Cutwail Spambot

  • Hey,


    die Nutzer haben mir berichtet, dass die E-Mails die von meinem vServer per Postfix versendet werden nicht bei ihnen ankommen.
    Im Mail-Log dann folgender fehler:

    Code
    May 26 15:14:04 v22013101713215000 postfix/smtp[4055]: 42968103A24: to=<example@web.de>, relay=mx-ha02.web.de[213.165.67.120]:25, delay=357, delays=356/0.73/0.08/0, dsn=4.0.0, status=deferred (host mx-ha02.web.de[213.165.67.120] refused to talk to me: 554-web.de (mxweb105) Nemesis ESMTP Service not available 554-No SMTP service 554-IP address is black listed. 554 For explanation visit http://postmaster.web.de/error-messages?ip=46.38.235.151&c=bl)


    Nach Kontakt mit Web.de sagte man mir, dass die IP-Adresse meines Servers bei Spamhaus auf der Blacklist währe ( http://cbl.abuseat.org/lookup.cgi?ip=46.38.235.151 ).
    Ich habe meine IP nun schon von der Blacklist genommen, jedoch möchte ich natürlich nicht das dies wieder passiert.


    Meine Frage ist nun wie kommt es dazu, und wie kann ich das verhindern?


    Lg
    Lars

  • Hallo Lars-Marcel, als Threadtitel hast du Cutwail Spambot genommen. Im Beitragstext sehe ich aber nichts einem Virus/Trojaner/Keylogger. Welchen Zusammenhang gibt es da?

    "Security is like an onion - the more you dig in the more you want to cry"

  • Marcoo:
    Hey,


    Keine leichte Aufgabe, da sind sicherlich mehr als 5.000 E-Mails.
    Eigentlich aber nicht, der einzigste der Zugriff zu den Mail-Konten, SSH und FTP hat bin ich.
    Das ich keinen Spam versende kann ich garantieren.


    Lg
    Lars

  • Guten Morgen,



    bevor Sie eine IP-Adresse bei Spamhaus entfernen, stellen Sie bitte zuerst sicher das auch kein Spam mehr verschickt wird. Andernfalls wird die IP-Adresse sehr schnell dauerhaft bei Spamhaus gesperrt und auch unser Abuse-Kontakt wird eingeschaltet. Ich empfehle Ihnen wenn Sie nicht wissen woher das Blacklisting kommt ihren Server abzuschalten und über das Rettungssystem eine Analyse zu fahren, wie Spam versendet werden konnte.



    Mit freundlichen Grpßen


    Felix Preuß

  • @[netcup]Felix:


    Hallo,


    war wohl eine "Kurzschlussreaktion"..
    Ich hab mal die Logs durchgeschaut, bis auf ein paar Fehlerhafte Anmeldungen ist nichts dabei.
    Was für eine Analyse soll ich durchführen?


    Marcoo:
    Der Virencheck hat ein bisschen gedauert, es sind jedoch keine Viren gefunden worden.
    Habe clamAV verwendet.


    Lg
    Lars