Stehe auf einer Blacklist, wegen E-Mail Weiterleitung?

[clonecommander]

Hi,

habe heute mit bekommen, dass ich auf einer Blacklist stehe. Dort stand, ich soll in die Logs am 2.12. um 23:40 +/- 10 min schauen. Ich habe folgende Einträge gefunden, die ich als Grund für möglich halte.

Dec 2 23:43:43 meinhost qmail-queue-handlers[11343]: Handlers Filter before-queue for qmail started ...
Dec 2 23:43:43 meinhost qmail-queue-handlers[11343]: from=bobinettedro[...]@gmail.com
Dec 2 23:43:43 meinhost qmail-queue-handlers[11343]: to=User.Auf.Meinem.Server@domain-auf-meinem-server.de
Dec 2 23:43:43 meinhost qmail: 1259793823.821954 new msg 75005984
Dec 2 23:43:43 meinhost qmail: 1259793823.822027 info msg 75005984: bytes 1164 from <bobinettedro[...]@gmail.com> qp 11345 uid 2020
Dec 2 23:43:43 meinhost qmail: 1259793823.826969 starting delivery 2018: msg 75005984 to local 16-User.Auf.Meinem.Server@domain-auf-meinem-server.de
Dec 2 23:43:43 meinhost qmail: 1259793823.827048 status: local 1/10 remote 0/20
Dec 2 23:43:43 meinhost qmail-local-handlers[11346]: Handlers Filter before-local for qmail started ...
Dec 2 23:43:43 meinhost qmail-local-handlers[11346]: from=bobinettedro[...]@gmail.com
Dec 2 23:43:43 meinhost qmail-local-handlers[11346]: to=User.Auf.Meinem.Server@domain-auf-meinem-server.de
Dec 2 23:43:43 meinhost qmail-local-handlers[11346]: mailbox: /var/qmail/mailnames/domain-auf-meinem-server.de/User.Auf.Meinem.Server
Dec 2 23:43:43 meinhost spamd[12234]: spamd: got connection over /tmp/spamd_full.sock
Dec 2 23:43:43 meinhost spamd[12234]: spamd: using default config for User.Auf.Meinem.Server@domain-auf-meinem-server.de: /var/qmail/mailnames/domain-auf-meinem-server.de/User.Auf.Meinem.Server/.spamassassin/user_prefs
Dec 2 23:43:43 meinhost spamd[12234]: spamd: processing message <4BF67926.AB75F49C@gmail.com> for User.Auf.Meinem.Server@domain-auf-meinem-server.de:110
Dec 2 23:43:44 meinhost spamd[12234]: spamd: identified spam (17.0/7.0) for User.Auf.Meinem.Server@domain-auf-meinem-server.de:110 in 1.0 seconds, 1164 bytes.
Dec 2 23:43:44 meinhost spamd[12234]: spamd: result: Y 16 - RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_HTTP,RCVD_IN_SORBS_WEB,RCVD_IN_XBL,RDNS_NONE,URIBL_AB_SURBL,URIBL_BLACK,URIBL_
JP_SURBL,URIBL_OB_SURBL,URIBL_WS_SURBL scantime=1.0,size=1164,user=User.Auf.Meinem.Server@domain-auf-meinem-server.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mi
d=<4BF67926.AB75F49C@gmail.com>,autolearn=spam
Dec 2 23:43:44 meinhost qmail-queue-handlers[11354]: Handlers Filter before-queue for qmail started ...
Dec 2 23:43:44 meinhost qmail-queue-handlers[11354]: from=bobinettedro[...]@gmail.com
Dec 2 23:43:44 meinhost qmail-queue-handlers[11354]: to=adresse-an-die-der-user@seine-mails-weiterleiten-laesst.de
Dec 2 23:43:44 meinhost qmail: 1259793824.833915 new msg 75006036
Dec 2 23:43:44 meinhost qmail: 1259793824.834008 info msg 75006036: bytes 4450 from <bobinettedro[...]@gmail.com> qp 11355 uid 110
Dec 2 23:43:44 meinhost qmail: 1259793824.839939 starting delivery 2019: msg 75006036 to remote adresse-an-die-der-user@seine-mails-weiterleiten-laesst.de
Dec 2 23:43:44 meinhost qmail: 1259793824.840032 status: local 1/10 remote 1/20
Dec 2 23:43:44 meinhost qmail: 1259793824.840097 delivery 2018: success: did_0+1+1/qp_11354/
Dec 2 23:43:44 meinhost qmail: 1259793824.840156 status: local 0/10 remote 1/20
Dec 2 23:43:44 meinhost qmail: 1259793824.840216 end msg 75005984
Dec 2 23:43:44 meinhost qmail-remote-handlers[11356]: Handlers Filter before-remote for qmail started ...
Dec 2 23:43:44 meinhost qmail-remote-handlers[11356]: from=bobinettedro[...]@gmail.com
Dec 2 23:43:44 meinhost qmail-remote-handlers[11356]: to=adresse-an-die-der-user@seine-mails-weiterleiten-laesst.de
Dec 2 23:43:44 meinhost spamd[3129]: prefork: child states: II
