Blacklists

[ramalamadingdong]

Moin Leudde

also folgendes problem:

wir betreuen hier eine große firma. bei der ist letzte woche die firewall ausgefallen. danach offen wie ein scheunentor gewesen. naja, nach zwei stunden haben wir sie wieder dicht bekommen, jedoch haben die 2h gereicht, damit über unseren mailserver spammails verschickt werden konnten. habe zwar keine ahnung wie die das machen, ob die wohl riechen, dass da einer offen ist, oder so. naja, server wieder dicht und save, ABER: nuun sthet er auf nem dutzend blacklists im internet. klasse ... und unsere user heulen rum, dass sie kaum noch mails verschicken können. anschließend haben wir uns aus einigen blacklists austragen können, damit die großen domains per mail wieder erreichbar sind, aber das reicht nicht. hat einer ne ahnung wie man von den blacklists runterkommt, ohne jede einzelne von den hundert zu kontaktieren???

Thanx TMX

[nic_power]

Hallo,

Das könnte durchaus ein Problem werden, da es nicht so ohne weiteres möglich ist, sich automatisch aus einer Blacklist wieder austragen zu lassen. Zumal das auch davon abhängig ist, wie Ihr eingetragen wurdet (es gibt da verschiedene Mechanismen).

Was mich aber mehr als wundert isrt die Tatsache, dass Euer Mail-Server relayed hat, da das eine schwerwiegender Fehler in der Konfiguration des Mail-Servers ist (Firewall hin oder her). Never Ever sollte ein Mails-Server egal wo er steht Email einfach relayed. Da ist es voellig normal, dass die Maschine in kuerzester Zeit auf einer oder mehrere Blacklists landet. Ich hoffe, ihr habt die Konfiguration inzwischen korrigiert.

Nic

[sheep]

@ ramalamadingdong

Das von nic_power angesprochene Relaying wundert mich auch sehr. Das hat nichts mit der Konfiguration der Firewall zu tun, sondern ist ein Fehler in der Mailserver Konfiguration. Denn das ist der Grund warum es heutzutage so viele Spam Mails gibt: falsch konfigurierte Mailserver.

Die Frage bezüglich den Blacklists kann vielleicht jemand auf der win-sec Mailingliste beantworten. Dort ging es im letzer Zeit einige Male um Blacklists/Whitelists/Spam:

http://www.cert.dfn.de/infoserv/dml.html#SEC

Du kannst es dir ja mal anschauen.

[ramalamadingdong]

Also erstmal danke für die antwort. jedoch sind die hinweise für die konfig des exchange überflüssig, weil wir ja eine firewall davor hatten, die das relayen verhinderte. von der seite her war es unnötig dass an dem server einzustellen, nachdem die firewall unten war haben wir das auch sofort eingestellt, aber, da war es schon zu spät und wir waren auf den listen.

@sheep: danke für den link, aber da ist nix interessantes dabei. will ja runter von den listen kommen!

[sheep]

@ ramalamadingdong

Ich meinte damit, das du dich in der Mailingliste einträgst und deine Frage dort stellst oder hast du das bereits ?

[ramalamadingdong]

Ja habe ich, aber da kam noch nix zurück!

[daking]

Hallo,

da kann man nur sagen: dumm gelaufen. Wenn ihr schon so schlau seit und anonymes mailen zulasst und auch noch meint die Firewall schützt euch davor, dann seit ihr selber schuld...

Es ist, wie nic schon gesagt hat ,nicht gerade einfach aus den Blacklists wieder zu verschwinden. Diese fehlerhafte Mailserver Konfiguration ist schon lange bekannt...

(sollte eigentlich nicht mehr vorkommen!)

Ich denke eurer Mailserver ist in der DMZ plaziert, also angriffsziel N0 1, da kann man sich nicht auf Firewalls verlassen, wenn schon auf Proxies. Dies Fehler sollten nicht passieren. Spamming ist in dieser Richtung ja noch harmlos.

Hätte jemand über euren anonymen Zugang zu email Diensten die Chance gehabt Würmer a la ILoveYou zu verbreiten ( vielleicht sogar ohne richtig conf logging)

hätte das Image eurer Firma noch mehr geleidet..

Firmen die in dieser Richtung NICHT mit dem Trend gehen (d.h. Business Protection, Managed Services), werden in der Zukunft Probleme bekommen

Ciao

[ramalamadingdong]

Danke für deine hinweise

1. die firewall schützt sehr wohl vor solchen attaken

2. die updates auf ein eventuelles ads system wurde von seitens des kunden immer wieder abgeblockt

3. die firewall wurde professionell betreut. 24 h support 0 sek ausfall.

aber trotzdem danke, jetzt weiß ich wenigstens, dass was ich vorher schon wusste ... das es schwer ist von den listen runter zukommen. aber das sind wir ja nun ... also alles wieder gut.

[stunned]

/etc/mail/access.db

[daking]

@ramalamadingdong

Kurze Anmerkung

zu 1.

dann müsstest du einen Proxyserver vor den Mailserver schalten. Denke der Mailserver des Kunden soll von Außen erreichbar sein also in der DMZ sein.

Hier ist der Einsatz eines Proxys nicht sinnvoll, da dies die Performance des Mailservers verringert. Vor der DMZ wird nur max bis Layer 4 gefieltert, wenn überhaupt. Also muss der Mailserver abgesichert werden. Wurde der Kunde über diese Probleme z.B. durch ein Audit , informiert, ist das sein Problem und sollte ihm auch so klar gemacht werden. Aus Fehlern lernt man. Ist der Server nicht in der DMZ gewesen und das gesamte Netz offen gewesen sollte man sich über das allgemeine Design des Netzwerkes Gedanken machen um mit dieser Firma länger bestehen zu

können.

zu 2.

siehe oben - Vielleicht will der Kunde nach dieser Aktion investieren!

zu 3.

Betreut aber nicht 0 sec ausfall, da 2h Ausfall , der fatal war und das Image eures Kunden nicht gerade gut dasteht.

P.S. Nicht gleich zickig werden.