[SOLVED] Exim: Administr. prohibition, rejected after DATA

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

[SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 13:15

Hi,

ich bekomme derzeit wenn ich über meinen Exim Mailserver Mails versenden will stets im Outlook die Meldung

"Administrative prohibition"

und im maillog steht

"Rejected after DATA"

Kann damit jmd. etwas anfangen ?

Danke.

MfG
Last edited by nautilusiii on 2004-09-25 15:34, edited 1 time in total.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by floschi » 2004-09-25 13:27

exim4 -bh <IP> und schauen, wo's hakt.

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 13:33

Hi,

erstma Danke für die rasche Rückmeldung.
Ich nehme an ich geb da die IP des Rechners an auf dem mein Oulook läuft und von dem aus ich über meinen Mailserver eine Mail versenden will (der Mailserver ist der Rootserver, also ein anderer Rechner).

Ich bekomme dann:

exim -bh <ip>

**** SMTP testing session as if from host <ip>
**** but without any ident (RFC 1413) callback.
**** This is not for real!

>>> host in host_lookup? yes (matched "*")
>>> looking up host name for <ip>
>>> IP address lookup yielded xxx.dip.t-dialin.net
>>> gethostbyname looked up these IP addresses:
>>> name=xxx.dip.t-dialin.net address=<ip>
>>> checking addresses for yyy.dip.t-dialin.net
>>> <ip> OK
>>> host in host_reject_connection? no (option unset)
>>> host in sender_unqualified_hosts? no (option unset)
>>> host in recipient_unqualified_hosts? no (option unset)
>>> host in helo_verify_hosts? no (option unset)
>>> host in helo_try_verify_hosts? no (option unset)
>>> host in helo_accept_junk_hosts? no (option unset)
220 xxx.server.xxx ESMTP Exim 4.41 Sat, 25 Sep 2004 14:28:23 +0200

Und nu ?

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 14:13

So, jetzt weiß ich worans liegt, aber nicht wie ich das Problem lösen kann:

In meinen ACLs hab ich:

Code: Select all

# Add a warning header if the sending host is in these
# DNSBLs but acccept the message (or rather leave it for
# later ACLs to accept/deny
warn message = X-blacklisted-at: $dnslist_domain
dnslists = relays.ordb.org:bl.spamcop.net:sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org:combined.njabi.org:ipwhois.rfc-ignorant.org:dnsbl.sorbs.net:dul.dnsbl.sorbs.net:relays.visi.com:opm.blizted.org:dnsbl.ahbl.org:dsn.rfc-ignorant.org

# Finally, deny blacklisted mails
deny dnslists = relays.ordb.org:bl.spamcop.net:sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabl.org:combined.njabi.org:ipwhois.rfc-ignorant.org:dnsbl.sorbs.net:dul.dnsbl.sorbs.net:relays.visi.com:opm.blizted.org:dnsbl.ahbl.org:dsn.rfc-ignorant.org
Und genau daran liegt das...
Ich sende nämlich die Mails von einem PC der by dnyablock gelistet ist (weil er eine dynamische IP bekommt die dort gelistet ist).
Das kann ja wohl nicht wahr sein...
D.h. ja dann dass je nachdem welche IP ich vom ISP bekomme ich nicht über meinen Mailserver verschicken kann... denn wenn ich das deny auskommentiere geht alles wunderbar, dabei habe ich dieses ganze Blacklistinggedöhns extra eingebaut um Spam zu bekämpfen aber nicht geahnt dass sowas dabei rauskommen kann :-(((

Bei mir ist das im check-content acl drin...

Irgendeine Idee was ich jetzt machen kann ?

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 14:33

Ich hab meine ACL jetzt so abgeändert:

Code: Select all

# Add a warning header if the sending host is in these
# DNSBLs but acccept the message (or rather leave it for
# later ACLs to accept/deny
warn message = X-blacklisted-at: $dnslist_domain
dnslists = relays.ordb.org:bl.spamcop.net:sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabi.org:combined.njabi.org:ipwhois.rfc-ignorant.org:dnsbl.sorbs.net:dul.dnsbl.sorbs.net:relays.visi.com:opm.blizted.org:dnsbl.ahbl.org:dsn.rfc-ignorant.org

# Accept all authenticated
accept authenticated = *

# Finally, deny blacklisted mails
deny dnslists = relays.ordb.org:bl.spamcop.net:sbl-xbl.spamhaus.org:list.dsbl.org:dynablock.njabi.orgcombined.njabi.org:ipwhois.rfc-ignorant.org:dnsbl.sorbs.net:dul.dnsbl.sorbs.net:relays.visi.com:opm.blizted.org:dnsbl.ahbl.org:dsn.rfc-ignorant.org
Damit sollen mails über smtp auth authentifzierte user nicht denied werden.
Macht das Sinn ?
Seht Ihr da weitere Probleme ?

Zu funktionieren scheint es jedenfalls...

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by captaincrunch » 2004-09-25 14:37

Damit sollen mails über smtp auth authentifzierte user nicht denied werden.
Macht das Sinn ?
Nenn mich blöde, aber genau so sollte es IMHO doch sein, oder?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 14:48

GENAU - und deswegen frage ich ja ob meine Konfig da oben (ohne das accept authenticated) falsche war und die neue sinnvoller ist ?

Ferner frage ich mich:
Was passiert denn nun wenn mir jmd eine Mail schickt von einem client mit dyn ip der sich aber nicht an meinem mailserver authent. - dann besteht das Risiko ja weiterhin...

Ich dachte es werden nur Mailserver gegen die Liste grpüft und nicht Mail clients ?

*verwirrtBin*

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by captaincrunch » 2004-09-25 14:53

Was passiert denn nun wenn mir jmd eine Mail schickt von einem client mit dyn ip der sich aber nicht an meinem mailserver authent.
Genau das, was du oben so plastisch schilderst.
Ich dachte es werden nur Mailserver gegen die Liste grpüft und nicht Mail clients ?
Ach so...und woran soll dein MTA unterscheiden, um was es sich handelt? Ihm ist herzlich egal, ob er Mails von einem MUA oder einem MTA entgegennimmt (in dem Fall jedenfalls).
Das große Problem dabei sehe ich aber auch ehrlich gesagt erst gar nicht: Jeder mir bekannte seriöse Provider stellt seinen Kunden einen eigens zu diesem Zweck gedachten Relayserver zur Verfügung, an dem sich die Kunden dann authentifizieren, wenn sie Mails verschicken wollen. Diese zentralen Relayserver sind dann (hoffentlich) so gut gesichert, dass sie eben nicht auf RBLs landen.
Es gibt daher herzlich wenig "echte" Gründe, warum dir Leute mit dynamischer Einwahl-IP direkt Mails einliefern sollten.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 15:06

Mh, das macht Sinn, es funzt ja auch alles einwandfrei nachdem ich dieses "accept authenticated = *" aufgenommen habe, aber wieso funzt es ohne diese Zeile bei folgendem Szenario nicht:

Der Mailserver habe ip adr: A
Mein MUA sei auf meinem Laptop und habe dyn. IP: B

Ich öffne auf dem Läptop outlook und nehme als absender einen account X und als Empfänger einen Account Y.
X und Y sind Accounts von Dömänen auf dem Mailserver.

Beim absenden wird das ganze geblocked und im Log steht dass die IP "B" (nicht die des Mailservers) auf irgendeiner der Blacklists sei...

Das ist normales Verhalten und wird nicht passieren wenn andere Leute mir Mails über deren Relaymailserver schicken ?

*ImmerNochVerwirrtBin*

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 15:24

Mh, nach nochmaligem Nachdenken hab ichs kapiert glaub ich:

Es ist wohl so:
Normalerweise kommt ja eine Mail an meinen MTA von einem anderen MTA (der wiederum die Mail von einem weiteren MTA oder irgendwann einem MUA bekam). Diese anderen MTAs haben keine dyn IPs und sind idR nicht gelisted (wenn sie nicht "böse" - open relays - sind).

In meinem Fall war das nun anders:
Ich hab direkt an meinen MTA geschickt und der dachte mein MUA sei der MTA und hat dessen IP gechecked. Das war nat. eine dyn IP die gelisted war und damit: Peng...

Dadurch dass ich für alle user die sich direkt per smtpauth gegen meinen Mailserver authent. garkeinen Check mehr gegen RBLs mache funzt das nun wunderbar und für alle Mails die von "guten" MTAs kommen wird der Check zwar gemacht aber keine Probs auftreten...

Alles richtig verstanden ?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by dodolin » 2004-09-25 17:05

Es ist trotzdem Quark, wenn du RBL-Checks erst in der DATA ACL machst. .Warum tust du das?

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 17:34

Wo sollte ich es denn machen ?

Ich habe dieses vexim im Einsatz und mich an deren Aufteilung gehalten, aber Verbesserungsvorschläge sind willkommen.

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by floschi » 2004-09-25 18:39

Guck mal bei http://www.debianhowto.de nach, da haben wir bereits einiges beschrieben.

RBL-Checks bieten sich während des RCPT an, damit du E-Mails bereits dort abweisen kannst.

nautilusiii
Posts: 48
Joined: 2004-06-12 19:55

Re: [SOLVED] Exim: Administr. prohibition, rejected after DATA

Post by nautilusiii » 2004-09-25 18:51

Danke !!!

Cooler Tip... habs ins rcpt aufgenommen - macht Sinn...