Spamhaus.org listet unsere IP

Hallo,
wie schon geschrieben listet spamhaus.org unsere IP von unserem Windows server, über den wir emails mittels hmail server senden und empfangen. wir haben eine feste ip und verschicken keinen spam. wir nutzen dies nur für unsere Firma. wir arbeiten mittels outlook um die mails per smtp auth über unseren hmail server zu verschicken. jetzt die frage wieso wir zum 2. mal bei spamhaus.org mit der server ip gelistet wurden? liegt das vllt an outlook? oder ehr am hmail server? wir wissen zur zeit nicht weiter. falls noch daten fehlen gebe ich sie noch dazu. vielen dank für eure hilfe

Mfg

Kann es sein, dass ein Rechner im Netz ohne Virenschtuz ist und von dort gespammt wurde?

So war das zumindest mal bei uns.

Gruß

Hallo,

ich sehe spontan 4 Moeglichkeiten:

1. Der hmail-Server hat einen Konfigurationsfehler, wodurch Dritte diesen zum Spamversand missbrauchen koennen (da geben ggf. Logfiles des Servers Aufschluss).

2. Der Windows-Server an sich wurde gehackt und wird jetzt missbraucht (schwerer festzustellen).

3. Einer der Clients wurde mit einem Trojaner infiziert, der jetzt mittels mitgelesener (gueltiger) Anmeldedaten Mails verschickt (auch das sollte das Log des Servers zeigen).

4. Wenn ueber den Server Newsletter versandt werden, koennten diese ggf. irgendwo den Spamverdacht triggern.

Gibt Spamhaus eine Auskunft, aus welchem Grund die IP gelistet ist?

Viele Gruesse,
Volker

Liebe/-r User du solltest Inhalte generell nur als PDF Format senden, das geht normalerweise recht einfach!

jeder pc hat virenschutz nur der windows server von strato nicht.

aus welchem grund das spamhaus macht weiß ich nicht hab auch nix gesehen hab uns erst mal wieder aus der liste austragen lassen was aber auch nicht die lösung ist

ok als pdf zu senden ist easy. nur ob das das problem löst?
mfg

Für eine Analyse der Sachlage, braucht man zwangsweise die IP.
Übliche Informationen sind:

• PTR der IP.
• Traceroute der IP.
• Konkrete Meldung von Spamhaus und welche Liste.

Eine Analyse behinhaltet auch das umliegende Netzwerk:

• Könnte es als Einwahl-Netzwerk verstanden werden?
• Könnte es als virtuelles Netzwerk erkannt werden?

huschi.

hallo,
bei spamhaus wird es immer in der xbl gelistet. unser server ist ein vserver bei strato. unsere ip ist 85.214.140.102
wo ich jetzt die restlichen infos herbekomme weiß ich leider nicht

mfg

Hi,

Hierfür sind die FAQs von spamhaus interessant: definition of SPAM. Vielleicht kann auch der Support weiter helfen. Ich würde mal die Header der Mails anschauen undmit dem Content abgleichen. Die Logs vom mailrelay sind sicher auch hilfreich bei der Analyse. Hat das mailrelay einen DNS Eintrag oder nur eine feste IP? Wird der Mailheader vom Relay verändert?

Es gibt hierfür leider keine einfache Antwort, aber es gibt sicher Anleitungen im Netz worauf man bei der Config achten muss.

Gruß
Stefan

Das passt schon. Anhand der IP kann ich eigene Test machen.
Allerdings sagt mir Spamhaus aktuelle: „not listed“.

Wenn es die XBL-Liste ist, dann ließ Dir mal durch, was XBL bedeutet:
http://www.spamhaus.org/faq/section/Spamhaus%20XBL

Es heißt nämlich entweder:
a) Es werden über den Server Viren-Mails verschickt.
b) Oder in Spam-Mails wird auf diesen Server verlinkt um von dort Malware runter zu laden.

Punkt a) kann viele Ursachen haben.

1. Spamscript im Web (xt:commerce gilt prinzipiell als unsicher).
2. Viren-Verseuchten User-PC.

Für Punkt b) gilt ebenfalls, dass irgendwas in einem Webspace hochgeladen werden musste.

Wenn man selber nichts findet, oder durch die Logfiles überfordert ist, sollte man einen Experten beauftragen.

huschi.

ja momentan ist nix gelistet hab mich ja gestern erst austragen lassen. xt:commerce unsicher? die lizenz war nicht gerade billig da geht man davon aus das das sicher ist.

wegen dem log da steht vllt auch was drinne und zwar alle paar sekunden versucht ein ip irgendwas zu machen. diese ip gehört nicht zu uns. den hmail server nutzen nur 1 person und ich und keiner von uns hat diese ip hier ist ein log ausschnitt und das geht den ganzen tag alle paar sekunden nur werde ich daraus nicht schlau

http://xfx-performance.de/log.php

mfg

Ich vergas vohin aufzuzählen:
3) Unsicheres Kontakt-Formular.

Wie ich vorhin schon schrieb, deutet vieles darauf hin, dass auf irgendeine weise Euer Web infiziert ist.
Dort würde ich zumindest mal anfangen. Die Logfiles auswerten, das Web nach nicht selbst hochgeladenen Dateien durchsuchen, veränderte PHP-Dateien suchen, uvm.

Soweit mein kostenloser Support. Aber Windows-Server sind auch überhaupt nicht mein Ding. Ich bin Linux-Experte.

huschi.

Beim Spamhaus gibt es meines Wissens verchiedene Listing-Ursachen. Zunächst solltest Du einmal herausfinden, warum deine IP dort gelistet ist. (Spamhaus übergibt unterschiedliche Return Codes).

Es kann z.B. schon sein, dass Euer IP Bereich als privat eingestuft wird, auf dem keine Mailserver erwartet werden. Oder die IP ist gelistet, weil über diese Spam verschickt wurde.

Oder Die DNS Einstellungen / ReverseDNS Settings stimmen nicht.

Macht es Dir was aus, mir die Mail-Domain zu nennen? Dann prüfe ich das ganze mal über externe Dienste ab.

Unter

http://www.spamhaus.org/lookup/

kann man nachschauen, ob eine bestimmte IP oder Domain geblockt ist und dann unter, wenn etwas gelistet ist, ueber den zugehoerigen Link den Grund erfahren.

über den hmailserver laufen 2 mail domains.
xfx-performance.de und
chiptuning-giessen.de

so jetzt sind wir schon wieder gelistet ich mach es diesmal nicht raus damit ihr es sehen könnt

http://www.spamhaus.org/query/ip/85.214.140.102

mfg

Nicht Spamhaus ist das Problem. CBL listet die IP. Und das ständig mit Fortbestand. Zuletzt heute um 10 Uhr GMT.

Das bestätigt meine Befürchtung von oben:
Der Server ist kompromittiert.
Da Du es selber wohl nicht findest, brauchst Du einen Forensiker um das Problem zu beheben.

huschi.

gute frage wo ich den finde

Bei einem Linux-Server könnte ich helfen.
Für Windows musst Du mal Google bemühen.