none
有關mail 的黑名單 RRS feed

  • 問題

  • Dear all:

    DNS 如果反解沒有生效的話, 在國外的Spam 中心有可能會被列成黑名單ㄇ??

    因為小弟查到自己的IP被列成黑名單

    2006年11月8日 上午 08:10

解答

  • Hi,

    DNS 如果沒有設定反解,應該不至於被列入黑名單 !!

    Exchange 2000/2003 預設是不允許 Relay 的,基本上只要不去動到 Relay 的設定,應該不會被 Relay 才對 !
    雖然確定 Relay 是關閉的,但是還是會被 Relay 的話 ..... 經過 Log 分析後發現大部分都是用戶的帳號跟密碼被猜到所致 !
    尤其是 Test 這個帳號,請大家可以在自己的系統中檢查一下,是否有這個帳號。

    至於如何得知哪個帳號密碼被猜到,請大家參考以下做法:
    1) 啟用 SMTP Virtual server log 記錄,擴充內容中至少要勾選 用戶端 IP/使用者名稱/方法/URI 查詢/通訊協定狀態...
    2) 將 Exchange server 的診斷記錄調到最高 (Maximal) (MSExchangeTransport\Protocol)
    3) 經過一段時間之後去查看 SMTP Virtual server 的 log(C:\WINNT\system32\LogFiles),裡面就會看到進行 Relay
    的 IP 與電腦名稱,根據這個資訊在去比對 Event Log 就可以找到他是用哪一個帳號進行 SMTP 認證的。

    希望對大家有幫助~~

    2006年11月8日 下午 04:30
    版主
  • Lingo 是指 SMTP Virtual Server 沒錯,在[一般]頁籤最下面按下[內容],[進階]頁籤可以選擇擴充記錄選項,應該不難找吧。

    2006年11月9日 上午 02:15
  • 在伺服器名稱物件選擇內容,選擇 [診斷記錄]頁籤,選擇 MSExchangeTransport,將 SMTP 的通訊協定記錄級別開到最高。
    2006年11月9日 上午 02:37
  • Hi,

    我再補充一下...

    在 Exchange Server 2003 診斷記錄設定頁面中有多了一個 "驗證" 的選項,也請把該項目調到最高
    位置在 診斷記錄\MSExchangeTransport\驗證。

    查看 SMTP Virtual server 的 log(C:\WINNT\system32\LogFiles),裡面就會看到進行 Relay 的 IP 或電腦名稱,
    格式類似以下 Sample:

    65.54.244.232 OutboundConnectionCommand MAIL FROM:<catvi265@ms9.url.com.tw>+SIZE=714 0 -
    65.54.244.232 OutboundConnectionResponse - 250+catvi265@ms9.url.com.tw....Sender+OK 0 -
    65.54.244.232 OutboundConnectionCommand RCPT TO:<lingo_chiang@hotmail.com> 0 -
    65.54.244.232 OutboundConnectionResponse - 250+lingo_chiang@hotmail.com+ 0 -
    65.54.244.232 OutboundConnectionCommand BDAT 714+LAST 0 -
    65.54.244.232 OutboundConnectionResponse - 250++<3cd6f83c@xx.com.tw>+Queued+mail+for+delivery 0 -

    你可以看一下 Connection IP 與 Mail From 以及 RCPT TO 的項目,基本上寄件者跟收件者都是外部 Domain
    時,而狀態都呈現 ok 時,就代表被 Relay 了。

    接下來請記錄這些資訊,到 Event Log 中去查詢 "驗證" 帳號是哪一個就可以找到了~~Thank you ~~

     

    2006年11月9日 上午 06:38
    版主
  •  Tung_Yuan 寫信:

    我在EVEN log 中看到220.229.164.254 這個IP , 所以去telnet 一下它真的存在ㄋ...它的25port 有開

    是不是它在用我的server 在作relayㄋ???

