nee nix Blacklist, weil der externe Spamfilter auch rausgehend filtert (Smarthost)
Beiträge von jwerner
-
-
Du hast den Konstrukt genau erkannt.
Provider per MX -> Spamfilter -> per MX an Tobitserver (Portforwarding)
Die lokale Firewall lässt nun nur noch Zugriffe aus dem Netz vom Spamfilter zu. Das ist auch getestet.
Leider war das vor ein paar Tagen noch nicht so und deswegen, wie Du auch richtig erkannt hast kurzzeitig > Openrelay
-
Ich fall auf die Knie!
Vielen Dank für die Hinweise NoHopeNoFear und BlackShadow.
Die david.job hatte ich bereits ergoogelt zum löschen.
Ausschlaggebend war "Apps\Faxware\Out\API" dort waren Tatsache knapp 50.000 Dateien drin. Seit dem löschen ist Ruhe.
Danke
-
in der ausgehenden Mail steht:
NOTIFICATION ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery of the following message has been delayed.
Subject: .
From: curage@apeldoorner.nl
Sent: Tue, 09 Jul 2019 10:11:37 +0200
Error on last try: Unknown Error
Message is still undelivered after 12 hours.
Trying transmission will be continued until message is 1 day old.
Automatically generated Delivery Status Notification by DvISE PostMan.
in den sekündlich erstellten eingehenden Mails steht:
X-DvISE-ForwardJob: Try count: 1, FirstTry: Wed, 10 Jul 2019 03:10:09 +0200
Received: from rc-modeli.ru [177.130.156.178] by xxxxxxxxxx.de with David.fx (0408.47454B4A45464A4F5150);
10 Jul 2019 01:10:03 UT
Message-ID: <af6c8bd8d3f82d210762d48773b41e14c58de1b6@doscafeteras.es>
From: =?utf-8?B?0JDQu9C10LrRgdCw0L3QtNGAINCf0LDQstC70L7QstC4?=
=?utf-8?B?0Yc=?= <alekseenko@doscafeteras.es>
To: =?utf-8?B?0JLQuNC60YLQvtGA?= <ngskurort@4duk.ru>
Subject: =?utf-8?B?0JvQuNGI0YwgMTAlINC/0YDQtdC00L/RgNC40L3QuNC8?=
=?utf-8?B?0LDRgtC10LvQtdC5INCz0YDQsNC80L7RgtC90L4g0LvQ?=
=?utf-8?B?uNC60LLQuNC00LjRgNGD0Y7RgiDRgdCy0L7QtSAg0J7Q?=
=?utf-8?B?ntCeLiAzINGB0L/QvtGB0L7QsdCwLi4=?=
Date: Wed, 10 Jul 2019 04:08:46 +0300
MIME-Version: 1.0
Content-Type: multipart/related; boundary="a3a61043489cb320fcf9b00f7ba97140ff24"
--a3a61043489cb320fcf9b00f7ba97140ff24
Content-Type: multipart/alternative; boundary="200abcefe4cfe5ec5055e34fa8fcd02e4071f5"
--200abcefe4cfe5ec5055e34fa8fcd02e4071f5
Content-Type: text/plain; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
--200abcefe4cfe5ec5055e34fa8fcd02e4071f5
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD>
<META http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-8">
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV align=3Dleft><FONT size=3D2 face=3DArial><IMG border=3D0 hspace=3D0 =
alt=3D""=20
src=3D"cid:168c8dc1eed6af82fb509c605@doscafeteras.es"></FONT></DIV></BODY=
></HTML>
--200abcefe4cfe5ec5055e34fa8fcd02e4071f5--
--a3a61043489cb320fcf9b00f7ba97140ff24
Content-Type: image/jpeg; name="njs.jpg"
Content-Transfer-Encoding: base64
Content-ID: <168c8dc1eed6af82fb509c605@doscafeteras.es>
*snip*
Hinweis: hinter xxxxxxxxxx.de steht die korrekte Domain.
Weiterleitungen sind seit ca. 2 Tagen deaktiviert.
Bei den eingehenden Mails steht "X-DvISE-ForwardJob" also eine Weiterleitung?
Aber wie gesagt, wenn der Postman Dienst beendet ist, werden trotzdem die Spam Mails im Eingangsprotokoll protokolliert und landen im SPAM Ordner.
POP / IMAP nicht benutzt die entsprechenden Ports werden auch nicht vom Router weitergeleitet.
Der PostMan Dienst ist doch für die Annahme der Mails zuständig. Hier verabschiedet sich mein Verständnis, das bei deaktivierten PostMan Dienst dennoch Spam im Eingang generiert werden.
Die Ausgabe im Status Monitor zeigt diese erstellten Mails nicht an?!
Danke für weitere Hinweise!
-
Hallo,
danke für die Antwort.
Gestern Nacht waren alle PCs aus, deswegen muss der Server selber die Ursache sein (ich denke nicht das ein FAX / Scanner die Ursache ist?! Oder doch?).
eingehender Weg:
Internet -> Spamfilterdienst (im Internet) -> lokale Firewall (Router Port Forwarding) -> W2K12 (Windows Firewall lässt nur Mail IP Range vom Spamfilterdienst rein)
Danke für weitere Hinweise
-
Guten Morgen,
bei einem System (12.00a - 2712) wurde vor einigen Tagen von POP Abruf auf MX umgestellt.
Vor zwei Tagen wurden Spamaktivitäten festgestellt. Es wurde umgehend die Weiterleitung entfernt und die Firewall lässt nur Mails vom Provider durch.
Im Sekundentakt werden Spammail generiert (Eingangsprotokoll) Port Internal (Benutzer: David Archive), diese werden in den Spamordner geschoben.
In der Nacht wurden ca. 60 Mails innerhalb 3 Minuten mit Betreff "Delivery Status Notification (Delay)" an eine Niederländische E-Mail geschickt.
Es gab auch einen neuen "dubiosen" Benutzer der sich auch als Generator dieser Spammails zeigte. Diesen Benutzer habe ich gelöscht.
Folgendes habe ich bereits unternommen / getestet:
eingehende Ports geschlossen -> die Spammail Mails werden weiter generiert
Webbox ist deaktiviert -> die Spammail Mails werden weiter generiert
Selbst nach langem suchen, kann ich das Problem nicht lösen.
Vielen Dank für Eure Unterstützung!
Jan