Junk (Anfänger)

C

Checole

New Member
Jun 7, 2021
7
1
3
55
Hi,

ich habe einen Mail-Server auf dem NAS installiert und davor das PMG. DKIM vom PMG generiert,

Das sieht ja erst mal super aus.

Allerdings, was mich beunruhigt ist:

Erstens, bekomme ich einen daily report, da steht fast immer "incoming Mails" = x und "Junk Mails" ist auch x.
Jetzt wüßte ich gerne:
a) wie sind Junk Mails definiert und wie sind Spam Mails definiert, dh. was ist der Unterschied?
b) Edit: bin einen Schritt weiter: tracking center:

Kombinationen:
accepted / delivered: klar
accepted / bounced: In beiden ist SPF aktiviert, im PMG und im MailPlusServer. PMG läßt durch, MailServer nicht! Liegt das am Weiterleiten?
accepted / deferred: Wieso deferred? Wann tritt das ein?
greylisted: Was passiert damit?

wo kann ich denn die Junk Mails finden? Werden die irgendwo in Quarantäne gespeichert oder rejected? Da muss man doch bestimmt irgendwo eine Policy definieren können? Wo findet man die Junk emails denn? Ich habe im "Syslog" nachgesehen, das ist aber mühsam, es gibt anscheinend keine Suchfilter nach Suchworten, nur nach Zeiträumen. Wenn ich nach reject suche (Zeitraum 06.06-07.06) finde ich nur zwei Einträge und nicht 4 wie unten in der Statistik:

Jun 07 01:08:45 mail postfix/smtpd[22886]: NOQUEUE: reject: RCPT from unknown[77.247.110.183]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@MyDomain.de> to=<test@gmail.com> proto=SMTP helo=<win2012r2rdp.domain>
Jun 07 09:44:55 mail postfix/postscreen[25770]: NOQUEUE: reject: RCPT from [27.255.75.13]:63286: 550 5.7.1 Service unavailable; client [27.255.75.13] blocked using zen.spamhaus.org; from=<spameri@tiscali.it>, to=<spameri@tiscali.it>, proto=ESMTP, helo=<WIN-2KQ7B1U53RB>
Jun 07 09:44:55 mail postfix/postscreen[25770]: DISCONNECT [27.255.75.13]:63286

Incoming Mails (24 hours)​

Incoming Mails4
Junk Mails (100.00%)4
Spam Mails (0.00%)0
SPF rejects (0.00%)0

Oder nach welchen Schlüsselbegriffen soll ich suchen?

c) gibt es irgendwelche Hilfen, wie man die Einträge im Syslog besser lesen und verstehen kann?

d) findet man die Junk emails noch woanders? Bei mir ist alles leer (keine Einträge) unter Administration-->Spamquarantäne. Gibt es vielleicht eine Übersicht, von wem was rejected wurde? Ich habe nichts gefunden. Edit: bin einen Schritt weiter: tracking center:

e) Ich wollte die IP sperren, geht aber nicht. Connected sich trotzdem dauernd weiter.


Zweitens, das Log ist für mich beunruhigend.
Eine IP-Adresse [77.247.110.183] vom PEENQ.NL (RIPE Datenbank) verbindet sich seit Tagen auf das PMG und klappert alle Ports ab.

Da steht meistens "Hangup" aber auch "PASS NEW"

Was bedeutet das? Kann ich das irgendwo nachlesen?
Wenn sich der Port dauernd ändert, das sind keine emails, sondern login-Versuche in das PMG, oder?

Jun 07 01:02:59 mail postfix/postscreen[22868]: CONNECT from [77.247.110.183]:52995 to [192.168.10.150]:25
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: non-null host address bits in "192.168.10.1/24", perhaps you should use "192.168.10.0/24" instead
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: permit_mynetworks: mynetworks lookup error -- ignoring the remainder of this access list
Jun 07 01:02:59 mail postfix/postscreen[22868]: HANGUP after 0 from [77.247.110.183]:52995 in tests before SMTP handshake
Jun 07 01:02:59 mail postfix/postscreen[22868]: DISCONNECT [77.247.110.183]:52995
Jun 07 01:02:59 mail postfix/postscreen[22868]: cache btree:/var/lib/postfix/postscreen_cache full cleanup: retained=24 dropped=0 entries

Jun 07 01:06:27 mail postfix/postscreen[22883]: CONNECT from [77.247.110.183]:51468 to [192.168.10.150]:25
Jun 07 01:06:27 mail postfix/postscreen[22883]: warning: postscreen_access_list: non-null host address bits in "192.168.10.1/24", perhaps you should use "192.168.10.0/24" instead
Jun 07 01:06:27 mail postfix/postscreen[22883]: warning: postscreen_access_list: permit_mynetworks: mynetworks lookup error -- ignoring the remainder of this access list
Jun 07 01:06:33 mail postfix/postscreen[22883]: PASS NEW [77.247.110.183]:51468
Jun 07 01:06:33 mail postfix/smtpd[22886]: connect from unknown[77.247.110.183]
Jun 07 01:06:38 mail pmgpolicy[906]: starting policy database maintenance (greylist, rbl)
Jun 07 01:06:38 mail pmgpolicy[906]: end policy database maintenance (16 ms, 2 ms)
Jun 07 01:07:52 mail pmg-smtp-filter[17400]: starting database maintenance
Jun 07 01:07:52 mail pmg-smtp-filter[17400]: end database maintenance (7 ms)
Jun 07 01:08:45 mail postfix/smtpd[22886]: NOQUEUE: reject: RCPT from unknown[77.247.110.183]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@MEINE-DOMAIN.de> to=<test@gmail.com> proto=SMTP helo=<win2012r2rdp.domain>
Jun 07 01:08:48 mail pmgpolicy[906]: starting policy database maintenance (greylist, rbl)
Jun 07 01:08:48 mail pmgpolicy[906]: end policy database maintenance (13 ms, 2 ms)

Jun 07 15:23:24 mail postfix/postscreen[26290]: HANGUP after 219 from [77.247.110.183]:61358 in tests after SMTP handshake
Jun 07 15:23:24 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:61358
Jun 07 15:23:26 mail postfix/postscreen[26290]: HANGUP after 149 from [77.247.110.183]:53263 in tests after SMTP handshake
Jun 07 15:23:26 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:53263
Jun 07 15:23:26 mail postfix/postscreen[26290]: HANGUP after 172 from [77.247.110.183]:65131 in tests after SMTP handshake
Jun 07 15:23:26 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:65131
Jun 07 15:23:40 mail pmgpolicy[906]: starting policy database maintenance (greylist, rbl)
Jun 07 15:23:40 mail pmgpolicy[906]: end policy database maintenance (23 ms, 2 ms)
Jun 07 15:24:14 mail postfix/postscreen[26290]: HANGUP after 197 from [77.247.110.183]:53365 in tests after SMTP handshake
Jun 07 15:24:14 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:53365
Jun 07 15:24:39 mail postfix/postscreen[26290]: CONNECT from [77.247.110.183]:52299 to [192.168.10.150]:25

Sorry, wenn ein paar Anfängerfragen dabei sind, und alle gelangweilt ein "istdochklar" gähnen, aber dann habe ich hoffentlich auch schnell kompetente Antworten.

Danke schon mal im voraus.
 
Last edited:
Checole said:
accepted / bounced: In beiden ist SPF aktiviert, im PMG und im MailPlusServer. PMG läßt durch, MailServer nicht! Liegt das am Weiterleiten?
Click to expand...
kann recht oft der Fall sein - wenn PMG an MailPlusServer relayed, muss es dort als 'Trusted Relay' (oder so Ähnlich) eingetragen werden.

Checole said:
accepted / deferred: Wieso deferred? Wann tritt das ein?
Click to expand...
das sagt, dass die mail von PMG akzeptiert wurde, aber noch nicht an den downstream server zugestellt werden konnte (weil dieser mit einem temporary fail code (4xx) geantwortet hat) - Ist aber auch in der Referenzdokumentation beschrieben:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_tracking_center

Checole said:
e) Ich wollte die IP sperren, geht aber nicht. Connected sich trotzdem dauernd weiter.
Click to expand...
Das sie sich connected ist (üblicherweise) nicht weiter schlimm, solange die mails von PMG nicht angenommen werden.
Wenn ein Connect unterbunden werden soll, dann muss das mit nftables/iptables gemacht werden (ist aber nichts was PMG auf dem Level macht)

Checole said:
Eine IP-Adresse [77.247.110.183] vom PEENQ.NL (RIPE Datenbank) verbindet sich seit Tagen auf das PMG und klappert alle Ports ab.
Click to expand...
Das passiert hier und da mal - Public IP Adressen werden ständig gescannt, ist nicht inhärent gefährlich. Fail2Ban ist eine Software, die bei zu vielen connection versuchen die IP per firewall sperrt - siehe https://www.fail2ban.org/

Checole said:
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: non-null host address bits in "192.168.10.1/24", perhaps you should use "192.168.10.0/24" instead
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: permit_mynetworks: mynetworks lookup error -- ignoring the remainder of this access list
Click to expand...
die Warnung von postscreen wuerde ich beherzigen (einfach 192.168.10.0/24 statt 192.168.10.1/24 eintragen)

Im Allgemeinen kann ich auch die Referenzdokumentation:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html
und die Getting Started page im PMG wiki:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
als Einstieg empfehlen.


Ich hoffe das hilft.
 
Hallo Stoiko,

herzlichen Dank für deine Hilfe. Das hilft definitiv.

Stoiko Ivanov said:
kann recht oft der Fall sein - wenn PMG an MailPlusServer relayed, muss es dort als 'Trusted Relay' (oder so Ähnlich) eingetragen werden.
Click to expand...
das hatte ich schon gemacht. Zur Info, im Log stand, dass der PMG server nicht bekannt ist, also ein Problem durch das Durchleiten durch PMG stimmen evtl. die IP-Adressen nicht mehr mit denen überein, die im SPF definiert sind. Ich verlasse mich jetzt voll auf das Proxmox MailGateway. Deshalb habe ich die Security Prüfungen im Mail Server (z.B. SPF) deaktiviert. Jetzt gibt es keine Probleme mehr. Und das doppelte Netz brauche ich nicht, Proxmox ist besser als der Mail Server.

Stoiko Ivanov said:
das sagt, dass die mail von PMG akzeptiert wurde, aber noch nicht an den downstream server zugestellt werden konnte (weil dieser mit einem temporary fail code (4xx) geantwortet hat) - Ist aber auch in der Referenzdokumentation beschrieben:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_tracking_center
Click to expand...
accepted / deferred, verstanden! Ich habe im Mail server das greylisting deaktiviert, das zu Verzögerungen führt. Auch hier gilt das gleiche: Ich verlasse mich lieber auf das PMG als auf die Mail server Mechanismen. Ich bin noch am testen, aber damit sollte es mit "deferred" Schluss sein. Wenn nicht muss ich sehen, was im Mail Server noch ausgeschaltet werden muss.

Stoiko Ivanov said:
Das sie sich connected ist (üblicherweise) nicht weiter schlimm, solange die mails von PMG nicht angenommen werden.
Wenn ein Connect unterbunden werden soll, dann muss das mit nftables/iptables gemacht werden (ist aber nichts was PMG auf dem Level macht)
Click to expand...
Okay, danke. Ich habe die email-Adresse vorsichtshalber noch unter blocked sender eingetragen, die email war immer gleich, die IP waren mehrere. Es wäre vielleicht ein Tipp für Proxmox, dass die IP oder email von zurückgewiesenen Sendern mit status rejected automatisch in die Blackliste eingetragen werden können.
Stoiko Ivanov said:
Das passiert hier und da mal - Public IP Adressen werden ständig gescannt, ist nicht inhärent gefährlich. Fail2Ban ist eine Software, die bei zu vielen connection versuchen die IP per firewall sperrt - siehe https://www.fail2ban.org/
Click to expand...
Super. Danke :)

Stoiko Ivanov said:
die Warnung von postscreen wuerde ich beherzigen (einfach 192.168.10.0/24 statt 192.168.10.1/24 eintragen)
Click to expand...
Das habe ich geändert, danke.

Stoiko Ivanov said:
Im Allgemeinen kann ich auch die Referenzdokumentation:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html
und die Getting Started page im PMG wiki:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
als Einstieg empfehlen.
Click to expand...
danke. Das habe ich durch.

Stoiko Ivanov said:
Ich hoffe das hilft.
Click to expand...
definitiv. super support bei Proxmox. Und das für Privatkunden. Toll!
 
  • Like
Reactions: Stoiko Ivanov
You must log in or register to reply here.

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Quick Navigation

Home Get Subscription Wiki Downloads Proxmox Customer Portal About

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!
Community platform by XenForo® © 2010-2024 XenForo Ltd.
Top Bottom
Back