Blockierungen des MailPlusServers. Habe ich ein Sicherheitsproblem?

[Ikzorn]

Hallo,

mein Mailserver blockiert zum Glück alle nicht authorisierte Anmeldeversuche und informiert mich darüber. Allerdings scheint sich in den letzten Tagen etwas geändert zu haben.
Leider werde ich aus dem Sicherheitsprotokoll des MailPlusServers nicht wirklich schlau.
Kann mir das jemand bitte erklären?
Die Absender- und Empfängeradresse die da irgendwas versucht ist mir nicht bekannt.
Habe ich ein Problem?





Vielen Dank für Eure Hilfe
Ikzorn

 

[dgollubits]

Überprüfe doch bitte mal deine Lizenzen ?
Sind diese alle aktiv ?

 

[TheGardner]

Sieht für mich so aus, als ob Dein Relay nicht (mehr) funktioniert!
- hast Du da etwas unter PROTOKOLL - SMTP Relais eingetragen?
- falls nicht, dann musst Du das jetzt wahrscheinlich tun, denn die bisherige Art und Weise scheint bei Dir nicht mehr zu funktionieren - scheinbar ist der Mailserver (bzw. dessen IP mittlerweile auf einer der Blacklists gelandet)

Bezüglich der Useranmeldungen! Da versucht irgendwer in den Mailserver einzubrechen! Diese Versuche hat wahrscheinlich jeder! Deine IP ist jetzt irgendwo im Internet gelistet und bekannt, dass dort Ports eines Mailservers offen sind und dann versuchen es halt paar Gestalten, da mal zu schauen, ob eine ihrer User/Pass Kreationen funktionieren könnten!

 

[dgollubits]

Sieht für mich so aus, als ob Dein Relay nicht (mehr) funktioniert!
- hast Du da etwas unter PROTOKOLL - SMTP Relais eingetragen?
- falls nicht, dann musst Du das jetzt wahrscheinlich tun, denn die bisherige Art und Weise scheint bei Dir nicht mehr zu funktionieren - scheinbar ist der Mailserver (bzw. dessen IP mittlerweile auf einer der Blacklists gelandet)

Aber das sind Auth, Failures ?

 

[TheGardner]

Ja! Und falls das der Hauptgrund ist, dann fällt mir dazu noch ein, dass Yahoo ebenfalls einen Schalter auf ihrer Seite eingebaut hat, woüber der Benutzer einstellen kann, dass auf das Konto von Drittanwendungen aus zugegriffen werden kann! Vielleicht ist der nicht gesetzt!?

 

[Ikzorn]

Hallo,

also der Mailversand per SMTP-Relais ist eingetragen und funktioniert schon monatelang reibungslos. Ich nutze Strato als Relais.
Es sind 4 von 5 möglichen Lizenzen aktiv.
Ich vermute auch nur missglückte Loginversuche, die durch meinen Server geblockt werden. Es erscheinen bloß immer nur diese Mailadressen (xo@ore.net und eax_64@yahoo.com) von unterschiedlichen IP´s.
IP´s werden nach missglückten Einlogversuchen automatisch gesperrt.
Am Wochenende habe ich die Firewallregeln geändert. Jetzt werden erstmal nur noch "Deutsche IP´s" akzeptiert.
Auch in den Spameinstellungen habe ich nun einiges aktiviert.

Hier mal das aktuelle Sicherheitsprotokoll.




Vielen Dank

 

[TheGardner]

Also wenn ich das recht rauslese, kann irgendwer bei Dir zumindest (Spam-)Mails versenden, die dann aber auf ner Blacklist gelandet sind und somit auch Deinen Server ggf. unbrauchbar fürs versenden machen!

Wer ist denn xo@ore.net ??? Oder eax_64@yahoo.com ??? Gehören die Dir? Wenn nicht, dann versucht ersterer aber Mails von Dir aus zu verschicken, was scheinbar erstmal geht! Nur kommen diese Mails dann von Deinem Relais Server zurück, weil der mit denen nix anfangen kann, bzw. diese entweder auf ner Blacklist gelandet sind, oder eben die Anmeldungen am Relaisserver nicht funktionieren!
Du musst dieses Gehabe (dass da irgendwer eMails von Deinem Server raussenden will) erstmal auf Deinem Server verbieten!
Finde raus wer als xo@ore.net eMails bei Dir versenden will!

 

[jahlives]

@ikzorn
das sind für mich vollkommen normale Logmeldungen. Da wird versucht Mails über deine DS nach aussen zu versenden. Das wird alles von der DS abgelehnt.
@TheGardner
ich glaube du liest falsch heraus ;-) Die RBL Logmeldung erzeugt seine DS, als sie den Zustellversuch von dieser 72-er IP abgewürgt hat. Das ist (sicher) nicht dem TS seine IP