Spamversand über meinen Server
Spamversand über meinen Server
Hallo all,
jeder der einen eigenen Server hat, kennt das Problem.
Irgendwann ist deine IP bei Spamhaus auf der schwarzen Liste.
Frage: Wie kann ich bei Keyhelp oder in Postfix den Mailausgang begrenzen.
Ich selber versende nur sehr selten Mails an meine Mitglieder.
Das meiste was rausgeht sind Aktivierungsmails (am Tag vielleicht zwei bis drei Stück).
Zwischenzeitlich bin ich bei der Telekom geblockt wegen dieser Sch......
Gut, das läßt sich ja mit einer neuen IP beheben, nützt aber nicht viel, weil sie in ein paar Tagen ja wieder verseucht ist.
Wer hat gute Vorschläge.
jeder der einen eigenen Server hat, kennt das Problem.
Irgendwann ist deine IP bei Spamhaus auf der schwarzen Liste.
Frage: Wie kann ich bei Keyhelp oder in Postfix den Mailausgang begrenzen.
Ich selber versende nur sehr selten Mails an meine Mitglieder.
Das meiste was rausgeht sind Aktivierungsmails (am Tag vielleicht zwei bis drei Stück).
Zwischenzeitlich bin ich bei der Telekom geblockt wegen dieser Sch......
Gut, das läßt sich ja mit einer neuen IP beheben, nützt aber nicht viel, weil sie in ein paar Tagen ja wieder verseucht ist.
Wer hat gute Vorschläge.
- BloodOfPanda
- Posts: 132
- Joined: Wed 6. Feb 2019, 21:46
Re: Spamversand über meinen Server
Hallo,
ggf. solltest du nach dem Grund suchen warum du auf solch Listen landest, wenn du nur drei Mails am Tag versendest sollt das nicht dass Problem sein.
Prüf mal die Qualität deiner Mails mit mail-tester.com oder ähnlichen Seiten bzw. schau dir deinen Mail.log mal genauer an.
Was möchtest du denn genau begrenzen wenn du eh nur ne Handvoll Mails versendest?
Grüße Panda // Marcel
ggf. solltest du nach dem Grund suchen warum du auf solch Listen landest, wenn du nur drei Mails am Tag versendest sollt das nicht dass Problem sein.
Prüf mal die Qualität deiner Mails mit mail-tester.com oder ähnlichen Seiten bzw. schau dir deinen Mail.log mal genauer an.
Was möchtest du denn genau begrenzen wenn du eh nur ne Handvoll Mails versendest?
Grüße Panda // Marcel
Re: Spamversand über meinen Server
Hallo Panda,
danke für deine Vorschläge, aber die Tests habe ich schon hinter mir.
Da ist alles okay. Daran liegt es nicht.
Ich lande ausschließlich nur bei Spamhaus in der XBL-Liste, d.h. über meinen Server werden Viren oder Exploids versendet aber kein SPAM in Form von HAM (Versand für Viagra und sonstiges). Das ist es also nicht. Spam ist also der falsche Ausdruck.
In der mail.log habe ich zu diesem Zeitpunkt (Spamhaus gibt den Zeitpunkt des Blacklistings aus) folgenden Eintrag, der sich laufend wiederholt:
Das einzige was sich vorlaufend ändert ist die Session=<xxxxxxxxxxx>.
Diese Einträge wiederholen sich, bis ich auf der Blockliste lande. Dann geht nichts mehr raus, es ist aber auch nichts in der Warteschleife zu sehen. Die bleibt bei Null.
Kurzum heißt das, die Mails laufen nicht über das Adminpanel, denn es gibt bei solchen Versand immer unzustrellbare Mailadressen, die man dann ja sehen würde. Sie laufen also direkt über den localhost.
Diese Einträge sind sonst nie vorhanden. Keine brauchbare IP vorhanden.
Also: Meine Frage war uns ist: Wie kann ich den Mailausgang begrenzen, so sagen wir mal höchstens zwei Mails pro Stunde den Server verlassen dürfen.
Bei der Plesk war das einfach.
https://docs.plesk.com/de-DE/onyx/admin ... pam.71349/
Aber wie funktionert das bei Keyhelp?
danke für deine Vorschläge, aber die Tests habe ich schon hinter mir.
Da ist alles okay. Daran liegt es nicht.
