messenhaft postscreen meldungen bei eingeloggten usern

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
zamorra
Posts: 20
Joined: 2006-02-04 22:10

messenhaft postscreen meldungen bei eingeloggten usern

Post by zamorra »

Hallo miteinander,

ich habe ein Problem das bei manchen Benutzern, nachdem sie sich angemeldet haben
MASSENHAFT " in tests after SMTP handshake" kommen
Das ganze wiederholt sich zum teil hundert mal
Oct 12 09:01:11 mail postfix/postscreen[27848]: CONNECT from [217.149.165.214]:26890 to [45.35.235.115]:25
Oct 12 09:01:11 mail postfix/dnsblog[27851]: addr 217.149.165.214 listed by domain zen.spamhaus.org as 127.0.0.11
Oct 12 09:01:11 mail dovecot: pop3-login: Login: user=<blabla@seinedomain.at>, method=PLAIN, rip=217.149.165.214, lip=45.35.235.115, mpid=27869, session=<ye3+AlFbAAnZlaXW>
Oct 12 09:01:17 mail postfix/postscreen[27848]: DNSBL rank 3 for [217.149.165.214]:26890
Oct 12 09:01:17 mail postfix/postscreen[27848]: HANGUP after 0.16 from [217.149.165.214]:26890 in tests after SMTP handshake
Oct 12 09:01:17 mail postfix/postscreen[27848]: DISCONNECT [217.149.165.214]:26890
Oct 12 09:01:19 mail postfix/postscreen[27848]: CONNECT from [217.149.165.214]:51441 to [45.35.235.115]:25
Oct 12 09:01:19 mail postfix/dnsblog[27860]: addr 217.149.165.214 listed by domain zen.spamhaus.org as 127.0.0.11
Oct 12 09:01:25 mail postfix/postscreen[27848]: DNSBL rank 3 for [217.149.165.214]:51441
Oct 12 09:01:26 mail postfix/postscreen[27848]: HANGUP after 1.6 from [217.149.165.214]:51441 in tests after SMTP handshake
Oct 12 09:01:26 mail postfix/postscreen[27848]: DISCONNECT [217.149.165.214]:51441
Oct 12 09:01:26 mail postfix/postscreen[27848]: CONNECT from [217.149.165.214]:26893 to [45.35.235.115]:25
Oct 12 09:01:26 mail postfix/dnsblog[27861]: addr 217.149.165.214 listed by domain zen.spamhaus.org as 127.0.0.11
Oct 12 09:01:32 mail postfix/postscreen[27848]: DNSBL rank 3 for [217.149.165.214]:26893
Oct 12 09:01:33 mail postfix/postscreen[27848]: HANGUP after 0.17 from [217.149.165.214]:26893 in tests after SMTP handshake
Oct 12 09:01:33 mail postfix/postscreen[27848]: DISCONNECT [217.149.165.214]:26893
Oct 12 09:01:33 mail postfix/postscreen[27848]: CONNECT from [217.149.165.214]:26865 to [45.35.235.115]:25
Oct 12 09:01:33 mail postfix/dnsblog[27852]: addr 217.149.165.214 listed by domain zen.spamhaus.org as 127.0.0.11
Oct 12 09:01:39 mail postfix/postscreen[27848]: DNSBL rank 3 for [217.149.165.214]:26865
Oct 12 09:01:39 mail postfix/postscreen[27848]: HANGUP after 0.16 from [217.149.165.214]:26865 in tests after SMTP handshake
Oct 12 09:01:39 mail postfix/postscreen[27848]: DISCONNECT [217.149.165.214]:26865
Oct 12 09:01:39 mail postfix/postscreen[27848]: CONNECT from [217.149.165.214]:2339 to [45.35.235.115]:25
Oct 12 09:01:39 mail postfix/dnsblog[27853]: addr 217.149.165.214 listed by domain zen.spamhaus.org as 127.0.0.11
Oct 12 09:01:45 mail postfix/postscreen[27848]: DNSBL rank 3 for [217.149.165.214]:2339
Oct 12 09:01:45 mail postfix/postscreen[27848]: HANGUP after 0.16 from [217.149.165.214]:2339 in tests after SMTP handshake
Oct 12 09:01:45 mail postfix/postscreen[27848]: DISCONNECT [217.149.165.214]:2339
Oct 12 09:01:45 mail postfix/postscreen[27848]: CONNECT from [217.149.165.214]:51422 to [45.35.235.115]:25
Oct 12 09:01:45 mail postfix/dnsblog[27852]: addr 217.149.165.214 listed by domain zen.spamhaus.org as 127.0.0.11
Oct 12 09:01:51 mail postfix/postscreen[27848]: DNSBL rank 3 for [217.149.165.214]:51422
Oct 12 09:01:51 mail postfix/postscreen[27848]: HANGUP after 0.1 from [217.149.165.214]:51422 in tests after SMTP handshake
Oct 12 09:01:51 mail postfix/postscreen[27848]: DISCONNECT [217.149.165.214]:51422
hier auch noch meine postfix main.cf
# POSTFIX(1) configuration file - auto-generated by i-MSCP
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
#
# General parameters
inet_protocols = ipv4
inet_interfaces = all
mynetworks_style = host
smtp_bind_address = 45.35.235.115
smtp_bind_address6 =
myhostname = mail.meinedomain.at
mydomain = mail.meinedomain.at.local
myorigin = $myhostname
smtpd_banner = $myhostname ESMTP i-MSCP 1.5.1 Managed
append_dot_mydomain = no
append_at_myorigin = yes
biff = no
recipient_delimiter = +
message_size_limit = 0

