.255
netname: totnet
descr: dynamic IP for Broadband Service
descr: TOT Public Company Limited Bangkok
country: th
tech-c: ag100-ap
admin-c: pa82-ap
status: assigned non-portable
mnt-by: maint-th-tot
changed: ag10...@gmail.com 20081022
source: APNIC
[CUT ...]
> Che posso fare?
Puoi leggere quel che ti � stato indicato di leggere quando hai aperto il
link di CBL, e agire in accordo con quanto indicato specie per quel che
riguarda il nat e firewall. http://cbl.abuseat.org/nat.html
Normalmente chi scrive le istruzioni non lo fa per divertimento, ma lo fa
affinch� siano LETTE e comprese da coloro ai quali erano destinate.
--
Flavio Visentin
Nel messaggio <hcn9tv$ec$3...@news.albasani.net> un cretino ha scritto:
"Il microkernel e' morto da molto tempo ed ancora non lo sa." (cit. Bluff)
Bluto
> Il mio mailserver � stato blacklistato.
>
http://www.senderbase.org/senderbase_queries/detailip?search_string=88.40..125.66
> http://cbl.abuseat.org/lookup.cgi?ip=88.40.125.66&.submit=Lookup
> non � la prima volta credo. Ho fato la richiesta di sblocco e
> l'avevano fatto, ma ora � nuovamente blacklistato.
da qui sembra che il problema si sia manifestato solo da qualche giorno:
http://www.trustedsource.org/query/88.40.125.66
se fai mente locale magari riesci a risalire a qualche modifica errata che
puoi aver fatto alla configurazione del server, del firewall, ecc.
Saluti
Bluto
--
questo articolo e` stato inviato via web dal servizio gratuito
http://www.newsland.it/news segnala gli abusi ad ab...@newsland.it
Matteo Rossini
> > accorgono?
>
> SpamTrap
>
SpamTrap su google mi da troppi risultati diversi; è un sito? un
programma? qualcosa che devo scaricare?
> > Per dire, se nella rete ho un pc infetto, probabilmente questo
> > comincia a fare spam o simili, ma come si accorge il cbl e gli altri
> > che sto spammando?
>
> Perché invii spam anche a loro.
>
dai log di postfix non sembra che tiro fuori spam. Stamattina ho
abilitato i log del firewall così vedo se escono mail non dovute.
> > che significa helo=<dsldevice.lan> ?
>
> E' la stringa di Helo con cui si è presentato il client.
>
fino quà ci arrivo. Mi riferivo al dsldevice.lan ! solitamente è
l'hostname di un router (di quelli domestici). Che hanno bucato
qualche router e lo stanno usando come gateway?
> A che ti serve il whois?
>
per scoprire da dove viene quell'ip.
> Perché non aggiorni il programma come richiesto?
>
supponevo che whois 4.7.26 del 2008 avesse un database sufficiente.
evidentemente no!
A quanto pare il whois mostra che questo ip fa parte di un cliente
comune (dhcp) adsl, il che conferma che usa un router adsl
(probabilmente domestico)
>
> > Che posso fare?
>
> Puoi leggere quel che ti è stato indicato di leggere quando hai aperto il
> link di CBL, e agire in accordo con quanto indicato specie per quel che
> riguarda il nat e firewall.http://cbl.abuseat.org/nat.html
>
> Normalmente chi scrive le istruzioni non lo fa per divertimento, ma lo fa
> affinché siano LETTE e comprese da coloro ai quali erano destinate.
>
Infatti le ho lette, ma non posso mica bloccare troppo il firewall.
Come dicevo, però, ho abilitato il log; domattina dovrei avere
sufficiente materiale da analizzare.
La scansione dei pc la sto facendo (o meglio, la sta facendo chi è in
loco, visto che io sono in remoto e quindi più che toccare i server
non posso, quindi ancora non ne so l'esito)
Matteo
Vide
> SpamTrap su google mi da troppi risultati diversi;
google.com -> spam trap -> "i'm feeling lucky" -> risposta corretta (la voce
su Wikipedia tra l'altro)
--
Vide
Stefano Zamboni
> dai log di postfix non sembra che tiro fuori spam. Stamattina ho
> abilitato i log del firewall così vedo se escono mail non dovute.
>
> Infatti le ho lette, ma non posso mica bloccare troppo il firewall. Come
> dicevo, però, ho abilitato il log; domattina dovrei avere sufficiente
> materiale da analizzare.
scusa, la butto la ma.. NATURALMENTE le mail possono uscire da quella
rete solo se inviate dal server, vero? non è che se dall'interno, in un
pc, mi configuro un smtp esterno lo vedo, vero?
S.
Matteo Rossini
> rete solo se inviate dal server, vero? non è che se dall'interno, in un
> pc, mi configuro un smtp esterno lo vedo, vero?
>
effettivamente non ho blocchi in uscita (che provvederò a mettere
immediatamente).
comunque ho analizzato i log del firewall e sembrerebbe che da
mezzogiorno di ieri ad ora siano state inviate mail esclusivamente dal
server smtp.
Che mail siano non sono ancora andato a vederlo (sono arrivato ora in
ufficio)
Ciao
Matteo
Matteo Rossini
> > abilitato i log del firewall così vedo se escono mail non dovute.
>
>
mica voglio dire con questo "spammer fate quello che volete", ma sto
studiandomi la situazione.
Matteo
Matteo Rossini
> giorno:http://www.trustedsource.org/query/88.40.125.66
>
"Deviation"?
comunque ora non risulto più blacklistato.
Mi sono accorto di essere blacklistato perchè hp mi rimandava indietro
le mail dicendomi di vedere
http://www.spamhaus.org/query/bl?ip=88.40.125.66
oggi invece le mail arrivano correttamente e quel link dice
88.40.125.66 is not listed in the SBL
88.40.125.66 is not listed in the PBL
88.40.125.66 is not listed in the XBL
e l'altro
http://cbl.abuseat.org/lookup.cgi?ip=88.40.125.66&.submit=Lookup
dice
IP Address 88.40.125.66 is not currently listed in the CBL.
It was previously listed, but was removed at 2009-11-26 14:12 GMT
Il link che mi hai dato tu dice ancora "high risk", ma dice che
l'ultima lettura è di due giorni fa.
Matteo
bluto
> > da qui sembra che il problema si sia manifestato solo da qualche
> > giorno:http://www.trustedsource.org/query/88.40.125.66
> >
> questo sito � interessante; ma come viene calcolato? E cosa significa
> "Deviation"?
http://www.trustedsource.org/en/about/faq
ciao