Dec 2 23:43:44 meinhost qmail: 1259793824.991925 delivery 2019: failure: 194.25.134.72_failed_after_I_sent_the_message./Remote_host_said:_550-5.7.0_Message_considered_as_spam_or_virus,_rejected/550-5.7.0_Message_rejected_because_it_was_considered_as_spam._If_you_feel_this/550-5.7.0_to_be_an_error,_please_forward_the_wrong_classified_e-mail_to_our/550-5.7.0_abuse_department_at_FPR@RX.T-ONLINE.DE_with_all_the_header_lines!/550-5.7.0_We_will_analyse_the_problem_and_solve_it._We_are_sorry_for_any/550-5.7.0_inconvenience_and_thank_you_very_much_in_advance_for_your_support!/550-5.7.0__/550-5.7.0_Die_Annahme_Ihrer_Nachricht_wurde_abgelehnt,_da_sie_als_Spam/550-5.7.0_eingestuft_wurde._Sollten_Sie_dies_als_Fehler_ansehen,_bitten_wir/550-5.7.0_Sie_darum,_die_E-Mail_mit_allen_Kopfzeilen_an_FPR@RX.T-ONLINE.DE/550-5.7.0_weiterzuleiten._Das_Problem_w
Dec 2 23:43:44 meinhost qmail: 1259793824.991925+ird_dann_untersucht_und_geloest./550-5.7.0_Wir_bedauern,_Ihnen_Unbequemlichkeiten_bereitet_zu_haben,_und/550_5.7.0_bedanken_uns_vorab_fuer_Ihre_freundliche_Unterstuetzung!/
Dec 2 23:43:45 meinhost qmail: 1259793825.005078 bounce msg 75006036 qp 11357
Dec 2 23:43:45 meinhost qmail: 1259793825.005554 end msg 75006036
Dec 2 23:43:45 meinhost qmail: 1259793825.007899 new msg 75005984
Dec 2 23:43:45 meinhost qmail: 1259793825.008932 info msg 75005984: bytes 5917 from <> qp 11358 uid 2522
Dec 2 23:43:45 meinhost qmail: 1259793825.014922 starting delivery 2020: msg 75005984 to remote bobinettedro[...]@gmail.com
Dec 2 23:43:45 meinhost qmail: 1259793825.015006 status: local 0/10 remote 1/20
Dec 2 23:43:45 meinhost qmail-remote-handlers[11359]: Handlers Filter before-remote for qmail started ...
Dec 2 23:43:45 meinhost qmail-remote-handlers[11359]: from=
Dec 2 23:43:45 meinhost qmail-remote-handlers[11359]: to=bobinettedro[...]@gmail.com
Dec 2 23:43:48 meinhost qmail: 1259793828.236601 delivery 2020: failure: 209.85.135.27_does_not_like_recipient./Remote_host_said:_550-5.1.1_The_email_account_that_you_tried_to_reach_does_not_exist._Please_try/550-5.1.1_double-checking_the_recipient's_email_address_for_typos_or/550-5.1.1_unnecessary_spaces._Learn_more_at_____________________________/550_5.1.1_http://mail.google.com/support/bin/answer.py?answer=6596_23si4332671mum.33/Giving_up_on_209.85.135.27./
Dec 2 23:43:48 meinhost qmail: 1259793828.237094 status: local 0/10 remote 0/20
Dec 2 23:43:48 meinhost qmail-queue-handlers[11363]: Handlers Filter before-queue for qmail started ...
Dec 2 23:43:48 meinhost qmail-queue-handlers[11363]: from=#@[]
Dec 2 23:43:48 meinhost qmail-queue-handlers[11363]: to=postmaster@meinhost.de
Dec 2 23:43:48 meinhost qmail: 1259793828.252829 bounce msg 75005984 qp 11363
Dec 2 23:43:48 meinhost qmail: 1259793828.252906 end msg 75005984
Dec 2 23:43:48 meinhost qmail: 1259793828.252951 new msg 75006036
Dec 2 23:43:48 meinhost qmail: 1259793828.252995 info msg 75006036: bytes 6724 from <#@[]> qp 11364 uid 2522
Dec 2 23:43:48 meinhost qmail: 1259793828.290433 starting delivery 2021: msg 75006036 to local 38-postmaster@meinhost.de
Dec 2 23:43:48 meinhost qmail: 1259793828.290536 status: local 1/10 remote 0/20
Dec 2 23:43:48 meinhost qmail-local-handlers[11366]: Handlers Filter before-local for qmail started ...
Dec 2 23:43:48 meinhost qmail-local-handlers[11366]: from=#@[]
Dec 2 23:43:48 meinhost qmail-local-handlers[11366]: to=postmaster@meinhost.de
Dec 2 23:43:48 meinhost qmail-local-handlers[11366]: mailbox: /var/qmail/mailnames/meinhost.de
Dec 2 23:43:48 meinhost qmail: 1259793828.302983 delivery 2021: failure: This_address_no_longer_accepts_mail./
Dec 2 23:43:48 meinhost qmail: 1259793828.303786 status: local 0/10 remote 0/20
Dec 2 23:43:48 meinhost qmail: 1259793828.303862 triple bounce: discarding bounce/75006036
Dec 2 23:43:48 meinhost qmail: 1259793828.303908 end msg 75006036