Ich lande ausschließlich nur bei Spamhaus in der XBL-Liste, d.h. über meinen Server werden Viren oder Exploids versendet aber kein SPAM in Form von HAM (Versand für Viagra und sonstiges). Das ist es also nicht. Spam ist also der falsche Ausdruck.
In der mail.log habe ich zu diesem Zeitpunkt (Spamhaus gibt den Zeitpunkt des Blacklistings aus) folgenden Eintrag, der sich laufend wiederholt:
Code: Select all
Nov 18 11:23:14 alpha339 postfix/submission/smtpd[28361]: connect from localhost[127.0.0.1]
Nov 18 11:23:14 alpha339 postfix/submission/smtpd[28361]: lost connection after CONNECT from localhost[127.0.0.1]
Nov 18 11:23:14 alpha339 postfix/submission/smtpd[28361]: disconnect from localhost[127.0.0.1] commands=0/0
Nov 18 11:23:14 alpha339 dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, TLS handshaking: SSL_accept() syscall failed: Success, session=<HD7J/160iOR/AAAB>
Nov 18 11:23:14 alpha339 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, TLS handshaking: SSL_accept() syscall failed: Success, session=<UkbJ/160DKx/AAAB>
Diese Einträge wiederholen sich, bis ich auf der Blockliste lande. Dann geht nichts mehr raus, es ist aber auch nichts in der Warteschleife zu sehen. Die bleibt bei Null.
Kurzum heißt das, die Mails laufen nicht über das Adminpanel, denn es gibt bei solchen Versand immer unzustrellbare Mailadressen, die man dann ja sehen würde. Sie laufen also direkt über den localhost.
Diese Einträge sind sonst nie vorhanden. Keine brauchbare IP vorhanden.
Also: Meine Frage war uns ist: Wie kann ich den Mailausgang begrenzen, so sagen wir mal höchstens zwei Mails pro Stunde den Server verlassen dürfen.
Bei der Plesk war das einfach.
https://docs.plesk.com/de-DE/onyx/admin ... pam.71349/
Aber wie funktionert das bei Keyhelp?
Re: Spamversand über meinen Server
Wenn über deinen Server tatsächlich Viren und Exploits versandt werden solltest du mal wirklich nachprüfen wie es dazu kommen kann.
Die Mailanzahl pro Tag zu begrenzen lindert doch nur die Symptome aber ist bei weitem keine Lösung.
Als verantwortungsvoller Admin solltest du dir auch überlegen den Service so lange einzustellen bis das Problem behoben ist.
BTW: Eine neue IP ist keine Lösung...
Die Mailanzahl pro Tag zu begrenzen lindert doch nur die Symptome aber ist bei weitem keine Lösung.
Als verantwortungsvoller Admin solltest du dir auch überlegen den Service so lange einzustellen bis das Problem behoben ist.
BTW: Eine neue IP ist keine Lösung...
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: Spamversand über meinen Server
Hallo,
häufig geschieht so ein Versand auch nicht über den Postfix, meisten läuft dort ein versteckter Prozess. Daher sollte man mittels "lsof -i" mal prüfen was für Verbindungen der Server aufgebaut hat.
häufig geschieht so ein Versand auch nicht über den Postfix, meisten läuft dort ein versteckter Prozess. Daher sollte man mittels "lsof -i" mal prüfen was für Verbindungen der Server aufgebaut hat.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Spamversand über meinen Server
Hallo Tobi, ich weiß, dass das keine Lösung ist.
Deshalb auch meine Frage, wie ich den Mailausgang begrenzen kann.
@Florian, diese Eingabebefehle sind mir nicht unbekannt.
Es ist alles so, wie es sein soll.
Ich habe auch schon versucht, mit einem Wrapper etwas herauszufinden. Kein Erfolg.
Also: Wie kann ich bei Keyhelp den Postausgang begrenzen?
Wenn der Versender merkt, dass sein Müll nicht rausgeht, gibt er vielleicht irgendwann auf.
Deshalb auch meine Frage, wie ich den Mailausgang begrenzen kann.
@Florian, diese Eingabebefehle sind mir nicht unbekannt.
Es ist alles so, wie es sein soll.
