14 december 2017

Astroblogs nieuwsbrief even stilgelegd

 

Astroblogs_nieuwsbrief

Vanmorgen kreeg ik een verontrustend telefoontje van iemand van Hostnet, de provider van de Astroblogs. De site die jullie dagelijks van nieuws over ruimtevaart en sterrenkunde voorziet blijkt ook verspreider te zijn van mailtjes, waarin bij de lezers wordt aangedrongen om vooral viagra of andere stimulansen te kopen, spam dus. Oeps, de Astroblogs als producent van spam, da’s toch niet de bedoeling. Ik heb het vaker meegemaakt, maar dat was bij een andere provider en toen moest ik maatregelen nemen om het spammen te voorkomen. Volgens Hostnet zou een malware script actief kunnen zijn, maar de spam zou ook verspreid kunnen worden via een email-nieuwsbrief. De eerste optie valt m.i. af, want ik heb diverse scanners die de Astroblogs 24/7 in de gaten houden en ik heb geen signaal gekregen van boosaardige binnendringers. Blijft over optie twee: verspreiding via een nieuwsbrief. En die hebben we al een poosje, eentje die gebruik maakt van de mailserver van Mandrill. Ik ga er maar even van uit dat daar de schuldige gevonden moet worden en daarom heb ik per direct de nieuwsbrief-plugin en de account bij Mandrill gedeactiveerd. Voorlopig dus even geen nieuwsbrief. Mocht de spam gewoon doorgaan dan ligt het niet aan de nieuwsbrief en moet ik verder zoeken. Van Enceladus begreep ik dat lezers ook problemen ervaren met inloggen, dat ze er telkens uit liggen en opnieuw moeten inloggen. Geen idee of het verband houdt met het spammen, maar het lijkt geen toeval dat het precies nou weer gebeurt. Ook daarvan moet ik kijken of verbeteringen mogelijk zijn. Excuus voor alle overlast.

Reacties

  1. Hostnet moet toch aan kunnen geven waar de spam vandaan komt, van welk ip-adres? En hoe kan de nieuwsbrief hier een kwade in zijn? Een nieuwsbrief verstuurt geen spam, dat doen mail servers 🙂

    Ik ga haast denken dat je mail server open staat als open relay en iedereen deze kan misgebruiken om mail mee te versturen. Ik kan het helaas niet voor je testen, want mijn ip-adres staat als dynamisch te boek bij spamhaus en wordt geblokkeerd.. merkte ik op bij een test 🙂
    Je kan het heel simpel testen op de command prompt met een telnet sessie op poort 25 naar je mail server en dan de volgende commando’s gebruiken: https://workaround.org/ispmail/lenny/test-mail-through-telnet

    telnet astroblogs.nl 25
    ehlo test.nl
    mail from:test@test.nl
    rcpt to:emailadres@domein.nl
    data
    dit is een test.
    .
    quit

    Vul wel even een goed emailadres in bij de rcpt to opdracht en let op de punt na je tekst, deze is nodig om te verzenden anders gebeurd er niets. Let ook op bij het typen, moet in één keer goed want een backspace werkt niet en dan lukt dit alles niet en moet je opnieuw beginnen.

  2. Rudiev, bedankt voor je vele tips. Ik heb geen telnet op m’n PC. Probeerde ‘m te installeren (via Windows programma’s installeren), maar dat duurde een half uur zonder dat er iets werd geïnstalleerd. Ik heb wel putty, waar Telnet onderdeel van is (dacht ik) en daarin heb ik bovenstaande commando’s uitgevoerd, maar met wisselend resultaat, soms wordt het commando niet herkend, soms zegt ‘ie OK.
    Uit de mailwisseling met Hostnet denk ik te kunnen opmaken dat er sprake is van spoofing, dat ze dus mijn e-mail misbruiken om spam te versturen. En dat vind ik vreemd, want in de mailserver-instellingen heb ik spamfilters aangezet, ook dat SPF via DNS. Op de een of andere manier weten ze dat kennelijk toch allemaal te omzeilen. Zucht…. Ik heb een ticket voor assistentie door Hostnet ingediend, daar zitten de slimme jongens die verstand hebben van dit soort dingen. Die willen mij vast wel helpen. Eén nadeel: het gaat geld kosten. 🙁

  3. Telnet is een command prompt dos tooltje, dus verwacht geen snelkoppeling in het startmenu. 🙂
    Putty kan ook, maar je moet dan als connection type Raw kiezen.

    Ow spoofing, daar kan je weinig aan doen, want met een open relay smtp (mail) server kan je elk domein spoofen wat je wilt.
    Maar je geeft al aan dat je een spf record aan heb laten maken, volgens mij zit daar een probleem. Want als ik een nslookup doet voor astroblogs.nl dan krijg ik hetvolgende.
    Open dos venster:

    nslookup.exe
    set type=txt
    astroblogs.nl

    Dan krijg ik als antwoord:

    Non-authoritative answer:
    astroblogs.nl text =

    “v=spf1 ip4:123.123.123.123 ~all”

    astroblogs.nl nameserver = ns3.hostnetbv.nl
    astroblogs.nl nameserver = ns2.hostnetbv.com
    astroblogs.nl nameserver = ns1.hostnet.nl
    ns1.hostnet.nl internet address = 91.184.1.10
    ns2.hostnetbv.com internet address = 91.184.8.20
    ns3.hostnetbv.nl internet address = 95.211.191.200

    Het lijkt erop dat je spf record naar ip-adres 123.123.123.123 verwijst. Ik zou dus je astroblogs dns laten controleren op je spf record en dit aanpassen naar het juist ip-adres wat uit naam van astroblogs.nl mag verzenden.

    Aangezien je mandrill gebruikt:
    http://help.mandrill.com/entries/21751322-What-are-SPF-and-DKIM-and-do-I-need-to-set-them-up-
    http://help.mandrill.com/entries/22030056-How-do-I-add-DNS-records-for-my-sending-domains-

    http://www.openspf.org/FAQ/Common_mistakes

  4. http://www.openspf.org/SPF_Record_Syntax
    Mocht je er niet helemaal uitkomen hoe je spf record er uit zou moeten zien dan heb je hier voorbeelden inclusief de mandrill toevoeging.

    v=spf1 include:spf.mandrillapp.com -all
    Met deze regel kan alleen mandrill mail verzenden van astroblogs, alle andere afzenders worden geweigerd

    v=spf1 include:spf.mandrillapp.com ip4:37.128.149.217 -all
    Deze regel is hetzelfde als bovenstaande, maar inclusief het ip-adres van de astroblogs.nl server, want hierop draait ook een smtp (mail) server. Ik weet niet waarvoor die gebruikt wordt, maar met deze regel authoriseer je de server wel om uit naam van astroblogs.nl te mogen mailen.

    v=spf1 a include:spf.mandrillapp.com -all
    Eigenlijk is deze hetzelfde als het tweede voorbeeld, alleen is het ip-adres vervangen door de a wat een record in de dns met het ip-adres van je domein. Mocht je server verhuizen en het ip-adres veranderen dan verandert het a record mee, hiermee hoef je dan niet je spf record aan te passen.

    Als je de link bekijkt kan je het teken van ‘all’ nog aanpassen om een ander resultaat voor alle niet gespecificeerde servers te kiezen. Het minnetje in -all geeft een Fail aan en weigert daarmee de mails van alle niet gespecificeerde mail servers.

  5. Lees ook even de link 2 comments hierboven van http://www.openspf.org/FAQ/Common_mistakes en de comment hierboven.
    In een spf record geeft je eigenlijk aan welke server(s) geauthoriseerd zijn om uit naam van je domein, @astroblogs.nl, te mogen mailen en wat er met de andere servers moet worden gedaan.
    Het is allereerst belangrijk een lijst te maken van welke server(s) je toe wilt voegen die uit naam van @astrobogs.nl mogen mailen. Als ik zo vrij mag zijn dan is dat volgens mij de astroblogs server(daar kwam de mail vandaan toen ik mijn account aanmaakte) en de server(s) van mandrill die je nieuwsbrief uit naam van @astroblogs.nl verzend, klopt dit?

    Dit link over mandrill geeft aan dat je in ieder geval devolgende spf record moet hebben voor mandrill:
    v=spf1 include:spf.mandrillapp.com -all

    Maar je astroblogs.nl server moet ook uit naam van @astroblogs.nl mailen zonder dat het als spam wordt aangemerkt, dus moet je je astroblogs.nl server ook toevoegen in je spf record:
    v=spf1 include:spf.mandrillapp.com ip4:37.128.149.217 -all

    Als je wil kan je het ip-adres over vervangen door een naam, je zou bijvoorbeeld een mail-record in je dns aan kunnen maken, mail.astroblogs.nl die verwijst naar het ip-adres van je astroblogs.nl server. Je spf record ziet er dan bv uit als:
    v=spf1 include:mail.astroblogs.nl include:spf.mandrillapp.com -all

    Het teken voor de ‘all’ parameter bepaalt wat er met alle andere servers moet gebeuren.
    http://www.openspf.org/SPF_Record_Syntax

    Lees het document even, maar een klein stuke copy/paste:

    Mechanisms can be prefixed with one of four qualifiers:

    “+” Pass ( <– dit is default indien er niets is toegevoegd)
    "-" Fail
    "~" SoftFail
    "?" Neutral

    Fail | The SPF record has designated the host as NOT being allowed to send | reject
    SoftFail | The SPF record has designated the host as NOT being allowed to send but is in transition | accept but mark

    Het laaste stukje geeft aan wat er met de mail gebeurd, -all dus reject, ~all accept but mark.

    Ps. Ik zie dat je nu je spf record heb aangepast, maar met je chello? adres? Dat is dus fout! 🙂

  6. Hoi Rudy, bedankt voor het meedenken. Jij hebt er echt verstand van merk ik wel. Eh… je kan maar één record maken met SPF (“Een TXT-record met ‘spf’-inhoud mag niet vaker dan 1 keer voorkomen” is de melding die ik krijg). Dus in die ene SPF record moet ik zowel mijn eigen IP nummer noemen als includen van Mandrill. Moet ik dan de door jou genoemde “v=spf1 include:mail.astroblogs.nl include:spf.mandrillapp.com -all” gebruiken?
    Dat IP adres is niet van Chello, maar wel van een andere welbekende provider van zo’n 3-in-1 pakket, maar wat is daar mis mee? Welk IP adres moet ik dan gebruiken, ik heb toch niet een rijtje IP adressen tot mijn beschikking? Moet ik wellicht dat IP adres hanteren van Hostnet, dus 91.184.1.10? Eh… je merkt het wel, ik ben niet helemaal thuis in die technieken, het is fantastisch dat jij mij wilt helpen. 😀

  7. Het is alweer een tijdje geleden, maar ik heb 8 jaar in de IT gewerkt, 2 jaartjes helpdesk en daarna 2e en vooral 3e lijn support en server beheer. Toevallig 1x eerder met spf te maken gehad, maar toen was het nog vrij nieuw terwijl het tegenwoordig door de spam veel gebruikt is.

    Ja je mag maar één spf record aanmaken waarin je alles zet wat je nodig heb, dus je moet de bestaande aanpassen. Gezien je ervaring en kennis met spf 😛 en om een lang verhaal kort te houden raad ik dan gewoon aan hetvolgende spf record aan te maken die ik in een eerder comment al aangaf als derde optie, deze is onderhouds vrij bij een eventuele serververhuizing of ip-adres wijziging van je astroblogs.nl server:
    “v=spf1 a include:spf.mandrillapp.com -all”

    Nogmaals, met dit spf record is het jouw astroblogs.nl server en de mandrill servers toegestaan om uit naam van @astroblogs.nl te mogen mailen, alle andere servers worden geweigerd. Dit is toch genoeg of heb je nog meer server die uit naam van @astroblogs.nl mogen mailen?

    Oja, dat ip adres hoort bij upc, het oude chello 🙂 Maar die moet je niet toevoegen, want jouw computer is geen mail server. toch? 🙂 Ook het adres van hostnet hoef je niet toe te voegen, 91.184.1.10 is volgens mij alleen een dns server, geen server die uit naam van @astroblogs.nl moet mailen, toch?

Laat wat van je horen

*