Es kommt, so wie ich das sehe, eine SPAM-Mail an, und soll weitergeleitet werden (user hat nur eine Weiterleitung, keine Mailbox, kein spamassisin an)
Ziel der Weiterleitung ist T-Offline, das die Annahme verweigert, weils ja SPAM ist.

Kann das ein Grund für Blacklisting sein, weil ich die Mail wietergeleitet habe?
Wie kann ich das umgehen?
- Solche Mails garnicht erst annehmen (wie geht das zuverlässig?)
- Spamassi anschalten (wird nicht 100% identifizieren / geht der überhaupt bei net Weiterleitung?! Glaube nicht...)

Wäre für Tipps sehr dankbar! Vielleicht bin ich ja auch völlig auf dem Holzweg :)

System ist ein vServer mit SuSE 11.2 und Plesk 9.0.1, sowie qmail.

Tibor

[EdRoxter]

Welche Blacklist ist das denn?

Und ja, das kann durchaus sein. Ich weiß nicht, welche Mechanismen T-Offline da zum "denunzieren" nutzt, aber es ist absolut möglich, dass deren Software deinen Host, weil er ja der relayende ist, als die Wurzel des Übels ansieht.

Ich stand auch schon des Öfteren auf backscatterer.org, weil ein Kunde eine Weiterleitung auf eine AOL-Adresse eingerichtet hatte. Der AOL-Server hatte Spam-Mails rejected, woraufhin mein MTA logischerweise Bouncemails erzeugt hat.

Optimal wäre in dem Fall wohl, wenn T-Offline deine Kiste explizit whitelisten würde, aber ich glaube kaum, dass die da mit sich reden lassen.

P.S.: Dein SpamAssassin hat doch die Mail mit 17.x Zählern bereits als Spam erkannt. Wieso die Frage, ob du ihn anschalten solltest?

[daemotron]

In so einem Fall kommst Du aber nur sauber raus, wenn Du die Annahme solcher Mails bereits im SMTP-Dialog verweigerst (mit Status 50x). Bei QMail geht das z. B. mit Spamdyke. Wenn Du erst nach der Annahme reagierst, machst Du Dich entweder strafbar (bei kommentarloser Löschung) oder Du landest früher oder später bei backscatterer.org (bei Bounces an den From: header).