     

    這是虛擬伺服器識別碼 1,連線 #157 的 SMTP 通訊協定錯誤記錄。 遠端主機 "220.229.164.254" 以 "504 Need to authenticate first  " 回應 SMTP 命令 "xexch50"。 傳送的完整命令為 "XEXCH50 1992 2  "。這可能會造成連線失敗

     

    一、「XEXCH50」是對方寄信來時,E2K3 伺服器的記錄;若對方的郵件伺服器和你的 Exchange 伺服器在 SMTP 上的溝通格式不符 E2K3 的需求,事件檢視器中就會出現此記錄;你可比對該記錄的時間及 Exchange 的郵件追踪記錄。一般來說,即使產生該記錄,信還是寄得進來,這項記錄不是 Relay 的警訊。

    二、DNS 反查的問題,聽聖哥的,請 ISP 處理;因為我的客戶也遇過這個情形,請 ISP 處理後就好了。

    三、如果對自己的郵件伺服器是否被列入黑名單,請到這個網站查詢,有很多資料:www.dnsstuff.com

     

    Regards,

     

    2006年11月14日 上午 10:05

所有回覆

  • 通常來說都可以到 RBL 提供者的網站上申請撤銷紀錄。
    2006年11月8日 上午 08:19
  • Hi,

    DNS 如果沒有設定反解,應該不至於被列入黑名單 !!

    Exchange 2000/2003 預設是不允許 Relay 的,基本上只要不去動到 Relay 的設定,應該不會被 Relay 才對 !
    雖然確定 Relay 是關閉的,但是還是會被 Relay 的話 ..... 經過 Log 分析後發現大部分都是用戶的帳號跟密碼被猜到所致 !
    尤其是 Test 這個帳號,請大家可以在自己的系統中檢查一下,是否有這個帳號。

    至於如何得知哪個帳號密碼被猜到,請大家參考以下做法:
    1) 啟用 SMTP Virtual server log 記錄,擴充內容中至少要勾選 用戶端 IP/使用者名稱/方法/URI 查詢/通訊協定狀態...
    2) 將 Exchange server 的診斷記錄調到最高 (Maximal) (MSExchangeTransport\Protocol)
    3) 經過一段時間之後去查看 SMTP Virtual server 的 log(C:\WINNT\system32\LogFiles),裡面就會看到進行 Relay
    的 IP 與電腦名稱,根據這個資訊在去比對 Event Log 就可以找到他是用哪一個帳號進行 SMTP 認證的。

    希望對大家有幫助~~

    2006年11月8日 下午 04:30
    版主
  •  

     

     

    啟用 SMTP Virtual server log 記錄 是不是在SMTP - 預設SMTP 虛擬伺服器-- 一般--啟用紀錄.... 是ㄇ??

    可是我沒有看到  "勾選 用戶端 IP/使用者名稱/方法/URI 查詢/通訊協定狀態..." 這些選項ㄋ??

    是否可以說明在詳細一點ㄋ??


     

    2006年11月9日 上午 02:03
  • Lingo 是指 SMTP Virtual Server 沒錯,在[一般]頁籤最下面按下[內容],[進階]頁籤可以選擇擴充記錄選項,應該不難找吧。

    2006年11月9日 上午 02:15
  • Dear Lingo Chiang: 

    我已經找到 "啟用 SMTP Virtual server log 記錄,擴充內容中至少要勾選 用戶端 IP/使用者名稱/方法/URI 查詢/通訊協定狀態..."

    可是要將 " Exchange server 的診斷記錄調到最高 (Maximal) (MSExchangeTransport\Protocol)"

    是在那???

    2006年11月9日 上午 02:23
  • Dear Lingo Chiang: 

    已經找到 "Exchange server 的診斷記錄" 但是裡面有很多紀錄

    是不是選  MsExchange Transport-- SMTP 通訊協定 把它調成最高ㄋ???

     

     

    2006年11月9日 上午 02:31
  • 在伺服器名稱物件選擇內容,選擇 [診斷記錄]頁籤,選擇 MSExchangeTransport,將 SMTP 的通訊協定記錄級別開到最高。
    2006年11月9日 上午 02:37
  • 在請問一下:

    經過一段時間之後去查看 SMTP Virtual server 的 log(C:\WINNT\system32\LogFiles),裡面就會看到進行 Relay
    的 IP 與電腦名稱,根據這個資訊在去比對 Event Log 就可以找到他是用哪一個帳號進行 SMTP 認證的。

    這要如何去作比較ㄋ??

    是否能再詳細說明一下ㄋ???

    2006年11月9日 上午 05:33
  • Hi,

    我再補充一下...

    在 Exchange Server 2003 診斷記錄設定頁面中有多了一個 "驗證" 的選項,也請把該項目調到最高
    位置在 診斷記錄\MSExchangeTransport\驗證。

    查看 SMTP Virtual server 的 log(C:\WINNT\system32\LogFiles),裡面就會看到進行 Relay 的 IP 或電腦名稱,
    格式類似以下 Sample:

    65.54.244.232 OutboundConnectionCommand MAIL FROM:<catvi265@ms9.url.com.tw>+SIZE=714 0 -
    65.54.244.232 OutboundConnectionResponse - 250+catvi265@ms9.url.com.tw....Sender+OK 0 -
    65.54.244.232 OutboundConnectionCommand RCPT TO:<lingo_chiang@hotmail.com> 0 -
    65.54.244.232 OutboundConnectionResponse - 250+lingo_chiang@hotmail.com+ 0 -
    65.54.244.232 OutboundConnectionCommand BDAT 714+LAST 0 -
    65.54.244.232 OutboundConnectionResponse - 250++<3cd6f83c@xx.com.tw>+Queued+mail+for+delivery 0 -

    你可以看一下 Connection IP 與 Mail From 以及 RCPT TO 的項目,基本上寄件者跟收件者都是外部 Domain
    時,而狀態都呈現 ok 時,就代表被 Relay 了。

    接下來請記錄這些資訊,到 Event Log 中去查詢 "驗證" 帳號是哪一個就可以找到了~~Thank you ~~

     

    2006年11月9日 上午 06:38
    版主
  • 你的意思是說:

    65.54.244.232 OutboundConnectionCommand MAIL FROM:<catvi265@ms9.url.com.tw>+SIZE=714 0 -

    65.54.244.232 OutboundConnectionCommand RCPT TO:<lingo_chiang@hotmail.com> 0 -

    這樣就帶表被relay  了是ㄇ??

    接下來在把這些資訊去even loag 看是那個帳號就找到了是ㄇ??

    2006年11月9日 上午 07:06
  • Relay 信件的動作並不一定都是非法的喔,只要通過身分驗證而進行轉寄郵件的動作都叫做 Relay,除非帳號密碼被濫用或是盜用,甚至是 Open Relay 才是我們需要注意的地方。

    2006年11月9日 下午 01:01
  • Hi,

    最主要是要看 Rcpt to.....的狀態是 Accepted or ok,再加上 Mail From 又不是自己公司的位址...就代表是被 relay 囉~~
    一般來說 2.x.x 都是代表成功,5.x.x 就是失敗。

    你可以使用 Outlook Express 寄一封信去你的外部信箱(yahoo.com.tw),再去察看 SMTP Log & Event Log 就可以
    看出來囉~~


     

    2006年11月9日 下午 05:01
    版主
  •  Lingo Chiang 寫信:

    DNS 如果沒有設定反解,應該不至於被列入黑名單 !!

    這一點我倒是有不一樣的經驗,

    有些 RBL provider 是會用反解來定義是否為黑名單的,

    像我的 mail server 就是因為沒有反解,所以被微軟的 mail server 給退件 (它就是用那一家的 RBL),

    後來我是請 HiNet (我的 ISP) ,幫我加入反解資料,

    http://teacher.allok.com.tw/viewtopic.mspx?t=3075

    並且再請 HiNet 發文到該 RBL provider 去撤銷黑名單 (他們的 policy 規定要這樣),

    然後才正常的。

    順便一提,我建議自己的 mail server 還是不要啟動檢查來源 SMTP 伺服器的反解或 RBL 檢查,

    要不然會收不到一堆 mail server 的信,

    這是因為有很多 mail server 都沒做反解,都被列入 RBL,

    沒辦法,大家不守規矩咩。

    2006年11月10日 上午 02:55
  • 2006-11-09 15:55:01 200.122.88.142 200-122-88-142.cab.prima.net.ar MAIL +FROM:+<kgzugbqaoehou@msn.com> 250 -
    2006-11-09 15:55:01 221.146.97.117 218.32.199.249 RCPT +TO:+<sbkf1@pchome.com.tw> 550 -

    我有查到了, 不過不太懂...

