15
550 5.7.1 - .DNSBLs, in rhsbl.ahbl.org, aber die ist ja still gelegt
Hi!
ich arbeite in einem sehr kleinen Unternehmen (5 Mann). Bin kein echter Admin, aber kenne mich mit Linux einigermaßen aus.
Im August 2014 wurde einer unserer Server bei Hetzner angegriffen. Wie wir später rausfanden waren es Chinesen, die in einem weniger bekannten CMS (namens modX) einen Trojaner eingebaut haben. Damit konnten sie sich schön jede Menge chiffrierter Skripte auf den Server legen und dann von außen unseren Mailserver missbrauchen, um tausende an E-Mails damit zu versenden.
Unser Unternehmen hatte dadurch einen Riesenschaden. Da ich mich nicht im Stande sah das Problem zu beheben engagierte mein Chef einen externen Dienstleister. Der sicherte alles, setze postifix und den Server neu auf, spielte die Sicherung wieder ein. Und dann habe ich in mühevoller Handarbeit jedes Verzeichnis, welches im bestimmten Zeitraum lag, angesehen und die vielen Trojaner allesamt entfernt. Heute, gute 6 Monate nach dem Angriff, kann ich behaupten: ja, ich habe sie alle erwischt. Und aus dem modX den Trojaner ebenfalls entfernt. Alles läuft seitdem sauber, keine Auffälligkeiten. Nix.
Jetzt das Problem: Wir kamen damals durch den Missbrauch auf etliche BlackLists. Gerade bei Kommunikation über Amerika gab es Probleme (AOL, yahoo, *.com, msn etc), deutschlandintern nicht. Bei vielen konnte ich nach und nach die Löschung beantragen. Das war kein Problem und ging meist innerhalb Minuten.
Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen, durch die "Abusive Hosts Blocking List", kurz AHBL. Nun kann ich da nichts mehr beantragen, weil (das schreibt ihr ja hier auch) die stellte eingetlich unlängst "ihren Betrieb ein."
Wir wissen jetzt nicht mehr weiter. Mein Chef meinte, entweder ich finde eine Lösung in einem Forum für das Problem, oder (welch ein Irrsinn) wir kündigen den Server bei Hetzner und mieten wieder den selben, nur um die blöde IP loszuwerden. Denn offensichtlich sind es nicht die Mail-Accounts, die geblockt wurden, sondern die IP des Servers an sich.
Kann mir irgendjemand so helfen, dass wir den Pfand endgültig loswerden?
ich arbeite in einem sehr kleinen Unternehmen (5 Mann). Bin kein echter Admin, aber kenne mich mit Linux einigermaßen aus.
Im August 2014 wurde einer unserer Server bei Hetzner angegriffen. Wie wir später rausfanden waren es Chinesen, die in einem weniger bekannten CMS (namens modX) einen Trojaner eingebaut haben. Damit konnten sie sich schön jede Menge chiffrierter Skripte auf den Server legen und dann von außen unseren Mailserver missbrauchen, um tausende an E-Mails damit zu versenden.
Unser Unternehmen hatte dadurch einen Riesenschaden. Da ich mich nicht im Stande sah das Problem zu beheben engagierte mein Chef einen externen Dienstleister. Der sicherte alles, setze postifix und den Server neu auf, spielte die Sicherung wieder ein. Und dann habe ich in mühevoller Handarbeit jedes Verzeichnis, welches im bestimmten Zeitraum lag, angesehen und die vielen Trojaner allesamt entfernt. Heute, gute 6 Monate nach dem Angriff, kann ich behaupten: ja, ich habe sie alle erwischt. Und aus dem modX den Trojaner ebenfalls entfernt. Alles läuft seitdem sauber, keine Auffälligkeiten. Nix.
Jetzt das Problem: Wir kamen damals durch den Missbrauch auf etliche BlackLists. Gerade bei Kommunikation über Amerika gab es Probleme (AOL, yahoo, *.com, msn etc), deutschlandintern nicht. Bei vielen konnte ich nach und nach die Löschung beantragen. Das war kein Problem und ging meist innerhalb Minuten.
Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen, durch die "Abusive Hosts Blocking List", kurz AHBL. Nun kann ich da nichts mehr beantragen, weil (das schreibt ihr ja hier auch) die stellte eingetlich unlängst "ihren Betrieb ein."
Wir wissen jetzt nicht mehr weiter. Mein Chef meinte, entweder ich finde eine Lösung in einem Forum für das Problem, oder (welch ein Irrsinn) wir kündigen den Server bei Hetzner und mieten wieder den selben, nur um die blöde IP loszuwerden. Denn offensichtlich sind es nicht die Mail-Accounts, die geblockt wurden, sondern die IP des Servers an sich.
