Hallo zusammen,
wir hatten vor ein paar Tagen ein merkwürdiges Phänomen:
Dazu erstmal ein Auszug aus dem Server-Log unseres SMTP-Gateways:
ZitatAlles anzeigen
11.02.2013 17:57:59 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:02 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 0 messages received
11.02.2013 17:58:05 SMTP Server: Remote host 72.18.88.42 (worthamsurgery.com) found in blacklist at zen.spamhaus.org
11.02.2013 17:58:05 SMTP Server: Message from 72.18.88.42 (worthamsurgery.com) rejected by DNS blacklist filter
11.02.2013 17:58:05 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:07 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 0 messages received
11.02.2013 17:58:07 SMTP Server: Remote host 72.18.88.42 (worthamsurgery.com) found in blacklist at zen.spamhaus.org
11.02.2013 17:58:07 SMTP Server: Message from 72.18.88.42 (worthamsurgery.com) rejected by DNS blacklist filter
11.02.2013 17:58:07 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:09 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 0 messages received
11.02.2013 17:58:10 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:22 SMTP Server: TELEYECLA-245-235-100-176.CPEs.teleyecla.net (176.100.235.245) connected
11.02.2013 17:58:22 SMTP Server: TELEYECLA-245-235-100-176.CPEs.teleyecla.net (176.100.235.245) disconnected. 0 messages received
11.02.2013 17:58:30 SMTP Server: Message 005D3F49 (MessageID: ) received
11.02.2013 17:58:31 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 1 messages received
11.02.2013 17:58:33 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:33 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 0 messages received
11.02.2013 17:58:34 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:52 SMTP Server: Message 005D47D8 (MessageID: ) received
11.02.2013 17:58:52 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 1 messages received
11.02.2013 17:58:54 SMTP Server: worthamsurgery.com (72.18.88.42) connected
11.02.2013 17:58:56 SMTP Server: Message 005D4994 (MessageID: ) received
11.02.2013 17:58:58 SMTP Server: worthamsurgery.com (72.18.88.42) disconnected. 1 messages received
11.02.2013 17:58:59 SMTP Server: worthamsurgery.com (72.18.88.42) connected
Wie man sieht, kommen SPAMS über die IP 72.18.88.42 rein. Die IP steht auf einer der von uns abgefragten Blacklisten und wird auch zunächst brav geblockt, die Mails gar nicht erst angenommen.
Das ist mit einigen 100 Mails vorher schon genauso gelaufen, diesen Teil des Logs habe ich mir aber geschenkt. Doch dann werden ab 17:58:31 plötzlich vereinzelt Mails von dieser IP angenommen ...
Und wumms, danach gings dann los und wir wurden zum unfreiwilligen SPAM-Versender 
Hat jemand sowas schonmal gehabt und eine Idee, wie es zu diesem Verhalten kommen kann?
Was passiert eigentlich, wenn ich eine Blackliste abfrage und diese gerade nicht erreichbar ist? Wird die Mail dann einfach durchgewunken ? Könnte man also durch simples Flooding die Blacklist aushebeln ?
Davon abgesehen hätten die durchgekommenen Mails natürlich dennoch nicht weiter geroutet werden dürfen, da wir kein OpenRelay sind ... aber das ist eine andere Baustelle.
Any suggestions?
Gruß
DerOzzy