    已順利執行用戶端 "DCMAIL.xxxx.com.tw" 的 SMTP 驗證。驗證方法為 "GSSAPI",使用者名稱為 "xxxx\CGM1$"。

    可是我沒有CGM1 的帳號阿....所以想請問大家....

    查很久的MIS

     

    2006年11月10日 上午 06:53
  • 2006-11-09 15:55:01 200.122.88.142 200-122-88-142.cab.prima.net.ar MAIL +FROM:+<kgzugbqaoehou@msn.com> 250 -
    2006-11-09 15:55:01 221.146.97.117 218.32.199.249 RCPT +TO:+<sbkf1@pchome.com.tw> 550 -

    我有查到了, 不過不太懂...

    已順利執行用戶端 "DCMAIL.xxxx.com.tw" 的 SMTP 驗證。驗證方法為 "GSSAPI",使用者名稱為 "xxxx\CGM1$"。

    可是我沒有CGM1 的帳號阿....所以想請問大家....

    查很久的MIS

    2006年11月10日 上午 06:56
  •  Tung_Yuan 寫信:

    2006-11-09 15:55:01 200.122.88.142 200-122-88-142.cab.prima.net.ar MAIL +FROM:+<kgzugbqaoehou@msn.com> 250 -
    2006-11-09 15:55:01 221.146.97.117 218.32.199.249 RCPT +TO:+<sbkf1@pchome.com.tw> 550 -

    我有查到了, 不過不太懂...

    已順利執行用戶端 "DCMAIL.xxxx.com.tw" 的 SMTP 驗證。驗證方法為 "GSSAPI",使用者名稱為 "xxxx\CGM1$"。

    可是我沒有CGM1 的帳號阿....所以想請問大家....

    正常的應該是:

    已順利執行用戶端 "ASUS" 的 SMTP 驗證。驗證方法為 "LOGIN",使用者名稱為 "XXXX\alen"。才對

    查很久的MIS

    2006年11月10日 上午 07:06
  • 請問是否有人可以回答ㄋ??

    因為真的不太清楚是怎麼回事???

    已順利執行用戶端 "DCMAIL.xxxx.com.tw" 的 SMTP 驗證。驗證方法為 "GSSAPI",使用者名稱為 "xxxx\CGM1$"。

    可是我沒有CGM1 的帳號阿....所以想請問大家....

    2006年11月13日 上午 10:08
  • 我在EVEN log 中看到220.229.164.254 這個IP , 所以去telnet 一下它真的存在ㄋ...它的25port 有開

    是不是它在用我的server 在作relayㄋ???

     

    這是虛擬伺服器識別碼 1,連線 #157 的 SMTP 通訊協定錯誤記錄。 遠端主機 "220.229.164.254" 以 "504 Need to authenticate first  " 回應 SMTP 命令 "xexch50"。 傳送的完整命令為 "XEXCH50 1992 2  "。這可能會造成連線失敗

    2006年11月14日 上午 06:33
  •  Tung_Yuan 寫信:

    我在EVEN log 中看到220.229.164.254 這個IP , 所以去telnet 一下它真的存在ㄋ...它的25port 有開

    是不是它在用我的server 在作relayㄋ???

     

    這是虛擬伺服器識別碼 1,連線 #157 的 SMTP 通訊協定錯誤記錄。 遠端主機 "220.229.164.254" 以 "504 Need to authenticate first  " 回應 SMTP 命令 "xexch50"。 傳送的完整命令為 "XEXCH50 1992 2  "。這可能會造成連線失敗

     

    一、「XEXCH50」是對方寄信來時,E2K3 伺服器的記錄;若對方的郵件伺服器和你的 Exchange 伺服器在 SMTP 上的溝通格式不符 E2K3 的需求,事件檢視器中就會出現此記錄;你可比對該記錄的時間及 Exchange 的郵件追踪記錄。一般來說,即使產生該記錄,信還是寄得進來,這項記錄不是 Relay 的警訊。

    二、DNS 反查的問題,聽聖哥的,請 ISP 處理;因為我的客戶也遇過這個情形,請 ISP 處理後就好了。

    三、如果對自己的郵件伺服器是否被列入黑名單,請到這個網站查詢,有很多資料:www.dnsstuff.com

     

    Regards,

     

    2006年11月14日 上午 10:05