Code: Select all
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
named 625 bind 21u IPv6 16028 0t0 TCP *:domain (LISTEN)
named 625 bind 22u IPv4 16032 0t0 TCP localhost:domain (LI STEN)
named 625 bind 23u IPv4 16034 0t0 TCP lancia.anti-scam.de: domain (LISTEN)
named 625 bind 24u IPv4 16050 0t0 TCP localhost:953 (LISTEN)
named 625 bind 512u IPv6 16774 0t0 UDP *:domain
named 625 bind 513u IPv6 16774 0t0 UDP *:domain
named 625 bind 514u IPv6 16774 0t0 UDP *:domain
named 625 bind 515u IPv6 16774 0t0 UDP *:domain
named 625 bind 516u IPv4 16031 0t0 UDP localhost:domain
named 625 bind 517u IPv4 16031 0t0 UDP localhost:domain
named 625 bind 518u IPv4 16031 0t0 UDP localhost:domain
named 625 bind 519u IPv4 16031 0t0 UDP localhost:domain
named 625 bind 520u IPv4 16033 0t0 UDP lancia.anti-scam.de: domain
named 625 bind 521u IPv4 16033 0t0 UDP lancia.anti-scam.de: domain
named 625 bind 522u IPv4 16033 0t0 UDP lancia.anti-scam.de: domain
named 625 bind 523u IPv4 16033 0t0 UDP lancia.anti-scam.de: domain
opendkim 702 opendkim 3u IPv4 16763 0t0 TCP localhost:12345 (LISTEN)
sshd 704 root 3u IPv4 10906 0t0 TCP *:ssh (LISTEN)
sshd 704 root 4u IPv6 10908 0t0 TCP *:ssh (LISTEN)
postgrey 716 postgrey 5u IPv4 14878 0t0 TCP localhost:10023 (LISTEN)
spamd 1010 root 5u IPv4 19594 0t0 TCP localhost:spamd (LISTEN)
mysqld 1029 mysql 19u IPv4 15113 0t0 TCP localhost:mysql (LISTEN)
mysqld 1029 mysql 246u IPv4 20725356 0t0 TCP localhost:mysql->localhost:38942 (ESTABLISHED)
mysqld 1029 mysql 301u IPv4 20726206 0t0 TCP localhost:mysql->localhost:38960 (ESTABLISHED)
spamd\x20 1905 root 5u IPv4 19594 0t0 TCP localhost:spamd (LISTEN)
spamd\x20 1907 root 5u IPv4 19594 0t0 TCP localhost:spamd (LISTEN)
apache2 2331 www-data 3u IPv4 12515918 0t0 TCP *:http (LISTEN)
apache2 2331 www-data 4u IPv4 12515920 0t0 TCP *:https (LISTEN)
apache2 2332 www-data 3u IPv4 12515918 0t0 TCP *:http (LISTEN)
apache2 2332 www-data 4u IPv4 12515920 0t0 TCP *:https (LISTEN)
apache2 2332 www-data 24u IPv4 22932830 0t0 TCP lancia.anti-scam.de: https->crawl9.bl.semrush.com:14216 (ESTABLISHED)
apache2 2333 www-data 3u IPv4 12515918 0t0 TCP *:http (LISTEN)
apache2 2333 www-data 4u IPv4 12515920 0t0 TCP *:https (LISTEN)
apache2 2333 www-data 24u IPv4 22881181 0t0 TCP lancia.anti-scam.de: https->212.3.194.62:38002 (ESTABLISHED)
apache2 2333 www-data 25u IPv4 22927244 0t0 TCP lancia.anti-scam.de: https->ninja-crawler5.webmeup.com:48642 (ESTABLISHED)
/usr/sbin 3447 amavis 5u IPv4 11584245 0t0 TCP localhost:10024 (LISTEN)
/usr/sbin 9605 amavis 5u IPv4 11584245 0t0 TCP localhost:10024 (LISTEN)
/usr/sbin 9605 amavis 14u IPv4 20723523 0t0 TCP localhost:38942->localhost:mysql (ESTABLISHED)
/usr/sbin 11962 amavis 5u IPv4 11584245 0t0 TCP localhost:10024 (LISTEN)
/usr/sbin 11962 amavis 14u IPv4 20725402 0t0 TCP localhost:38960->localhost:mysql (ESTABLISHED)
master 13809 root 13u IPv4 11691195 0t0 TCP *:smtp (LISTEN)
master 13809 root 17u IPv4 11691198 0t0 TCP *:submission (LISTEN)
