Südafrikanische Firma schreibt Emails über meine IP

Appler

Cadet 4th Year
Dabei seit
Juli 2014
Beiträge
76
Hi,

habe heute mit erschrecke festellen müssen, das eine südafrikanische Firma Spam-Emails über meine statische IP der Telekom schreibt. Keine Ahnung wie die das machen aber scheint wohl wirklich so zu sein.

Ein Test bei mxtoolbox.com hat das leider bestätigt. Allerdings wird nirgends meine Domain aufgeführt. Schließlich sind wir auch auf Blacklisten gelandet und hier wird auch die IP angezeigt.

Die Domain wird nirgends gelistet.

Wir haben einen internen Mail Server. Dieser läuft über die Server APP von Apple auf einem Mac-Pro.

Gehostet haben wir die Domains bei Host-Europe auf unserem Namespace-Server.

Einträge sind alle korrekt (spf, DMARC, mx usw.)

Hat da jemand eine Idee oder kann ich mich dabei nur an die Telekom wenden?

Danke

Gruß
 

d2boxSteve

Commander
Dabei seit
Apr. 2010
Beiträge
3.045
Es braucht nur ein Client PC Virenverseucht zu sein, der versendet über den Server dann den Spam .... mal die Logs am Mailserver kontrollieren? Da sollte sich die IP des Übeltäters doch finden lassen ....

PS: aus dem Internet ist der Server hoffentlich nicht für die Sender-Ports erreichbar? (smtp tcp/25 z.B.)
 
Zuletzt bearbeitet:

Appler

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
76
Habe leider keinen Virus oder sonstige in unserem Netzwerk ausmachen können.

Auf den Logs ist auch nichts zu erkennen. Leider.

Hab die IP nur in einem Header gefunden der mir von einer der Blacklist-Seiten angezeigt wurde
 

Candy_Cloud

Vice Admiral
Dabei seit
März 2015
Beiträge
6.175
IoT Geräte (IP Cams, Lichtsteurung, ...) am Netz? Die werden immer häufiger zum Problem da sie leicht zu knacken sind und schwer zu finden.
 

Appler

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
76
Doch ist er schon. Aber eben nur für die Benutzer die auch an dem Server angelegt sind.
Ergänzung ()

Nein keinerlei solcher Geräte angeschlossen
 

d2boxSteve

Commander
Dabei seit
Apr. 2010
Beiträge
3.045
Stimmt, solche IoT und manche Maleware besitzt eine eigene Mailsenderoutine, das sieht man dann im Server-Log nicht, es ist nur die eigene feste IP dann im Header ...
 

vionZ

Cadet 3rd Year
Dabei seit
Feb. 2015
Beiträge
39
Hast du schon Kontakt mit deinem Provider aufgenommen, eventuell können sie dir eine andere statische IP geben?
 

d2boxSteve

Commander
Dabei seit
Apr. 2010
Beiträge
3.045
Hast du eine Firewall am Internet-Übergang? Wenn ja, dann sperr da ausgehend alle Mailports und lass die nur für die IP deines Mailservers zu. Anhand der deny Einträge im Firewall Log siehst du dann, wer noch senden wollte ...
Ergänzung ()

@vionZ: das hilft doch net, Ist nur eine Frage der Zeit bis die IP auch auf der Blacklist steht und derjenige Kunde der dann die freigewordene IP bekommt hat auch Blacklist Probleme ....
Man muss die Ursache finden.
 

Benji18

Captain
Dabei seit
Jan. 2005
Beiträge
3.667
auf was habt ihr den den SPF gesetzt auf den MX record oder auf IP Adressen und Soft failure oder hard failure?

weil der SPF sollte sowas eigentlich verhindern wenn der zugehörige Mailserver nicht im SPF drinnen steht außer ihr habt da nur eure IP eingetragen.

habt ihr eine Firewall zwischen Intenet Anschluss und Netzwerk wo eure Server stehen? Da müsstet ihr dann mal die Logs der FW durchschauen.
 

Appler

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
76
Unser SPF eintrag
v=spf1 mx a ip4:feste IP/32 ip4:192.168.1.1/24 include: domänen -all

Die Server sowie der Internet-Anschluss sind hier im Haus
Ergänzung ()

Aber ich glaube hier wird grad was falsch verstanden. Die IP der Firma wird mir ebenfalls angezeigt. Also die aus Süd-Afrika
 
Zuletzt bearbeitet:

Appler

Cadet 4th Year
Ersteller dieses Themas
Dabei seit
Juli 2014
Beiträge
76
Die IP der Firma habe ich in einem Header gefunden die mir auf einer der Blacklisten Seiten gezeigt wurde.
Ebenso wurde mir der Absender gezeigt. Email-Adresse@gmail.com
Irgendein Billigladen mit Sitz in Johannesburg.
 
Top