E-Mails werden gefälscht? Ständig auf der schwarzen Liste

521
AspiringProgrammer

Bitte weisen Sie mich in die richtige Richtung, wenn dies nicht der beste Ort ist, um dies zu fragen, aber ich verwalte einen Linux-basierten (Centos) -Server mit Plesk.

Wir waren vor einigen Monaten Gegenstand eines Spam-Angriffs, bei dem (anscheinend von uns) über 360.000 E-Mails gesendet wurden und wir Tausende von E-Mails in unseren Posteingängen hatten.

Ich habe bereits SPF, DKIM und DMARC eingerichtet und kann anscheinend nicht herausfinden, wo ich falsch liege.

Wir waren gerade einem weiteren Angriff ausgesetzt und es wird nicht mehr lange dauern, bis wir wieder auf jeder möglichen schwarzen Liste sind (was es uns unmöglich macht, einen unserer tatsächlichen Kunden zu kontaktieren).

Unser SPF sieht so aus;

v=spf1 mx include:spf.mandrillapp.com include:_spf.google.com -all

Unser Maillog wurde mit Tausenden davon gefüllt;

Nov 20 21:32:41 hostname postfix/smtpd[45682]: warning: unknown[221.155.161.131]: SASL LOGIN authentication failed: authentication failure Nov 20 21:32:41 hostname postfix/smtpd[45682]: lost connection after AUTH from unknown[221.155.161.131] Nov 20 21:32:41 hostname postfix/smtpd[45682]: disconnect from unknown[221.155.161.131] Nov 20 21:32:42 hostname postfix/smtpd[45682]: connect from unknown[221.155.161.131] Nov 20 21:32:44 hostname plesk_saslauthd[45688]: Invalid mail address 'andy@' Nov 20 21:32:44 hostname postfix/smtpd[45682]: warning: unknown[221.155.161.131]: SASL LOGIN authentication failed: authentication failure Nov 20 21:32:44 hostname postfix/smtpd[45682]: lost connection after AUTH from unknown[221.155.161.131] Nov 20 21:32:44 hostname postfix/smtpd[45682]: disconnect from unknown[221.155.161.131] Nov 20 21:32:44 hostname postfix/smtpd[45682]: connect from unknown[221.155.161.131] Nov 20 21:32:45 hostname plesk_saslauthd[45688]: Invalid mail address 'angel@'

Und dann....

Nov 21 09:29:56 hostname postfix/smtpd[47398]: warning: 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251]: SASL LOGIN authentication failed: authentication failure Nov 21 09:29:56 hostname postfix/smtpd[47398]: lost connection after AUTH from 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251] Nov 21 09:29:56 hostname postfix/smtpd[47398]: disconnect from 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251] Nov 21 09:29:56 hostname postfix/smtpd[47398]: connect from 86-45-150-251-dynamic.agg7.rlc.lmk-mlw.eircom.net[86.45.150.251] Nov 21 09:29:58 hostname plesk_saslauthd[48264]: Invalid mail address 'temp@'

Kurz danach gibt es über 85 MB an Mailbox-Daten mit gesendeten E-Mails, gefolgt von zurückgestellten und blockierten E-Mails (aufgrund von Sperrlisten).

Jede Hilfe wird sehr geschätzt.

0
Prüfen Sie, wann Ihr Server das Weiterleiten von E-Mails für andere Domänen zulässt. Sehen Sie sich die Mails an, die über Ihren Server gesendet wurden, um ein Gefühl dafür zu bekommen, was möglicherweise falsch ist. Haben sie einen Ursprung Ihres Unternehmens oder verschiedener Unternehmen? Gibt es ein Muster für die Absendernamen? Seth vor 7 Jahren 0
Das Seltsame ist, Relay ist aktiviert, aber SMTP-Authentifizierung ist erforderlich. Das einzige Muster, das mir bei den E-Mails aufgefallen ist, ist, dass sie hauptsächlich russisch / deutsch für eine russische Website werben. AspiringProgrammer vor 7 Jahren 0
Gibt es einen guten Grund, dass das Relais aktiviert ist und nicht an bestimmte Hosts gesperrt ist? Wenn Sie diese E-Mails von autorisierten Hosts erhalten, wenden Sie sich an diejenige, die diesen Host ausführt. Seth vor 7 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme