Problem z umieszczaniem IP na listach spamhaus.org XBL SBL

Linux - system operacyjny dla kazdego

Witajcie,
od dwóch tygodni mam problem z umieszczaniem IP mojego serwera MTA na
listach spamhaus.org i w reakcji łańcuchowej na innych.

Nie wiem już na czym polega problem.

Mam autoryzację smtp (user:hasło).

Czy mogę Was prosić o audyt, sprawdzenie co może być nie tak. Wydaje
mi się że nie jestem openrelayem, jest autoryzacja a co usunę moje IP
z spamhous to wraca po chwili tam spowrotem na listy.

Maszynka na debianie, exim4 z imap-courier clamav i spammassasin.

IP -> 83.15.48.74

Kurcze proszę zerknijcie. Ja już nie wiem gdzie leży problem.
Głupio się nie zastanawiaj, tylko puść dump'a po TCP/25 (i ew. TCP/587 jeśli używasz) na kilka godzin, i oglądaj co ci z serwera wychodzi.

Open-relayem jako takim nie jesteś:

Trying 83.15.48.74...
Connected to 83.15.48.74.
Escape character is '^]'.
HELO mateusz
250 katrina.optrans.pl Hello mail.viste-family.net [82.225.72.113]
MAIL FROM: [email protected]
250 OK
RCPT TO: [email protected]
550 relay not permitted
QUIT
221 katrina.optrans.pl closing connection
Connection closed by foreign host.

Pozdrawiam,
Mateusz Viste
Dzięki. Czy możesz podpowiedzieć jak tego dumpa na porcie zrobić?
Sorry za lemerstwo, ale uczciwie przyznaję że nie wiem jak to odpalić.
tcpdump -ni eth0 -s0 -w plik-do-analizy.pcap

Oczywiście pod eth0 podstawiasz nazwę interfejsu, a po całodziennym łapaniu oglądasz sobie co tam w PCAPie siedzi.

Jest to metoda według mnie *najlepsza*, gdyż w ten sposób wiesz dokładnie co po kablu lata, a nie opierasz się na interpretowanych logach smtp/firewall'a/czegokolwiek.

Pozdrawiam,
Mateusz Viste
Acha, do tego oczywiście odpowiedni filtr. Np taki:
tcpdump -ni eth0 -s0 -w plik-do-analizy.pcap port 25 or port 578

Pozdrawiam,
Mateusz Viste
iptables -I FORWARD -p tcp --dport 25 -j LOG
wpisy pojawiają się w logach kernela
Oki, to mam zrobione ale jest cisza .......
Dzięki.
Bo to trzeba teraz siedzieć na dupie i obserwować te logi.
Przecież komputer siejący wirusami może być zwyczajnie wyłączony albo jego
właściciel w końcu stwierdził, że czas na usunięcie wirusa.

Wyślij też wiadomość przez jakiś zewnętrzny serwer i sprawdź czy się
załapałeś.

Acha - być może trzeba będzie dodać --syn do reguły w zależności od tego czy
masz wcześniej -m state --state ESTABLISHED,RELATED -j ACCEPT
I co ci po tych wpisach, skoro dalej nie wiesz czy mejle są legalne? Bez fizycznego zajrzenia do danych mejli żadnej pewności nie uzyskasz.

Pozdrawiam,
Mateusz Viste
1) ilość wpisów z jednego SRC= w jednostce czasu
2) ilość różnych DST= z jednego SRC= w jednostce czasu

ale masz rację - czyni to tylko delikwenta podejrzanym - czyli takim do
którego trzeba się ruszyć i sprawę rozwiązać.
lemat, swego czasu podałeś rozwiązania na ten temat u siebie :), niech
Krzysiek poczyta:

http://www.lemat.priv.pl/index.php?m=page&pg_id=78