Kunden IP ist schon mehrmals in SPAMhouse.org Liste gelandet

#0
07.08.2008, 12:43
...neu hier

Beiträge: 9
#1 Hallo

Hat jemand noch eine Idee, ich habe nen Kunden und der ist jetzt schon in den letzten drei Tagen dreimal in die SPAM Blacklist gelandet, das löschen des Eintrags bei Spamhouse hat gut funktioniert und dies auch schneller als erholft.
Jetzt aber gehts um die analyse warum dies immer wieder passiert!

Folgendes habe ich schon gemacht:
>Astaro Firewall alle logs kontrolliert, update der //intrusion signature// gemacht. Port Anfragen kontrolliert, es sind immer nur die 80,443 und 25 die aktiv sind der rest wird von der Firewall blockiert.
>Bei allen Clients habe ich den Antivirus geupdatet und den ganzen scan laufen lassen und am ende auch nichts gefunden.
>Der Kunde benutzt keine Proxy

Was könnte es noch sein? Hat sonst noch jemand eine Idee.
Firewall blockt ja alles und es wurde keine malware/trojan gefunden.

Danke in voraus
Elena
Seitenanfang Seitenende
07.08.2008, 20:50
Member

Beiträge: 500
#2 Mal ein zwei Ansätze zum Nachdenken;)
- Was gibt Dir die Gewissheit, dass die E-Mail wirklich von Deinem Kunden ist
- Bist Du Dir sicher, dass Dein Kunde ein sauberes BS hat

Felix
__________
Keine Anfragen per E-Mail und PN!
Seitenanfang Seitenende
07.08.2008, 22:37
Moderator
Avatar hevtig

Beiträge: 2307
#3 Hallo Elena,

ja, das mit dem Mailversand wird immer schwieriger :/
Mit der Astaro kenne ich mich leider nicht so aus, aber welche logs hast du kontrolliert?
- Gibt es dort auch ein Message Tracking? Wenn es das gibt, kann man ja mal überprüfen, ob nicht doch evtl. "dubiose" Mails verschickt werden. (Also dein Kunde doch ein Malware- Problem hat.)

- Über was für eine Leitung schickt er die Mails? Hat er evtl. "nur" ADSL und bekommt täglich eine neue IP? Das wäre natürlich nicht gut und würde zur folge haben, daß eine Menge Mails nicht da ankommen, wo er es möchte..

- MX Eintrag korrekt gesetzt?

- Versendet der Kunde in Ausübung seines Geschäfts viele Werbemails/ Massenmails? Vielleicht sorgt ein Empfänger dafür, daß die Domain auf spamhaus gelistet wird.

- du könntest mal überprüfen, ob dein Mailserver als Relay fungiert, obwohl das Astaro vermutlich schon blockieren sollte...

- Ansonsten stehen ja auch in der FAQ von Spamhaus mehrere Tipps, wie man dafür sorgt, daß man selber nicht gelistet wird.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
19.08.2008, 11:21
...neu hier

Themenstarter

Beiträge: 9
#4 @HeVTiG und felix1

Zuerst Asche über mein Haupt, es tut mir sehr leid, musste schnell ins Ausland, konnte somit nicht antworten. Danke an euch beiden für die Hilfestellung!!!!!!!!

Zitat

Was gibt Dir die Gewissheit, dass die E-Mail wirklich von Deinem Kunden ist
Es wird ja nicht nur die Emailadresse gesperrt sondern seine Öffentliche IP vom Host und das ist ja die vom Exchange. Die Emailadresse wird ja so durch MX aufgelöst. Der rest gibt mir Whois ja auskunft wem die Adresse gehört.

Zitat

Bist Du Dir sicher, dass Dein Kunde ein sauberes BS hat
Ja ich habe alle 20 Clients mit HijackThis, Spybot, Stinger und malwarebytes.org getestet.
Alles soweit sauber und nichts verdächtiges gefunden, betreffend komische Software/Adware oder Spiele.
Auch alle Server habe ich überprüft, nichts gefunden.