master 13809 root 116u IPv4 11691296 0t0 TCP localhost:10025 (LISTEN)
apache2 14764 www-data 3u IPv4 12515918 0t0 TCP *:http (LISTEN)
apache2 14764 www-data 4u IPv4 12515920 0t0 TCP *:https (LISTEN)
apache2 14764 www-data 24u IPv4 22936630 0t0 TCP lancia.anti-scam.de: http->ninja-crawler5.webmeup.com:45918 (ESTABLISHED)
sshd 24811 root 3u IPv4 22914828 0t0 TCP lancia.anti-scam.de: ssh->p5b0a4c43.dip0.t-ipconnect.de:52324 (ESTABLISHED)
sshd 25721 root 3u IPv4 22932504 0t0 TCP lancia.anti-scam.de: ssh->180.76.163.4:60496 (ESTABLISHED)
sshd 25723 sshd 3u IPv4 22932504 0t0 TCP lancia.anti-scam.de: ssh->180.76.163.4:60496 (ESTABLISHED)
sshd 25856 root 3u IPv4 22927228 0t0 TCP lancia.anti-scam.de: ssh->81.69.19.167:60594 (ESTABLISHED)
sshd 25858 sshd 3u IPv4 22927228 0t0 TCP lancia.anti-scam.de: ssh->81.69.19.167:60594 (ESTABLISHED)
sshd 26003 root 3u IPv4 22936617 0t0 TCP lancia.anti-scam.de: ssh->p5b0a4c43.dip0.t-ipconnect.de:52369 (ESTABLISHED)
dovecot 26760 root 15u IPv4 13608323 0t0 TCP *:sieve (LISTEN)
dovecot 26760 root 16u IPv6 13608324 0t0 TCP *:sieve (LISTEN)
dovecot 26760 root 27u IPv4 13608350 0t0 TCP *:pop3 (LISTEN)
dovecot 26760 root 28u IPv6 13608351 0t0 TCP *:pop3 (LISTEN)
dovecot 26760 root 29u IPv4 13608352 0t0 TCP *:pop3s (LISTEN)
dovecot 26760 root 30u IPv6 13608353 0t0 TCP *:pop3s (LISTEN)
dovecot 26760 root 43u IPv4 13608395 0t0 TCP *:imap2 (LISTEN)
dovecot 26760 root 44u IPv6 13608396 0t0 TCP *:imap2 (LISTEN)
dovecot 26760 root 45u IPv4 13608397 0t0 TCP *:imaps (LISTEN)
dovecot 26760 root 46u IPv6 13608398 0t0 TCP *:imaps (LISTEN)
apache2 26772 root 3u IPv4 12515918 0t0 TCP *:http (LISTEN)
apache2 26772 root 4u IPv4 12515920 0t0 TCP *:https (LISTEN)
proftpd 26818 proftpd 0u IPv6 13615118 0t0 TCP *:ftp (LISTEN)
Also: Wie kann ich bei Keyhelp den Postausgang begrenzen?
Wenn der Versender merkt, dass sein Müll nicht rausgeht, gibt er vielleicht irgendwann auf.
Re: Spamversand über meinen Server
Hallo,
es gibt bei Keyhelp keine Begrenzung für ausgehende Nachrichten.
Wenn es ein normaler Mailbenutzer ist, sieht man es indem man mittels grep das Maillog nach sasl_username durchforstet. Häufige Logins sprechen für ein gehacktes Postfach.
Scripte fallen auf in dem man die access_logs nach POST Requests durchsucht.
es gibt bei Keyhelp keine Begrenzung für ausgehende Nachrichten.
Wenn es ein normaler Mailbenutzer ist, sieht man es indem man mittels grep das Maillog nach sasl_username durchforstet. Häufige Logins sprechen für ein gehacktes Postfach.
Scripte fallen auf in dem man die access_logs nach POST Requests durchsucht.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Spamversand über meinen Server
Danke Florian, das war mal eine Auskunft.
Ein gehacktes Postfach kann ich mir allerdings nicht vorstellen, sämtliche Paßwörter sind von Keyhelp generiert worden und werden
alle 4 Wochen neu generiert. Ich werde mir mal die vorgeschlagenen logs genauer ansehen, ob sich da was findet.