# Local delivery parameters
mydestination = $myhostname localhost.$mydomain localhost $mydomain
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
local_transport = local
local_destination_concurrency_limit = 2
local_destination_recipient_limit = 1
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
mail_spool_directory = /var/mail
mailbox_size_limit = 0

# Virtual delivery parameters
virtual_mailbox_base = /var/mail/virtual
virtual_mailbox_limit = 0
virtual_mailbox_domains = hash:/etc/postfix/imscp/domains
virtual_mailbox_maps = hash:/etc/postfix/imscp/mailboxes
virtual_alias_domains =
virtual_alias_maps = hash:/etc/postfix/imscp/aliases
virtual_transport = dovecot
virtual_destination_concurrency_limit = 2
virtual_destination_recipient_limit = 1
virtual_minimum_uid = 999
virtual_uid_maps = static:999
virtual_gid_maps = static:8

# Relay parameters
relay_domains = hash:/etc/postfix/imscp/relay_domains
relay_recipient_maps =
relay_transport = relay
relayhost =

# Transport parameters
transport_maps = hash:/etc/postfix/imscp/transport

# SMTP restrictions
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_client_access hash:/etc/postfix/access,
reject_unknown_client,
permit_dnswl_client list.dnswl.org,
reject_rbl_client ix.dnsbl.manitu.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client b.barracudacentral.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client psbl.surriel.com,
reject_rbl_client noptr.spamrats.com,
reject_rbl_client dyna.spamrats.com,
reject_rbl_client dnsbl.sorbs.net
# Ueberprueft den SMTP-Client nach dem er "Hallo" gesagt hat
smtpd_helo_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_helo_hostname,
reject_non_fqdn_helo_hostname,
permit
# Ueberprueft den "MAIL FROM:"-Befehl
smtpd_sender_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/access,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
smtpd_relay_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
permit
# Ueberprueft den "RCPT TO:"-Befehl
smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unlisted_recipient,
permit
smtpd_data_restrictions =
reject_multi_recipient_bounce,
reject_unauth_pipelining,
permit
smtpd_end_of_data_restrictions =
smtpd_etrn_restrictions =