[clonecommander]

Blackscatter wars, genau. Die Info hätte ich vielleicht noch in den Beitrag packen sollen. Spamdyke werde ich mir mal ansehen, vielen Dank!

[clonecommander]

@ EdRoxter

Irgendwie habe ich deinen beitrag völlig übersehen! Sorry!

Mein Spamassi checkt ihn irgendwie, ist aber eigentlich bei dem Konto aus, und markiert weitergeleitete Mails eigentlich nie als Spam. Wenn er das tun würde und den Inhalt als Anlage mitschicken würde, wäre das Problem evttl auch damit schon gelöst. Habe btw auch Weiterleitungen zu AOL ^^

Ich werde auch in diese Richtung mal nachforschen. Vielen Dank.

[clonecommander]

So,

ich habe Spamdyke nun installiert, die Spammails die ich im Postfach noch erhalte haben sich um 99,9% reduziert - ein Traum! Wieso habe ich nicht früher von diesem Tollen Stück Software erfahren :D Vielen Dank!

Das Tutorial ist ja auch klasse, direkt für mein System angepasst. Aber ein paar Fragen habe ich noch:

1. im Tutorial sind Beispielconfigs für syslog-ng usw, aber meiner heißt einfach nur "systlog". Auszug aus der /etc/syslog.conf:

# /etc/syslog.conf - Configuration file for syslogd(8)
#
# For info about the format of this file, see "man syslog.conf".
#

#
#
# print most on tty10 and on the xconsole pipe
#
# kern.warning;*.err;authpriv.none /dev/tty10
# kern.warning;*.err;authpriv.none |/dev/xconsole
*.emerg *

# enable this, if you want that root is informed
# immediately, e.g. of logins
#*.alert root

# all email-messages in one file
#
mail.* -/usr/local/psa/var/log/maillog
mail.info -/var/log/mail.info
mail.warning -/var/log/mail.warn
mail.err /var/log/mail.err
...

Ich wollte gerne Spamdyke in eine extra File loggen lassen, habe auch mal die man-page gelesen. Man kann wohl aber nur Schlüsselwörter wie mail, kernel usw. verwenden :( spamdyke.* oder mail.spamdyke wollte er nicht schlucken.

2. Spamdyke wollte mit der Sample-Config nicht starten weil ihm folgende Werte nicht gefielen:

graylist-min-secs=300
graylist-max-secs=604800
greeting-delay-secs=5
smtp-auth-level=ondemand-encrypted

Ich habe sie nun auskommentiert. Er wird dann ja die Defaults nehmen, sollte passen oder?

3. smtp-auth-level wollte er evtl. nicht, weil ich keine Verschlüsselung beim SMTP habe.. zumindest habe ich dazu was gelesen (link leider verschlampt).
Jedenfalls hat er noch die folgenden Fehler ausgespuckt:

spamdyke[16283]: ERROR: unable to initialize SSL/TLS library
[...]
Dec 12 17:27:43 mein_horst spamdyke[16334]: ERROR: unable to open file for searching : No such file or directory
Dec 12 17:27:43 mein_horst spamdyke[16334]: ERROR: unable to load SSL/TLS certificate from file: : The operation failed due to an I/O error, Unexpected EOF found, error:02001002:lib(2):func(1):reason(2), error:20074002:lib(32):func(116):reason(2), error:140DC002:lib(20):func(220):reason(2)
Dec 12 17:27:43 mein_horst spamdyke[16334]: ERROR: incorrect SSL/TLS private key password or SSL/TLS certificate/privatekey mismatch : A protocol or library failure occurred, error:140A80B1:lib(20):func(168):reason(177)

WIe gesagt hatte ich dazu was gelesen, und da meine servercert.pem nur ein Link auf die clientcert.pem war habe ich folgenden Eintrag aus der spamdyke.conf einfach mal auskommentiert:

tls-certificate-file=/var/qmail/control/servercert.pem

Und nun bekomme ich nur noch folgende errors:

spamdyke[7191]: ERROR: unable to open file for searching : No such file or directory

Leider nicht sehr aussagekräftig, da ich keine Ahnung habe WELCHE File er denn nun nicht findet :(

Jemand eine Idee?