Kann mir irgendjemand so helfen, dass wir den Pfand endgültig loswerden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 267653
Url: https://administrator.de/contentid/267653
Printed on: April 26, 2024 at 00:04 o'clock
15 Comments
Latest comment
Hallo.
Meinst du nicht, dass es umgekehrt ist? Black Lists werden eigentlich immer im SPAM Filter auf der Empfänger Seite verwendet und nie auf der Absenderseite.
Wenn euch als jemand kein E-Mail senden kann, dann ist es eher so, dass in eurem SPAM Filter ein Problem vorliegt.
LG Günther
Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen
Meinst du nicht, dass es umgekehrt ist? Black Lists werden eigentlich immer im SPAM Filter auf der Empfänger Seite verwendet und nie auf der Absenderseite.
Wenn euch als jemand kein E-Mail senden kann, dann ist es eher so, dass in eurem SPAM Filter ein Problem vorliegt.
LG Günther
1
Hallo,
Was sagt also der NDR welches der (Ab)Sender erhält? Und was sagt dein Mailserver beim vergeblichen annehmen?
Gruß,
Peter
Zitat von @bloodybeginner2015:
Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen, durch die "Abusive Hosts Blocking List", kurz AHBL.
Dann ist die wohl auf euren Mailserver eingetragen und dort dann wohl aktiv am werkeln. Wie ist euer System konfiguriert bzw. welche AHBL etc. werden bei euch bzw. eurem Mailserver(anbieter) genutzt? Mails werden im Internet immer per SMTP gesendet und der Empfänger schaut nach ob der Sender erlaubt ist usw. Sollte einer deiner verwendeten Listen sagen "Njett", dann kann dir auch keine Post eingekippt werden.Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen, durch die "Abusive Hosts Blocking List", kurz AHBL.
Was sagt also der NDR welches der (Ab)Sender erhält? Und was sagt dein Mailserver beim vergeblichen annehmen?
Gruß,
Peter
1
Hallo,
Das Problem ist wie Günther geschrieben hat.
Es liegt nicht daran das ihr auf einer Blacklist steht sondern das ihr eine Blacklist verwendet die den Laden dicht gemacht hat und die das ganze nicht sauber handhaben und falsche Meldungen ausgeben.
Euer Postfix Server muss um konfiguriert werden
Das Problem ist wie Günther geschrieben hat.
Es liegt nicht daran das ihr auf einer Blacklist steht sondern das ihr eine Blacklist verwendet die den Laden dicht gemacht hat und die das ganze nicht sauber handhaben und falsche Meldungen ausgeben.
Euer Postfix Server muss um konfiguriert werden
1
Sie handhaben es auf die einzig richtige Weise:
Erstmal ankündigen, dann warten und dann für alle, die bis dahin nichts unternommen haben, einfach pauschal immer positive Antworten schicken, damit durch eben jenes Verhalten auch der Letzte diesen Eintrag in seiner Config entfernt
NACHTRAG:
http://www.ahbl.org/content/last-notice-wildcarding-services-jan-1st
http://www.heise.de/ix/meldung/DNS-Blacklist-AHBL-stellt-Betrieb-ein-25 ...
Erstmal ankündigen, dann warten und dann für alle, die bis dahin nichts unternommen haben, einfach pauschal immer positive Antworten schicken, damit durch eben jenes Verhalten auch der Letzte diesen Eintrag in seiner Config entfernt
NACHTRAG:
http://www.ahbl.org/content/last-notice-wildcarding-services-jan-1st
http://www.heise.de/ix/meldung/DNS-Blacklist-AHBL-stellt-Betrieb-ein-25 ...
Zitat von @bloodybeginner2015:
Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen, durch die "Abusive Hosts
Blocking List", kurz AHBL. Nun kann ich da nichts mehr beantragen, weil (das schreibt ihr ja hier auch) die stellte
eingetlich unlängst "ihren Betrieb ein."
Bis heute werden wir jedoch hartnäckig blockiert, wenn uns Menschen E-mail schreiben wollen, durch die "Abusive Hosts
Blocking List", kurz AHBL. Nun kann ich da nichts mehr beantragen, weil (das schreibt ihr ja hier auch) die stellte
eingetlich unlängst "ihren Betrieb ein."
Eindeutig ein Fehler in Eurer Config. Nehmt die Blacklist aus eurer MTA-Config raus und alles wird gut.
lks
PS: Für 105€ zzgl. MwSt. mache ich es. 5€ für den Zeitaufwand, 100€ für's gewußt wo.