# i-MSCP responder parameters
imscp-arpl_destination_concurrency_limit = 2
imscp-arpl_destination_recipient_limit = 1

# Parameters added at run-time by i-MSCP or 3rd-party components
smtpd_sasl_type = dovecot
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_auth_enable = yes
dovecot_destination_concurrency_limit = 2
dovecot_destination_recipient_limit = 1
smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_scache
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_exclude_ciphers = aNULL, MD5
smtp_tls_loglevel = 0
smtpd_tls_security_level = may
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
compatibility_level = 2
smtpd_tls_ciphers = high
smtp_tls_ciphers = high
smtpd_tls_session_cache_database = btree:/var/lib/postfix/smtpd_scache
smtpd_tls_loglevel = 0
smtp_tls_security_level = may
smtpd_tls_exclude_ciphers = aNULL, MD5
smtp_tls_protocols = !SSLv3
#smtpd_tls_cert_file = /etc/imscp/imscp_services.pem
smtp_tls_cert_file = /etc/letsencrypt/live/meinedomain.at/fullchain.pem
smtp_tls_key_file = /etc/letsencrypt/live/meinedomain.at/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/meinedomain.at/fullchain.pem
smtpd_tls_key_file = /etc/letsencrypt/live/meinedomain.at/privkey.pem
smtpd_tls_received_header = yes
smtpd_tls_auth_only = no
smtpd_tls_protocols = !SSLv3
#smtpd_tls_key_file = /etc/imscp/imscp_services.pem
milter_connect_macros = j {daemon_name} v {if_name} _
milter_default_action = tempfail
non_smtpd_milters = unix:/spamass/spamass.sock
smtpd_milters = unix:/spamass/spamass.sock
postscreen_blacklist_action = enforce
postscreen_dnsbl_sites = zen.spamhaus.org*3, bl.mailspike.net*2, b.barracudacentral.org*2, bl.spameatingmonkey.net, bl.spamcop.net, dnsbl.sorbs.net=127.0.0.[2;3;6;7;10], ix.dnsbl.manitu.net, bl.blocklist.de, list.dnswl.org=127.0.[0..255].0*-1, list.dnswl.org=127.0.[0..255].1*-2, list.dnswl.org=127.0.[0..255].[2..3]*-3, iadb.isipp.com=127.0.[0..255].[0..255]*-2, iadb.isipp.com=127.3.100.[6..200]*-2, wl.mailspike.net=127.0.0.[17;18]*-1, wl.mailspike.net=127.0.0.[19;20]*-2
postscreen_dnsbl_action = enforce
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_whitelist_threshold = -1
postscreen_greet_action = enforce
postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr
eventuell hat wer nen Tipp, ich weis leider nicht mehr weiter

und ganz deaktivieren will ich die "reject_non_fqdn_helo_hostname" halt auch nicht ..

Danke schon mal, Zamorra
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11135
Joined: 2003-02-27 01:00
Location: Hamburg

Re: messenhaft postscreen meldungen bei eingeloggten usern

Post by Joe User »

Dein "Nutzer" steht auf Blacklists (zen.spamhaus.org) und seine Spam-Software hält sich nicht an die Regeln (RFC) und kann sich deshalb nicht vernünftig mit Deinem Postfix unterhalten. Dein Postfix bemängelt das korrekterweise und stellt die Kommunikation mit der Spam-Software ein.
Dieses Verhalten sollte von Dir gewünscht sein.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
zamorra
Posts: 20
Joined: 2006-02-04 22:10

Re: messenhaft postscreen meldungen bei eingeloggten usern

Post by zamorra »

OK, also kann ich davon ausgehen das diese vielen Verbindungsversuche aufgrund eines Troyaners oder dergleichen von ihm verursacht werden?
Meine Vermutung war eher da er eventuell eine zu "alte" Email Software verwendet die das verursacht und wollte schon meinen reject aus der config nehmen.

Das die IP auf einer SPAM Liste ist, kann denke ich bei den IPs von Providern leicht passieren und muss ja nicht unbedingt von ihm verursacht worden sein.

Ich will nur nicht fälschlicher weise dem Benutzer sagen, "he, du hast einen Virus/Troyaner der SPAM verschickt"

Danke, Zamorra
Top
User avatar
Joe User
Project Manager
Project Manager
Posts: 11135
Joined: 2003-02-27 01:00
Location: Hamburg

Re: messenhaft postscreen meldungen bei eingeloggten usern

Post by Joe User »

Bei dem Nutzer läuft zumindest eine Mail-fähige Software (Email-Programm, Spamsoftware, Virus/Trojaner/Malware, etc.), welche sich nicht ganz an die technischen Regeln für Mailkommunikation zu halten scheint.
Bevor Du Deinen Nutzer aber irgendetwas mitteilst, solltest Du auch Deine main.cf und master.cf nochmals auf etwaige Fehler oder suboptimale Einstellungen überprüfen.
Als gute Basis für main.cf und master.cf kann ich Dir meine Basic-Configs aus meinem HowTo https://www.rootservice.org/howtos/free ... ing_system empfehlen, Du musst diese Configs allerdings an Dein System anpassen.

Zuerst solltest Du Dich um die hier betroffene postscreen Konfiguration kümmern, die sähe nach meinem HowTo und Deinen Bedürfnissen zum Beispiel so aus:

Code: Select all

postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/postscreen_access.cidr 
postscreen_bare_newline_action = enforce
postscreen_bare_newline_enable = yes
postscreen_blacklist_action = enforce
postscreen_dnsbl_action = enforce
postscreen_dnsbl_sites =
  iadb.isipp.com=127.0.[0..255].[0..255]*-2
  iadb.isipp.com=127.3.100.[6..200]*-2
  list.dnswl.org=127.0.[0..255].0*-2
  list.dnswl.org=127.0.[0..255].1*-4
  list.dnswl.org=127.0.[0..255].2*-6
  list.dnswl.org=127.0.[0..255].3*-8
  zen.spamhaus.org=127.0.0.9*25
  zen.spamhaus.org=127.0.0.3*10
  zen.spamhaus.org=127.0.0.2*5
  zen.spamhaus.org=127.0.0.[4..7]*3
  zen.spamhaus.org=127.0.0.[10..11]*3
  swl.spamhaus.org*-10
  bl.mailspike.net=127.0.0.2*10
  bl.mailspike.net=127.0.0.10*5
  bl.mailspike.net=127.0.0.11*4
  bl.mailspike.net=127.0.0.12*3
  bl.mailspike.net=127.0.0.13*2
  bl.mailspike.net=127.0.0.14*1
  wl.mailspike.net=127.0.0.16*-2
  wl.mailspike.net=127.0.0.17*-4
  wl.mailspike.net=127.0.0.18*-6
  wl.mailspike.net=127.0.0.19*-8
  wl.mailspike.net=127.0.0.20*-10
  backscatter.spameatingmonkey.net*2
  bl.ipv6.spameatingmonkey.net*2
  bl.spameatingmonkey.net*2
  b.barracudacentral.org*2
  ix.dnsbl.manitu.net*2
  bl.spamcop.net*2
  db.wpbl.info*2
  psbl.surriel.com*2
  torexit.dan.me.uk*2
  tor.dan.me.uk*1
  safe.dnsbl.sorbs.net*1
postscreen_dnsbl_threshold = 5
postscreen_dnsbl_whitelist_threshold = 0
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
So solltest Du Deine main.cf und master.cf überarbeiten, wird mal wieder Zeit.
Wenn dann immernoch ungewöhnliche Logeinträge sich häufen, dann kannst Du den Nutzer darauf hinweisen, dass er möglicherweise ein Problem hat.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top
zamorra
Posts: 20
Joined: 2006-02-04 22:10

Re: messenhaft postscreen meldungen bei eingeloggten usern

Post by zamorra »

Super, Danke!

wird ich gleich mal durchschauen und anpassen.

so ganz frei kann ich das System leider nicht einstellen wie in deiner Wiki, sonst spielt mein i-MSCP nicht mehr mit :)

Aber die Vergleiche zu meinen confs sind auf jeden fall sehr hilfreich.

Danke nochmals, Zamorra
Top

Return to “Mailserver”