Spamhouse empfhielt ja alle ports zu schliessen und die Clients mit dem Singer nach Viren zu überprüfen. Viel mehr kann ja Spamhouse ja auch nicht preisgeben, so hätten die Spammer genau die Informationen die Sie benötigen die Spamfilter zu umgehen. Nichtsdestotrotz bin ich überzeugt das die Spammer immer einen Schritt voraus sind. Ist einfach meine beobachtung. ;)

Ich habe nun folgendermassen das Problem mal gelöst, so das der Kunde sich nicht immer Aufregen muss. Ich habe einfach den SMTP über unsere Firewall umgeleitet, denn wir sind ja sauber. ;)
Seit dem ist es auch nicht mehr passiert, das der Kunde in die Spamhouse Liste gelangt ist, ist ja auch klar, wenn es immer noch so wäre dann wäre ein gröberes Problem.
Eine Langzeitige Lösung ist dies sicherlich nicht, aber in 4 Monate gibt es eh eine Änderung in der Geschäftsstruktur und eine neue Topologie/Hardware.
Ich bastle mir einfach eine weitere Firewall und lasse es über die laufen bis zur Migration. Danach werde ich ja sehen ob Sie wieder in die Spamliste landen werden.

Ich hatte auch schon die Idee vielleicht den Provider mal anzufragen aber der hier in der Schweiz ist einfach katastrophal, die Nerven habe ich einfach nicht mich mit denen Einzulassen. Die habe wirklich keine Ahnung was läuft und geht. ;)

Nun zu deine Fragen "HeVTiG": ;)

Zitat

aber welche logs hast du kontrolliert?"
Ich habe jegliche Port Anfragen in echtzeit überprüft und nichts verdächtiges gefunden, vielles ging über Port 80 und 53 und die waren ok und halt noch Port 25 ist ja klar und dort habe ich keine verdächtige Mails gesehen waren eigentlich alles Geschäftliches.

Zitat

- Über was für eine Leitung schickt er die Mails? Hat er evtl. "nur" ADSL und bekommt täglich eine neue IP? Das wäre natürlich nicht gut und würde zur folge haben, daß eine Menge Mails nicht da ankommen, wo er es möchte..
Er hat eine statische IP.

Zitat

MX Eintrag korrekt gesetzt?
MX stimmt.

Zitat

Versendet der Kunde in Ausübung seines Geschäfts viele Werbemails/ Massenmails? Vielleicht sorgt ein Empfänger dafür, daß die Domain auf spamhaus gelistet wird.
Ist eine gute Frage, habe ich auch überprüft das er nicht irgenwie jetzt übertrieben Emails versendet, es ist im Rahmen und nicht irgendwie 100 Emails innerhalb 5Minuten.

Zitat

du könntest mal überprüfen, ob dein Mailserver als Relay fungiert, obwohl das Astaro vermutlich schon blockieren sollte...
Habe ich auch überprüft, eine Anleitung ist hier zu finden:
http://www.msexchangefaq.de/internet/relay2000.htm

Zitat

Ansonsten stehen ja auch in der FAQ von Spamhaus mehrere Tipps, wie man dafür sorgt, daß man selber nicht gelistet wird.
Ja so aussagekräftig sind die jetzt auch nicht. ;)
Spamhouse sagt auch das man den Port 25 sperren sollte, super wie soll den eine Firma dann arbeiten, Email versenden über Hotmail.com oder Gmail?? ;)

Ich denke es ist vielleicht auch ein Teufelskreis, falls mal in so eine Liste auch wenn nur durch verdacht und unbegründet ist es sehr schwierig wieder da rauszukommen. Ich habe mich mal noch umgesehen im Netz, es gibt wirklich sehr viele Firmen die Probleme mit Spamhouse hatten. Viele habe sogar Spamhouse angezeigt und sogar gewonnen!!!! ;)

Ich denke diese Punkte hier sind alle die man überprüfen kann und durchführen soll. Habe gedacht ich treffe hier auf jemanden der das selbe Problem hatte und vielleicht noch eine Idee hätte.

Also ich muss wieder
Liebe Grüsse
Elena
Seitenanfang Seitenende
19.08.2008, 12:51
Member

Beiträge: 647
#5

Zitat

Elena postete
Spamhouse sagt auch das man den Port 25 sperren sollte, super wie soll den eine Firma dann arbeiten, Email versenden über Hotmail.com oder Gmail?? ;)

Öhm, MSA auf Port 587 laufen lassen, wie es sich eigentlich für jede Firma gehören sollte...
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: