Junk (Anfänger)

Checole

New Member
Jun 7, 2021
7
1
3
56
Hi,

ich habe einen Mail-Server auf dem NAS installiert und davor das PMG. DKIM vom PMG generiert,

Das sieht ja erst mal super aus.

Allerdings, was mich beunruhigt ist:

Erstens, bekomme ich einen daily report, da steht fast immer "incoming Mails" = x und "Junk Mails" ist auch x.
Jetzt wüßte ich gerne:
a) wie sind Junk Mails definiert und wie sind Spam Mails definiert, dh. was ist der Unterschied?
b) Edit: bin einen Schritt weiter: tracking center:

Kombinationen:
accepted / delivered: klar
accepted / bounced: In beiden ist SPF aktiviert, im PMG und im MailPlusServer. PMG läßt durch, MailServer nicht! Liegt das am Weiterleiten?
accepted / deferred: Wieso deferred? Wann tritt das ein?
greylisted: Was passiert damit?

wo kann ich denn die Junk Mails finden? Werden die irgendwo in Quarantäne gespeichert oder rejected? Da muss man doch bestimmt irgendwo eine Policy definieren können? Wo findet man die Junk emails denn? Ich habe im "Syslog" nachgesehen, das ist aber mühsam, es gibt anscheinend keine Suchfilter nach Suchworten, nur nach Zeiträumen. Wenn ich nach reject suche (Zeitraum 06.06-07.06) finde ich nur zwei Einträge und nicht 4 wie unten in der Statistik:

Jun 07 01:08:45 mail postfix/smtpd[22886]: NOQUEUE: reject: RCPT from unknown[77.247.110.183]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@MyDomain.de> to=<test@gmail.com> proto=SMTP helo=<win2012r2rdp.domain>
Jun 07 09:44:55 mail postfix/postscreen[25770]: NOQUEUE: reject: RCPT from [27.255.75.13]:63286: 550 5.7.1 Service unavailable; client [27.255.75.13] blocked using zen.spamhaus.org; from=<spameri@tiscali.it>, to=<spameri@tiscali.it>, proto=ESMTP, helo=<WIN-2KQ7B1U53RB>
Jun 07 09:44:55 mail postfix/postscreen[25770]: DISCONNECT [27.255.75.13]:63286

Incoming Mails (24 hours)​

Incoming Mails4
Junk Mails (100.00%)4
Spam Mails (0.00%)0
SPF rejects (0.00%)0

Oder nach welchen Schlüsselbegriffen soll ich suchen?

c) gibt es irgendwelche Hilfen, wie man die Einträge im Syslog besser lesen und verstehen kann?

d) findet man die Junk emails noch woanders? Bei mir ist alles leer (keine Einträge) unter Administration-->Spamquarantäne. Gibt es vielleicht eine Übersicht, von wem was rejected wurde? Ich habe nichts gefunden. Edit: bin einen Schritt weiter: tracking center:

e) Ich wollte die IP sperren, geht aber nicht. Connected sich trotzdem dauernd weiter.


Zweitens, das Log ist für mich beunruhigend.
Eine IP-Adresse [77.247.110.183] vom PEENQ.NL (RIPE Datenbank) verbindet sich seit Tagen auf das PMG und klappert alle Ports ab.

Da steht meistens "Hangup" aber auch "PASS NEW"

Was bedeutet das? Kann ich das irgendwo nachlesen?
Wenn sich der Port dauernd ändert, das sind keine emails, sondern login-Versuche in das PMG, oder?

Jun 07 01:02:59 mail postfix/postscreen[22868]: CONNECT from [77.247.110.183]:52995 to [192.168.10.150]:25
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: non-null host address bits in "192.168.10.1/24", perhaps you should use "192.168.10.0/24" instead
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: permit_mynetworks: mynetworks lookup error -- ignoring the remainder of this access list
Jun 07 01:02:59 mail postfix/postscreen[22868]: HANGUP after 0 from [77.247.110.183]:52995 in tests before SMTP handshake
Jun 07 01:02:59 mail postfix/postscreen[22868]: DISCONNECT [77.247.110.183]:52995
Jun 07 01:02:59 mail postfix/postscreen[22868]: cache btree:/var/lib/postfix/postscreen_cache full cleanup: retained=24 dropped=0 entries

Jun 07 01:06:27 mail postfix/postscreen[22883]: CONNECT from [77.247.110.183]:51468 to [192.168.10.150]:25
Jun 07 01:06:27 mail postfix/postscreen[22883]: warning: postscreen_access_list: non-null host address bits in "192.168.10.1/24", perhaps you should use "192.168.10.0/24" instead
Jun 07 01:06:27 mail postfix/postscreen[22883]: warning: postscreen_access_list: permit_mynetworks: mynetworks lookup error -- ignoring the remainder of this access list
Jun 07 01:06:33 mail postfix/postscreen[22883]: PASS NEW [77.247.110.183]:51468
Jun 07 01:06:33 mail postfix/smtpd[22886]: connect from unknown[77.247.110.183]
Jun 07 01:06:38 mail pmgpolicy[906]: starting policy database maintenance (greylist, rbl)
Jun 07 01:06:38 mail pmgpolicy[906]: end policy database maintenance (16 ms, 2 ms)
Jun 07 01:07:52 mail pmg-smtp-filter[17400]: starting database maintenance
Jun 07 01:07:52 mail pmg-smtp-filter[17400]: end database maintenance (7 ms)
Jun 07 01:08:45 mail postfix/smtpd[22886]: NOQUEUE: reject: RCPT from unknown[77.247.110.183]: 554 5.7.1 <test@gmail.com>: Relay access denied; from=<test@MEINE-DOMAIN.de> to=<test@gmail.com> proto=SMTP helo=<win2012r2rdp.domain>
Jun 07 01:08:48 mail pmgpolicy[906]: starting policy database maintenance (greylist, rbl)
Jun 07 01:08:48 mail pmgpolicy[906]: end policy database maintenance (13 ms, 2 ms)

Jun 07 15:23:24 mail postfix/postscreen[26290]: HANGUP after 219 from [77.247.110.183]:61358 in tests after SMTP handshake
Jun 07 15:23:24 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:61358
Jun 07 15:23:26 mail postfix/postscreen[26290]: HANGUP after 149 from [77.247.110.183]:53263 in tests after SMTP handshake
Jun 07 15:23:26 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:53263
Jun 07 15:23:26 mail postfix/postscreen[26290]: HANGUP after 172 from [77.247.110.183]:65131 in tests after SMTP handshake
Jun 07 15:23:26 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:65131
Jun 07 15:23:40 mail pmgpolicy[906]: starting policy database maintenance (greylist, rbl)
Jun 07 15:23:40 mail pmgpolicy[906]: end policy database maintenance (23 ms, 2 ms)
Jun 07 15:24:14 mail postfix/postscreen[26290]: HANGUP after 197 from [77.247.110.183]:53365 in tests after SMTP handshake
Jun 07 15:24:14 mail postfix/postscreen[26290]: DISCONNECT [77.247.110.183]:53365
Jun 07 15:24:39 mail postfix/postscreen[26290]: CONNECT from [77.247.110.183]:52299 to [192.168.10.150]:25

Sorry, wenn ein paar Anfängerfragen dabei sind, und alle gelangweilt ein "istdochklar" gähnen, aber dann habe ich hoffentlich auch schnell kompetente Antworten.

Danke schon mal im voraus.
 
Last edited:
accepted / bounced: In beiden ist SPF aktiviert, im PMG und im MailPlusServer. PMG läßt durch, MailServer nicht! Liegt das am Weiterleiten?
kann recht oft der Fall sein - wenn PMG an MailPlusServer relayed, muss es dort als 'Trusted Relay' (oder so Ähnlich) eingetragen werden.

accepted / deferred: Wieso deferred? Wann tritt das ein?
das sagt, dass die mail von PMG akzeptiert wurde, aber noch nicht an den downstream server zugestellt werden konnte (weil dieser mit einem temporary fail code (4xx) geantwortet hat) - Ist aber auch in der Referenzdokumentation beschrieben:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_tracking_center

e) Ich wollte die IP sperren, geht aber nicht. Connected sich trotzdem dauernd weiter.
Das sie sich connected ist (üblicherweise) nicht weiter schlimm, solange die mails von PMG nicht angenommen werden.
Wenn ein Connect unterbunden werden soll, dann muss das mit nftables/iptables gemacht werden (ist aber nichts was PMG auf dem Level macht)

Eine IP-Adresse [77.247.110.183] vom PEENQ.NL (RIPE Datenbank) verbindet sich seit Tagen auf das PMG und klappert alle Ports ab.
Das passiert hier und da mal - Public IP Adressen werden ständig gescannt, ist nicht inhärent gefährlich. Fail2Ban ist eine Software, die bei zu vielen connection versuchen die IP per firewall sperrt - siehe https://www.fail2ban.org/

Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: non-null host address bits in "192.168.10.1/24", perhaps you should use "192.168.10.0/24" instead
Jun 07 01:02:59 mail postfix/postscreen[22868]: warning: postscreen_access_list: permit_mynetworks: mynetworks lookup error -- ignoring the remainder of this access list
die Warnung von postscreen wuerde ich beherzigen (einfach 192.168.10.0/24 statt 192.168.10.1/24 eintragen)

Im Allgemeinen kann ich auch die Referenzdokumentation:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html
und die Getting Started page im PMG wiki:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
als Einstieg empfehlen.


Ich hoffe das hilft.
 
Hallo Stoiko,

herzlichen Dank für deine Hilfe. Das hilft definitiv.

kann recht oft der Fall sein - wenn PMG an MailPlusServer relayed, muss es dort als 'Trusted Relay' (oder so Ähnlich) eingetragen werden.
das hatte ich schon gemacht. Zur Info, im Log stand, dass der PMG server nicht bekannt ist, also ein Problem durch das Durchleiten durch PMG stimmen evtl. die IP-Adressen nicht mehr mit denen überein, die im SPF definiert sind. Ich verlasse mich jetzt voll auf das Proxmox MailGateway. Deshalb habe ich die Security Prüfungen im Mail Server (z.B. SPF) deaktiviert. Jetzt gibt es keine Probleme mehr. Und das doppelte Netz brauche ich nicht, Proxmox ist besser als der Mail Server.

das sagt, dass die mail von PMG akzeptiert wurde, aber noch nicht an den downstream server zugestellt werden konnte (weil dieser mit einem temporary fail code (4xx) geantwortet hat) - Ist aber auch in der Referenzdokumentation beschrieben:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html#pmg_tracking_center
accepted / deferred, verstanden! Ich habe im Mail server das greylisting deaktiviert, das zu Verzögerungen führt. Auch hier gilt das gleiche: Ich verlasse mich lieber auf das PMG als auf die Mail server Mechanismen. Ich bin noch am testen, aber damit sollte es mit "deferred" Schluss sein. Wenn nicht muss ich sehen, was im Mail Server noch ausgeschaltet werden muss.

Das sie sich connected ist (üblicherweise) nicht weiter schlimm, solange die mails von PMG nicht angenommen werden.
Wenn ein Connect unterbunden werden soll, dann muss das mit nftables/iptables gemacht werden (ist aber nichts was PMG auf dem Level macht)
Okay, danke. Ich habe die email-Adresse vorsichtshalber noch unter blocked sender eingetragen, die email war immer gleich, die IP waren mehrere. Es wäre vielleicht ein Tipp für Proxmox, dass die IP oder email von zurückgewiesenen Sendern mit status rejected automatisch in die Blackliste eingetragen werden können.
Das passiert hier und da mal - Public IP Adressen werden ständig gescannt, ist nicht inhärent gefährlich. Fail2Ban ist eine Software, die bei zu vielen connection versuchen die IP per firewall sperrt - siehe https://www.fail2ban.org/
Super. Danke :)

die Warnung von postscreen wuerde ich beherzigen (einfach 192.168.10.0/24 statt 192.168.10.1/24 eintragen)
Das habe ich geändert, danke.

Im Allgemeinen kann ich auch die Referenzdokumentation:
https://pmg.proxmox.com/pmg-docs/pmg-admin-guide.html
und die Getting Started page im PMG wiki:
https://pmg.proxmox.com/wiki/index.php/Getting_started_with_Proxmox_Mail_Gateway
als Einstieg empfehlen.
danke. Das habe ich durch.

Ich hoffe das hilft.
definitiv. super support bei Proxmox. Und das für Privatkunden. Toll!
 
  • Like
Reactions: Stoiko Ivanov