Mit Sicherheit kann man aber die Ausgänge per Konsole begrenzen. Mal sehen, wie das funktioniert.
Ein gehacktes Postfach kann ich mir allerdings nicht vorstellen, sämtliche Paßwörter sind von Keyhelp generiert worden und werden
alle 4 Wochen neu generiert. Ich werde mir mal die vorgeschlagenen logs genauer ansehen, ob sich da was findet.
Mit Sicherheit kann man aber die Ausgänge per Konsole begrenzen. Mal sehen, wie das funktioniert.
Re: Spamversand über meinen Server
Hallo,
sicher kann man das begrenzen, aber das ist bei so einem Problem nicht zielführend. Das Problem muss gelöst werden. Und wenn, wie bereits erwähnt, der Versand über ein Schadprogramm an Postfix vorbeiläuft, greift auch keine Drossel der Postfächer
sicher kann man das begrenzen, aber das ist bei so einem Problem nicht zielführend. Das Problem muss gelöst werden. Und wenn, wie bereits erwähnt, der Versand über ein Schadprogramm an Postfix vorbeiläuft, greift auch keine Drossel der Postfächer
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Spamversand über meinen Server
Hallo Florian, ich bin mal die access.log durchgegangen und habe etwas gefunden, was genau in den Zeitraum paßt.
Die 91.10.90.93 ist meine eigene IP, ajax.php ist bestandtei von KeyHelp. Das ist also okay.
Die IP 34.222.188.2 gehört Amazon Technologie, die IP steht bei Spamhaus in der XBL-Liste und auch bei cbl.abuseat.org. Weitere Blacklisten habe ich nicht kontrolliert.
Der Eintrag selber sagt mir so jetzt gar nichts. Dir vielleicht?
Wie kann ich diese IP mit KeyHelp blocken, so dass sie auf den Server nicht mehr zugreifen kann?
oder
wo platziere ich die .htaccess-Datei auf dem Server? (bitte genauen Pfad angeben).
Danke für die Hilfe, ich glaube, wir kommen dem ganzen näher und hilft viellecht auch anderen.
So wie ich das sehe, geht die Sache tatschlich an Postfix vorbei, es würden ja sonst nicht zustellbare Mails in der Warteschlange stehen (oder nicht)?
Code: Select all
91.10.90.93 - - [18/Nov/2020:12:26:55 +0100] "POST /ajax.php HTTP/2.0" 200 155 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0"
34.222.188.2 - - [18/Nov/2020:12:27:03 +0100] "\n" 400 3578 "-" "-"
Die IP 34.222.188.2 gehört Amazon Technologie, die IP steht bei Spamhaus in der XBL-Liste und auch bei cbl.abuseat.org. Weitere Blacklisten habe ich nicht kontrolliert.
Der Eintrag selber sagt mir so jetzt gar nichts. Dir vielleicht?
Wie kann ich diese IP mit KeyHelp blocken, so dass sie auf den Server nicht mehr zugreifen kann?
oder
wo platziere ich die .htaccess-Datei auf dem Server? (bitte genauen Pfad angeben).
Danke für die Hilfe, ich glaube, wir kommen dem ganzen näher und hilft viellecht auch anderen.
So wie ich das sehe, geht die Sache tatschlich an Postfix vorbei, es würden ja sonst nicht zustellbare Mails in der Warteschlange stehen (oder nicht)?
Last edited by Pyragony on Sat 21. Nov 2020, 07:21, edited 1 time in total.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Spamversand über meinen Server
IP Block über ein und ausgangsregel der FW
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Spamversand über meinen Server
@OlliTheDarkness
... die Firewall wollte ich eigentlich vermeiden, da es für Debian 10 anscheinend noch keine GUI gibt (oder wurde schon eine entwickelt?).
Bei mir läuft noch Debian 9 und wird es noch einen Weile, bis mein YaBB-Forum überarbeitet wurde. Es gibt hier Perl-Probleme unter Debian 10.
Das ist der Grund, warum mir die .htaccess eigentlich lieber wäre.
Okay, ich habe mal alle IP's von Amazon in der FW geblockt, soweit sie mir bekannt waren mit CIDR, also gleich den ganzen Block.
