邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 被XBL 了,退离了还继续进去,好闷啊!寻根治 [打印本页]
作者: Dennis991    时间: 2014-8-10 14:03
标题: 被XBL 了,退离了还继续进去,好闷啊!寻根治
本帖最后由 Dennis991 于 2014-8-10 14:07 编辑

最近客户的Mail server 固定IP被 spamhaus.org 列入了XBL黑名单,退离了不久又进去。已经帮他全服务器杀毒了还不行。

怀疑是有用户密码被盗,但又不知道具体哪个?查看日志可以吗?怎样才能根治? SMTP(out) 又见不到有什么可以的信息。

现在他们的用户表现为退信,对方根本收不到。很受影响,如能提供解决的,RMB酬谢。!


备注: 符合自建邮件服务器的要求,反解,固定IP。之前是一点事都没有的。!
作者: 陆小风    时间: 2014-8-12 10:17
本帖最后由 陆小风 于 2014-8-12 10:19 编辑

1、邮件服务器IP尽量不要用于代理上网,因为这样由于用户上网中毒或木马等原因也会列入XBL。
2、确实应该怀疑有用户密码被盗然后用于发送垃圾邮件,这个如果你认真查看一下日志很容易发现的。查日志当然是最好的方法,但累啊,可以查SMTP入看那些用户比较奇怪,一般都是通过外部IP进入,而且多数比较晚,EHLO比较奇怪,收件人比较多等特征。我比较喜欢直接在重试队列里面找,因为垃圾邮件的成功率肯定会低,有好大一部份会到重试队列或者坏队列里,在队列里看是那个用户发送的邮件就比较容易找到原因。
3、你的系统开了自动回复。我之前就由于开启了自动回复导致,比如有人发一封带病毒的邮件给你的用户,服务器检测到带毒或者认为是垃圾邮件,自动回复了发件人,然后也容易会被误进入XBL。
4、还有其它原因,在里就不一一列举了,总之在国内发往国外的邮件会被退信的原因有很多,列入XBL只是其中一个比较常见的,具体还得看日志才能找问题。听说有RMB酬谢,如果有需要可以PM我。
作者: 山坛兄弟    时间: 2014-8-12 21:36
楼上说的不错,有邮件队列,退信,发信时间等等可以发现问题的
作者: longfore    时间: 2014-8-13 11:23
在解封的网站有提示是被列黑名单原因,可以参考他的说法。
作者: Dennis991    时间: 2014-8-14 20:51
本帖最后由 Dennis991 于 2014-8-14 21:03 编辑

向大家报告一下,

1)申请了另外一个ISP的固定IP地址(中国*通),进行了反解,绑定什么的,双ISP固定IP利用DNSPOD组合成双线接入,路由器将所有SMTP(out) 的邮件都通过中国*通出去,使用了几天,中国*通的IP没有被spamhaus.org 的黑名单列入过;反而中国*信的IP无辜的又被spamhaus.org列入了XBL(备:中国*信下的IP地址还提供给该公司的内网员工做上网用途)。

2)以下是 http://cbl.abuseat.org/ 贴出来的原因,在下在线翻译了一下,像是说什么中了木马,开了代理一大堆的,不是太清楚具体原因。

IP Address ***.***.***.*** is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet.

It was last detected at 2014-08-14 09:00 GMT (+/- 30 minutes), approximately 4 hours ago.

It has been relisted following a previous removal at 2014-08-12 14:10 GMT (1 days, 22 hours, 38 minutes ago)

This IP is infected (or NATting for a computer that is infected) with the asprox spambot. In other words, it's participating in a botnet.

If you simply remove the listing without ensuring that the infection is removed (or the NAT secured), it will probably relist again.

3)我现在开始怀疑是内部电脑可能中了病毒,但我现在该从哪方面入手呢,?请大家指点一下




作者: Dennis991    时间: 2014-8-14 21:05
山坛兄弟 发表于 2014-8-12 21:36
楼上说的不错,有邮件队列,退信,发信时间等等可以发现问题的

我联系在客户公司打盹了几天,暂时没发现SMTP(in)有什么异常。但发现之前有一个来自美国的IP老是通过SMTP(in)连接我,但始终不成功,该不会是黑客盯上了?
作者: 山坛兄弟    时间: 2014-8-15 10:20
本帖最后由 山坛兄弟 于 2014-8-15 10:22 编辑

如果你公司有很多电脑,通过一个公网IP上网,那么任何电脑中毒外发邮件,都直接影响到你的邮件服务器.
作者: 山坛兄弟    时间: 2014-8-15 10:27
我这边有个一个经验,一个朋友买的是云主机,有两个网卡,一个是内网的地址,一个是公网的地址.

我一直监控外发邮件,未发现任何异常的情况,后来我用IPSEC屏蔽了内网192.168.16.XX(云主机分配的内网IP)的任何IP对外连接25端口,目前快一个月了,没进过RBL.
作者: gdhust    时间: 2015-4-25 14:12
怎样把上网公网IP与邮件对外IP分开呢,我现有两个固定IP
作者: 钉子    时间: 2015-5-28 01:12
现在这类,很多不是SMTP的攻击,可能是攻击别人服务顺的其它端口。



欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.cn/BBS/) Powered by Discuz! X3.2