Vielen Dank für die obigen Antworten. Wenn Ihr sagt, es liegt an der Config des eigenen Servers, dann wird das wohl so sein. Das Problem haben wir weiterhin. Ich habe schon den Server auf Linuxebene nach "hsbl" und "ahbl" durchsucht und finde einfach nichts. In der main.cf unter etc/postfix ist nichts eingetragen (meiner Meinung nach) was den Empfang auf diese Weise blockieren würde:
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname
smtpd_sender_restrictions = reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit_mynetworks,
permit_sasl_authenticated
smtpd_recipient_restrictions = reject_unlisted_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unlisted_recipient,
check_policy_service inet:127.0.0.1:12525,
check_policy_service inet:127.0.0.1:60000,
permit
smtpd_data_restrictions = reject_multi_recipient_bounce,
reject_unauth_pipelining
Habt Ihr Ideen, wo ich sonst suchen muss? Bin heute aufgefordert worden, da es abermals zu Abweisungen kam, das Problem entweder zu beheben oder unseren Admin-Service damit zu beauftragen. Der ist zwar nicht günstig aber sehr schnell und sehr fair, daher bekämen wir das vermutlich innerhalb 24 Stunden für 30-40 Euro aus der Welt. Ich würde es aber gerne selber gelöst bekommen. Und nicht so dumm sterben wie ich gerade bin.
- SASL paramters
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
smtpd_helo_required = yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname
smtpd_sender_restrictions = reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit_mynetworks,
permit_sasl_authenticated
smtpd_recipient_restrictions = reject_unlisted_sender,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unlisted_recipient,
check_policy_service inet:127.0.0.1:12525,
check_policy_service inet:127.0.0.1:60000,
permit
smtpd_data_restrictions = reject_multi_recipient_bounce,
reject_unauth_pipelining
Habt Ihr Ideen, wo ich sonst suchen muss? Bin heute aufgefordert worden, da es abermals zu Abweisungen kam, das Problem entweder zu beheben oder unseren Admin-Service damit zu beauftragen. Der ist zwar nicht günstig aber sehr schnell und sehr fair, daher bekämen wir das vermutlich innerhalb 24 Stunden für 30-40 Euro aus der Welt. Ich würde es aber gerne selber gelöst bekommen. Und nicht so dumm sterben wie ich gerade bin.
Zitat von @bloodybeginner2015:
Der ist zwar nicht günstig aber sehr schnell und sehr fair, daher
bekämen wir das vermutlich innerhalb 24 Stunden für 30-40 Euro aus der Welt.
Der ist zwar nicht günstig aber sehr schnell und sehr fair, daher
bekämen wir das vermutlich innerhalb 24 Stunden für 30-40 Euro aus der Welt.
30-40 Euro soll nicht günstig sein?
Was ist Deine Arbeitszeit wert?
Mein Rat: Laß die das machen.
lks
PS: Hast Du noch irgendwelche Content-filter wie amavis oder spamassassin laufen?
30-40 ist schon güstig. Na klar. Der Stundensatz an sich ist nicht günstig. Die haben einen Stundensatz von 120 Euro/Stunde. Das ist schon heftig. Höher als der unsere, wir berechnen als Beratungsunternehmen (!) lediglich 110 und das erst seit diesem Jahr, vorher 96,25.
Content-Filter - ich sehe keine. Habe gerade den Mann angeschrieben, der uns das System damals installiert hat.
Content-Filter - ich sehe keine. Habe gerade den Mann angeschrieben, der uns das System damals installiert hat.
Zitat von @bloodybeginner2015:
30-40 ist schon güstig. Na klar. Der Stundensatz an sich ist nicht günstig. Die haben einen Stundensatz von 120
Euro/Stunde.
Naja wie viel ein Beratungsunternehmen einem Wert ist, ist so ne Sache.30-40 ist schon güstig. Na klar. Der Stundensatz an sich ist nicht günstig. Die haben einen Stundensatz von 120
Euro/Stunde.
Aber ich glaub wenn man bei Siemens jemanden für die S7 ordert kommt man nicht unter 200€ weg und das sind dann Leute frisch aus dem Studium mit wenig bis keiner Ahnung.
Ja. Und frage mal bei SAP nach. Ich war mal als Freelancer bei Wincor Nixdorf. Die hatten einen Vertrag mit einem externen Dienstleister: 1 Tag, 2 Mann, 2500 Euro zzgl. Anfahrtskosten und Übernachtung. Was macht das pro Stunde? 2500/2/8= ca. 156? Ahoi eigener Swimming Pool!
Es gibt schon noch durchschnittswerte pro Segment der Branche: E-Commerce, Webagentur, Administration, Content Management, Software entwicklung (sogar je nach Programmiersprache). Und da sind 120 Euro für einen puren Hoster/Admin schon Spitze.
Es gibt schon noch durchschnittswerte pro Segment der Branche: E-Commerce, Webagentur, Administration, Content Management, Software entwicklung (sogar je nach Programmiersprache). Und da sind 120 Euro für einen puren Hoster/Admin schon Spitze.