Jetzt heißt es erst einmal abwarten, was passiert.
... die Firewall wollte ich eigentlich vermeiden, da es für Debian 10 anscheinend noch keine GUI gibt (oder wurde schon eine entwickelt?).
Bei mir läuft noch Debian 9 und wird es noch einen Weile, bis mein YaBB-Forum überarbeitet wurde. Es gibt hier Perl-Probleme unter Debian 10.
Das ist der Grund, warum mir die .htaccess eigentlich lieber wäre.
Okay, ich habe mal alle IP's von Amazon in der FW geblockt, soweit sie mir bekannt waren mit CIDR, also gleich den ganzen Block.
Jetzt heißt es erst einmal abwarten, was passiert.
Re: Spamversand über meinen Server
Hallo,
die Blockierung über die Firewall war schon mal gut. Ich finde aber in der access.log diese Einträge:
http://best-security.eu
http://garagenlan.de
garagenland erscheint öfters unter verschiedenen IP's
Google gibt keine Auskunft über diese beiden Seiten.
Alle IP´s stehen in der blacklist bei Spamhaus.
Ich habe mal das Cache vom Browser geelert und sämtliche Cookies gelöscht, das Resultat war das gleiche.
Dann mal den Edge-Browser aufgerufen, den ich eigentlich nie nutze, ich werde immer auf die Startseite von Keyhelp geleitet.
Bevor ich jetzt diese IP's blocke, kann mir jemand was dazu sagen?
die Blockierung über die Firewall war schon mal gut. Ich finde aber in der access.log diese Einträge:
192.36.71.133 - - [27/Nov/2020:06:07:23 +0100] "GET /robots.txt HTTP/1.1" 200 4496 "http://best-security.eu/robots.txt" "Go-http-client/1.1"
192.71.42.108 - - [27/Nov/2020:06:07:23 +0100] "GET /humans.txt HTTP/1.1" 404 4512 "http://best-security.eu/humans.txt" "Go-http-client/1.1"
192.71.126.175 - - [27/Nov/2020:06:07:23 +0100] "GET /ads.txt HTTP/1.1" 404 4512 "http://best-security.eu/ads.txt" "Go-http-client/1.1"
192.71.42.108 - - [27/Nov/2020:06:07:23 +0100] "GET / HTTP/1.1" 200 6953 "http://best-security.eu/" "Go-http-client/1.1"
Rufe ich diese Domains auf, werde ich direkt zur Startseite von Keyhelp geleitet. Kann es ein, dass es sich um einen Scanner handelt, der das Paßwort ausspähen will?8.210.0.0 - - [16/Nov/2020:12:09:56 +0100] "GET / HTTP/1.1" 200 6953 "http://garagenlan.de" "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/22.0 Mobile/16B92 Safari/605.1.15"
http://best-security.eu
http://garagenlan.de
garagenland erscheint öfters unter verschiedenen IP's
Google gibt keine Auskunft über diese beiden Seiten.
Alle IP´s stehen in der blacklist bei Spamhaus.
Ich habe mal das Cache vom Browser geelert und sämtliche Cookies gelöscht, das Resultat war das gleiche.
Dann mal den Edge-Browser aufgerufen, den ich eigentlich nie nutze, ich werde immer auf die Startseite von Keyhelp geleitet.
Bevor ich jetzt diese IP's blocke, kann mir jemand was dazu sagen?
Re: Spamversand über meinen Server
Hallo,
wenn da der Login von Keyhelp erscheint, dann zeigen die beiden Domains auf die IPs des Servers. Wenn Sie aber im Keyhelp nicht angelegt sind, weiß der Server damit nichts anzufangen und gibt die Standardseite aus. Ggf hat der Eigentümer der Domains vergessen den DNS entsprechend anzupassen.
wenn da der Login von Keyhelp erscheint, dann zeigen die beiden Domains auf die IPs des Servers. Wenn Sie aber im Keyhelp nicht angelegt sind, weiß der Server damit nichts anzufangen und gibt die Standardseite aus. Ggf hat der Eigentümer der Domains vergessen den DNS entsprechend anzupassen.
Mit freundlichen Grüßen / Best regards
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Florian Cheno
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Spamversand über meinen Server
Oder du trägst die Domains bei dir ein und machst einen erneuten Redirect auf localhost
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser