Vanmorgen kreeg ik een verontrustend telefoontje van iemand van Hostnet, de provider van de Astroblogs. De site die jullie dagelijks van nieuws over ruimtevaart en sterrenkunde voorziet blijkt ook verspreider te zijn van mailtjes, waarin bij de lezers wordt aangedrongen om vooral viagra of andere stimulansen te kopen, spam dus. Oeps, de Astroblogs als producent van spam, da’s toch niet de bedoeling. Ik heb het vaker meegemaakt, maar dat was bij een andere provider en toen moest ik maatregelen nemen om het spammen te voorkomen. Volgens Hostnet zou een malware script actief kunnen zijn, maar de spam zou ook verspreid kunnen worden via een email-nieuwsbrief. De eerste optie valt m.i. af, want ik heb diverse scanners die de Astroblogs 24/7 in de gaten houden en ik heb geen signaal gekregen van boosaardige binnendringers. Blijft over optie twee: verspreiding via een nieuwsbrief. En die hebben we al een poosje, eentje die gebruik maakt van de mailserver van Mandrill. Ik ga er maar even van uit dat daar de schuldige gevonden moet worden en daarom heb ik per direct de nieuwsbrief-plugin en de account bij Mandrill gedeactiveerd. Voorlopig dus even geen nieuwsbrief. Mocht de spam gewoon doorgaan dan ligt het niet aan de nieuwsbrief en moet ik verder zoeken. Van Enceladus begreep ik dat lezers ook problemen ervaren met inloggen, dat ze er telkens uit liggen en opnieuw moeten inloggen. Geen idee of het verband houdt met het spammen, maar het lijkt geen toeval dat het precies nou weer gebeurt. Ook daarvan moet ik kijken of verbeteringen mogelijk zijn. Excuus voor alle overlast.
Hostnet moet toch aan kunnen geven waar de spam vandaan komt, van welk ip-adres? En hoe kan de nieuwsbrief hier een kwade in zijn? Een nieuwsbrief verstuurt geen spam, dat doen mail servers 🙂
Ik ga haast denken dat je mail server open staat als open relay en iedereen deze kan misgebruiken om mail mee te versturen. Ik kan het helaas niet voor je testen, want mijn ip-adres staat als dynamisch te boek bij spamhaus en wordt geblokkeerd.. merkte ik op bij een test 🙂
Je kan het heel simpel testen op de command prompt met een telnet sessie op poort 25 naar je mail server en dan de volgende commando’s gebruiken: https://workaround.org/ispmail/lenny/test-mail-through-telnet
telnet astroblogs.nl 25
ehlo test.nl
mail from:[email protected]
rcpt to:[email protected]
data
dit is een test.
.
quit
Vul wel even een goed emailadres in bij de rcpt to opdracht en let op de punt na je tekst, deze is nodig om te verzenden anders gebeurd er niets. Let ook op bij het typen, moet in één keer goed want een backspace werkt niet en dan lukt dit alles niet en moet je opnieuw beginnen.
Rudiev, bedankt voor je vele tips. Ik heb geen telnet op m’n PC. Probeerde ‘m te installeren (via Windows programma’s installeren), maar dat duurde een half uur zonder dat er iets werd geïnstalleerd. Ik heb wel putty, waar Telnet onderdeel van is (dacht ik) en daarin heb ik bovenstaande commando’s uitgevoerd, maar met wisselend resultaat, soms wordt het commando niet herkend, soms zegt ‘ie OK.
Uit de mailwisseling met Hostnet denk ik te kunnen opmaken dat er sprake is van spoofing, dat ze dus mijn e-mail misbruiken om spam te versturen. En dat vind ik vreemd, want in de mailserver-instellingen heb ik spamfilters aangezet, ook dat SPF via DNS. Op de een of andere manier weten ze dat kennelijk toch allemaal te omzeilen. Zucht…. Ik heb een ticket voor assistentie door Hostnet ingediend, daar zitten de slimme jongens die verstand hebben van dit soort dingen. Die willen mij vast wel helpen. Eén nadeel: het gaat geld kosten. 🙁
Ik betaal uiteraard graag mee aan de kosten voor de fix
Telnet is een command prompt dos tooltje, dus verwacht geen snelkoppeling in het startmenu. 🙂
Putty kan ook, maar je moet dan als connection type Raw kiezen.
Ow spoofing, daar kan je weinig aan doen, want met een open relay smtp (mail) server kan je elk domein spoofen wat je wilt.
Maar je geeft al aan dat je een spf record aan heb laten maken, volgens mij zit daar een probleem. Want als ik een nslookup doet voor astroblogs.nl dan krijg ik hetvolgende.
Open dos venster:
nslookup.exe
set type=txt
astroblogs.nl
Dan krijg ik als antwoord:
Non-authoritative answer:
astroblogs.nl text =
“v=spf1 ip4:123.123.123.123 ~all”
astroblogs.nl nameserver = ns3.hostnetbv.nl
astroblogs.nl nameserver = ns2.hostnetbv.com
astroblogs.nl nameserver = ns1.hostnet.nl
ns1.hostnet.nl internet address = 91.184.1.10
ns2.hostnetbv.com internet address = 91.184.8.20
ns3.hostnetbv.nl internet address = 95.211.191.200
Het lijkt erop dat je spf record naar ip-adres 123.123.123.123 verwijst. Ik zou dus je astroblogs dns laten controleren op je spf record en dit aanpassen naar het juist ip-adres wat uit naam van astroblogs.nl mag verzenden.
Aangezien je mandrill gebruikt:
http://help.mandrill.com/entries/21751322-What-are-SPF-and-DKIM-and-do-I-need-to-set-them-up-
http://help.mandrill.com/entries/22030056-How-do-I-add-DNS-records-for-my-sending-domains-
http://www.openspf.org/FAQ/Common_mistakes
Ah dus als ik mijn eigen IP adres invoer moet dat werken. Maar via de techniek die jij nou doet kan iedereen dan toch mijn IP adres zien? Of is dat niet zo erg?
http://www.openspf.org/SPF_Record_Syntax
Mocht je er niet helemaal uitkomen hoe je spf record er uit zou moeten zien dan heb je hier voorbeelden inclusief de mandrill toevoeging.
v=spf1 include:spf.mandrillapp.com -all
Met deze regel kan alleen mandrill mail verzenden van astroblogs, alle andere afzenders worden geweigerd
v=spf1 include:spf.mandrillapp.com ip4:37.128.149.217 -all
Deze regel is hetzelfde als bovenstaande, maar inclusief het ip-adres van de astroblogs.nl server, want hierop draait ook een smtp (mail) server. Ik weet niet waarvoor die gebruikt wordt, maar met deze regel authoriseer je de server wel om uit naam van astroblogs.nl te mogen mailen.
v=spf1 a include:spf.mandrillapp.com -all
Eigenlijk is deze hetzelfde als het tweede voorbeeld, alleen is het ip-adres vervangen door de a wat een record in de dns met het ip-adres van je domein. Mocht je server verhuizen en het ip-adres veranderen dan verandert het a record mee, hiermee hoef je dan niet je spf record aan te passen.
Als je de link bekijkt kan je het teken van ‘all’ nog aanpassen om een ander resultaat voor alle niet gespecificeerde servers te kiezen. Het minnetje in -all geeft een Fail aan en weigert daarmee de mails van alle niet gespecificeerde mail servers.
Lees ook even de link 2 comments hierboven van http://www.openspf.org/FAQ/Common_mistakes en de comment hierboven.
In een spf record geeft je eigenlijk aan welke server(s) geauthoriseerd zijn om uit naam van je domein, @astroblogs.nl, te mogen mailen en wat er met de andere servers moet worden gedaan.
Het is allereerst belangrijk een lijst te maken van welke server(s) je toe wilt voegen die uit naam van @astrobogs.nl mogen mailen. Als ik zo vrij mag zijn dan is dat volgens mij de astroblogs server(daar kwam de mail vandaan toen ik mijn account aanmaakte) en de server(s) van mandrill die je nieuwsbrief uit naam van @astroblogs.nl verzend, klopt dit?
Dit link over mandrill geeft aan dat je in ieder geval devolgende spf record moet hebben voor mandrill:
v=spf1 include:spf.mandrillapp.com -all
Maar je astroblogs.nl server moet ook uit naam van @astroblogs.nl mailen zonder dat het als spam wordt aangemerkt, dus moet je je astroblogs.nl server ook toevoegen in je spf record:
v=spf1 include:spf.mandrillapp.com ip4:37.128.149.217 -all
Als je wil kan je het ip-adres over vervangen door een naam, je zou bijvoorbeeld een mail-record in je dns aan kunnen maken, mail.astroblogs.nl die verwijst naar het ip-adres van je astroblogs.nl server. Je spf record ziet er dan bv uit als:
v=spf1 include:mail.astroblogs.nl include:spf.mandrillapp.com -all
Het teken voor de ‘all’ parameter bepaalt wat er met alle andere servers moet gebeuren.
http://www.openspf.org/SPF_Record_Syntax
Lees het document even, maar een klein stuke copy/paste:
Mechanisms can be prefixed with one of four qualifiers:
“+” Pass ( <– dit is default indien er niets is toegevoegd)
"-" Fail
"~" SoftFail
"?" Neutral
Fail | The SPF record has designated the host as NOT being allowed to send | reject
SoftFail | The SPF record has designated the host as NOT being allowed to send but is in transition | accept but mark
Het laaste stukje geeft aan wat er met de mail gebeurd, -all dus reject, ~all accept but mark.
Ps. Ik zie dat je nu je spf record heb aangepast, maar met je chello? adres? Dat is dus fout! 🙂
Hoi Rudy, bedankt voor het meedenken. Jij hebt er echt verstand van merk ik wel. Eh… je kan maar één record maken met SPF (“Een TXT-record met ‘spf’-inhoud mag niet vaker dan 1 keer voorkomen” is de melding die ik krijg). Dus in die ene SPF record moet ik zowel mijn eigen IP nummer noemen als includen van Mandrill. Moet ik dan de door jou genoemde “v=spf1 include:mail.astroblogs.nl include:spf.mandrillapp.com -all” gebruiken?
Dat IP adres is niet van Chello, maar wel van een andere welbekende provider van zo’n 3-in-1 pakket, maar wat is daar mis mee? Welk IP adres moet ik dan gebruiken, ik heb toch niet een rijtje IP adressen tot mijn beschikking? Moet ik wellicht dat IP adres hanteren van Hostnet, dus 91.184.1.10? Eh… je merkt het wel, ik ben niet helemaal thuis in die technieken, het is fantastisch dat jij mij wilt helpen. 😀
Het is alweer een tijdje geleden, maar ik heb 8 jaar in de IT gewerkt, 2 jaartjes helpdesk en daarna 2e en vooral 3e lijn support en server beheer. Toevallig 1x eerder met spf te maken gehad, maar toen was het nog vrij nieuw terwijl het tegenwoordig door de spam veel gebruikt is.
Ja je mag maar één spf record aanmaken waarin je alles zet wat je nodig heb, dus je moet de bestaande aanpassen. Gezien je ervaring en kennis met spf 😛 en om een lang verhaal kort te houden raad ik dan gewoon aan hetvolgende spf record aan te maken die ik in een eerder comment al aangaf als derde optie, deze is onderhouds vrij bij een eventuele serververhuizing of ip-adres wijziging van je astroblogs.nl server:
“v=spf1 a include:spf.mandrillapp.com -all”
Nogmaals, met dit spf record is het jouw astroblogs.nl server en de mandrill servers toegestaan om uit naam van @astroblogs.nl te mogen mailen, alle andere servers worden geweigerd. Dit is toch genoeg of heb je nog meer server die uit naam van @astroblogs.nl mogen mailen?
Oja, dat ip adres hoort bij upc, het oude chello 🙂 Maar die moet je niet toevoegen, want jouw computer is geen mail server. toch? 🙂 Ook het adres van hostnet hoef je niet toe te voegen, 91.184.1.10 is volgens mij alleen een dns server, geen server die uit naam van @astroblogs.nl moet mailen, toch?
Ik zie dat je “v=spf1 include:mail.astroblogs.nl include:spf.mandrillapp.com -all” heb aangemaakt en het mail-record, perfect!
Ik heb ook het wachtwoord van mijn emailadres adrianusv apestaart astroblogs punt nl veranderd, want het zou volgens Hostnet best kunnen zijn dat ze dat ‘geraden’ hadden. Het is nu een zeer lastig te kraken wachtwoord, het vorige was niet heel ingewikkeld – nee, het was niet ‘wachtwoord’. 😀 Rudi, bedankt voor je hulp!
Je gaat toch niet zeggen dat het ‘astroblogs’ was? 😉
groet,
Gert (Enceladus)
Oeps, hoe weet jij dat nou? Nee geintje, dat was het ook niet. 🙂
Geen probleem, graag gedaan!
Je zou altijd in de logfiles kunnen kijken of er van een vreemd ip-adres is ingelogd met je account. Maar gezien je eerder zei dat er spoofing in het spel was lijkt me dat sterk, want zoals ik ook al eerder zei kan je met een eigen mail server elke domein spoofen wat je wilt. Ik kan zo een smtp (mail) server inrichten en gaan mailen vanuit @astroblogs.nl. Dat is maar een paar minuutjes werk om op te zetten. Het is aan de spamfilter, met nu het spf record, om te controleren van welke server dit komt en of deze dit mag verzenden.
Hier nog een leuke strip over wachtwoorden: http://imgs.xkcd.com/comics/password_strength.png
Misschien is het ook eens handig om na te denken om een firewall aan te zetten 🙂
Bedankt voor de tips. Ga ik zeker lezen, die strip. Eh.. volgens mij heb ik al een firewall, ik heb twee plugins die voor de veiligheid op de Astroblogs moeten zorgen, o.a. Wordfence Security.
Wordfence security zorgt voor de beveiliging van wordpress, maar is geen echte firewall voor je linux server.
Je moet het meer vergelijken met de windows firewall, zo heb je uiteraard voor linux ook firewalls. De standaard firewall voor linux is iptables, maar misschien is dat te moeilijk gezien het via de command line moet.
http://nl.wikibooks.org/wiki/Linux_Systeembeheer/Firewalls
http://www.netfilter.org/documentation/HOWTO/nl/packet-filtering-HOWTO-7.html
http://www.howtogeek.com/177621/the-beginners-guide-to-iptables-the-linux-firewall/
Ik ben geen linux expert en de meeste admins zweren volgens mij dan ook gewoon bij iptables, maar er zijn ook andere firewall (waarbij sommige/allemaal? een schil om iptables zijn):
http://www.tecmint.com/open-source-security-firewalls-for-linux-systems/
Mag ik graag berichten dat mijn Email [email protected] veranderd is naar ander emailadres [email protected]
Ik lees graag verder naar Astroblogs met Arie Nouwen!