Zitat von @bloodybeginner2015:
Ja. Und frage mal bei SAP nach. Ich war mal als Freelancer bei Wincor Nixdorf. Die hatten einen Vertrag mit einem externen
Dienstleister: 1 Tag, 2 Mann, 2500 Euro zzgl. Anfahrtskosten und Übernachtung. Was macht das pro Stunde? 2500/2/8= ca. 156?
Ahoi eigener Swimming Pool!
Ja. Und frage mal bei SAP nach. Ich war mal als Freelancer bei Wincor Nixdorf. Die hatten einen Vertrag mit einem externen
Dienstleister: 1 Tag, 2 Mann, 2500 Euro zzgl. Anfahrtskosten und Übernachtung. Was macht das pro Stunde? 2500/2/8= ca. 156?
Ahoi eigener Swimming Pool!
Schön wärs. Die techniker bekommen nur eien Bruchteil davon.
lks
Aber wie gesagt, das relativiert sich, wenn die Leute schnell und sehr gut sind. Und maximal pro Viertelstunde abrechnen. Als wir damals den Angriff auf den Server hatten saß ich 2 Tage da dran, um zu begriffen was da passiert. Die haben 1,5 Stunden benötigt, um das System neu aufzusetzen und alles wieder herzustellen. Dann habe ich 4 Stunden lang die Trojaner per Hand entfernt. Heute, nach 8 Monaten Laufzeit ohne Auffälligkeiten, darf man sagen: sauber, alle Viecher erwischt und beseitigt. Den Trojaner habe ich damals auseinander genommen und voll geblickt: ein fieses aber sehr faines und ganz einfaches Teil zum Verarbeiten von Spam-Texten und verschicken über unseren Mail-Server. Und eingeschleust wurde das Teil über ein kleines eher unbekanntes CMS, das wir installiert haben. So ein kleines Teil, so viel Ärger, Zeitverlust und Kosten.
Ich habe den externen Admin beauftragt. Nach 10 Minuten kam die Antowrt und vermutlich die Lösung:
"ihr benutzt den Policyd-Weigh-Dienst, der in in Postfix als Policy-Server eingebunden ist. Ich habe die RHSBL.AHBL.ORG-Liste aus dem Policyd-Weigh entfernt und ihn neu gestartet. Jetzt sollten keine Mails mehr rejected werden, die auf dieser Liste stehen."
Ich hoffe, die Probleme haben sich damit ein für alle mal erledigt. Hoffen darf man ja.
Jedem von Euch vielen Dank, der hier helfen wollte.
"ihr benutzt den Policyd-Weigh-Dienst, der in in Postfix als Policy-Server eingebunden ist. Ich habe die RHSBL.AHBL.ORG-Liste aus dem Policyd-Weigh entfernt und ihn neu gestartet. Jetzt sollten keine Mails mehr rejected werden, die auf dieser Liste stehen."
Ich hoffe, die Probleme haben sich damit ein für alle mal erledigt. Hoffen darf man ja.
Jedem von Euch vielen Dank, der hier helfen wollte.
Zitat von @bloodybeginner2015:
Ich habe den externen Admin beauftragt. Nach 10 Minuten kam die Antowrt und vermutlich die Lösung:
Ich habe den externen Admin beauftragt. Nach 10 Minuten kam die Antowrt und vermutlich die Lösung:
Da hat sich das selber herumdoktern ja kaum gelohnt.
Jedem von Euch vielen Dank, der hier helfen wollte.
Dann fehlt nur noch How can I mark a post as solved?
Gruß
lks
Nun ja, es geht nicht immer darum, ein Problem am effizientesten zu lösen. Sondern auch, das System besser kennen zulernen und die eigene Kompetenz zu erhöhen. Unser Ansprechpartner hat mir erklärt, weshalb meine Suche über grep nach einem entsprechenden Eintrag keinen Erfolg hatte, was für mich das Ende der Fahnenstange bedeutete:
---
per grep findest du da nichts, weil der Policy-Daemon ohne explizite Config mit seinen Default-Einstellungen läuft. Und im Default wird diese Blacklist in eurer alten Policy-Daemon-Version noch benutzt.
Was du machen musst, ist eine explizite Config zu generieren und dann dort die Blacklist rauszuwerfen.
---
Na dann. Fall erledigt. Soeben kam eine Mail an, die bislang immer zurückgewiesen wurde.
---
per grep findest du da nichts, weil der Policy-Daemon ohne explizite Config mit seinen Default-Einstellungen läuft. Und im Default wird diese Blacklist in eurer alten Policy-Daemon-Version noch benutzt.
Was du machen musst, ist eine explizite Config zu generieren und dann dort die Blacklist rauszuwerfen.
---
Na dann. Fall erledigt. Soeben kam eine Mail an, die bislang immer zurückgewiesen wurde.
