Sinds gisteren liggen een aantal domeinen onder vuur: er worden continu e-mailberichten verzonden als "Undelivered Mail Returned to Sender", gemiddeld 5 mailtjes per minuut per domeinnaam.

De mailtjes worden gestuurd naar willekeurige adressen binnen een domeinnaam (sdag@domein.nl en FHdgKJF@domein.nl etc.). Nu wordt een deel wel tegengehouden door de spamfilter (blacklist + spamassassing is geïnstalleerd), maar er komt toch een heleboel doorheen.

Wat opvalt is dat er steeds meer domeinen overspoelt worden. Sinds enkele minuten ligt weer een andere domeinnaam onder vuur. Iemand enig idee hoe ze aan de domeinnamen komen en hoe dit te stoppen is?

Voor de duidelijkheid, de afzender is steeds anders, zowel e-mailadres, mailserver als ip adres. Catch-all uitzetten helpt wel maar is niet in alle gevallen een optie.

Alvast erg bedankt!

Gebruik je DA?

Ja ik word er ook doodziek van. Zeker omdat sommige klanten wel graag de catch-all gebruiken. Ben momenteel met mijn eigen domeinen de pisang. Leuk al die rommel....

Klopt, heb inderdaad al sinds een paar dagen na elke nacht 580 mailtjes in de inbox, allemaal 'Delivery Failed' - messages.

Inderdaad DirectAdmin.

De betreffende server wordt er zelfs traag van. Moet toch iets zijn op dit op te lossen?

Ja maar het is mij opgevallen dat het na een update van DirectAdmin gebeurt is. Ik zit er net zo mee. Ook sinds 2 dagen. Ik heb een oude EXIM.CONF terug gezet (want het zag er naar uit dat deze was geupdate) en het is weer (voor een groot deel) voorbij :s

Ik zie inderdaad dat het bestand hier ook is aangepast. Ga ik ook eens proberen.

Edit: Ik zie trouwens dat er een nieuwe versie van DA is uitgekomen. Dit staat niet in het lijstje maar ik zie wel dat exim.conf weer is aangepast. Kijk het zo even aan en anders plaats ik de oudere versie maar weer terug :)

De hoeveelheid spam neem steeds toe. De hoeveelheids NDR's dus ook. Met dank aan spammers die domeinen spoofen..

Je kan txt records spf instellen en hopen dat men die checked. Of je gebruik procmail en filter de rommel naar een quarantaine mailbox..

Hier ook meer spam via catch-all en DA... :(

Hier ook enorm veel spam.
Ook Directadmin.

Sommige server gaan compleet over hun nek door de hoge serverload van Spamd.

Echter heb ik niet het idee dat dit an de update van directadmin ligt, ook sevrers waar nog een oude versie op staat kennen het zlefde probleem sinds gisteren.

Maar ff een oude exim.conf terug gezet maar zie weinig verschil.

Inderdaad, bij mij ook.

Opvallend is dat langzaam steeds meer domeinen het slachtoffer worden. En dat het alleen DirectAdmin-gebruikers betreft.

Ik vermoed dat het een beetje toeval is geweest met de exim.conf. Het is niet meer zo erg als gisteren, maar er druppelt nog wel wat binnen hier nog.

Vind net misschien een interesante link op de site van DA
http://www.directadmin.com/forum/showthread.php?t=17346

Hier relatief weinig last.

Waarom dan ook gebruik maken van de catch-all. Nooit aan beginnen.

Ik heb de laatste tijd juist minder last van spam, weet niet geheel hoe het komt maar het bevalt me wel. Draai ook de laatste Directadmin versie.

Iemand al iets gevonden? De betreffende server krijgt het erg zwaar en e-mail ophalen is al bijna niet meer mogelijk.

Iemand al iets gevonden? De betreffende server krijgt het erg zwaar en e-mail ophalen is al bijna niet meer mogelijk.

waarop gevonden? Als er 'gewoon' veel bounces binnen komen worden ze nu eenmaal verwerkt. Catchall adres uit zetten of exim instellen dat die minder mail parallel mag verwerken.

Feit blijft dat er ieder uur duizenden mailtjes binnenkomen die toch allemaal door Exim verwerkt moeten worden. Vind het opvallend dat opeens meerdere gebruikers van DirectAdmin dezelfde problemen ondervinden, allemaal sinds de afgelopen 1 à 2 dagen. Daar moet een oorzaak voor zijn, zou je zeggen.

Het geld niet alleen voor DA gebruikers geld. Ik heb genoeg domein welke waar ook meer van dit soort mail voor binnen komt welke niet in een DA staan. Het is meer een algemene stijging van de bounces.
Misschien dat het DA gebruikers meer opvalt omdat op DA machines alle services op de zelfde machine staan en daardoor de load meer opvalt?

Zou kunnen, maar in dit topic geven meerderen aan dat, ook sinds twee dagen, er opeens een expolsieve toename is. Natuurlijk is dit een probleem dat wel vaker voorkomt, maar dusdanig veel is nooit eerder voorgekomen. Zoals het ook niet eerder is voorgekomen dat steeds meer domeinen op dezelfde server het slachtoffer worden.

ook wij hebben hier last van en ook zo erg dat spamd zo veel cpu load gebruikt dat alles vast komt te lopen.

Gebruiken DA en hebben het pas sinds 2 dagen, het lijkt alsof het inderdaad een DA bug is.

Is er dan echt geen oplossing tegen ? Moeten we gewoon alle servers over hun nek laten gaan zonder dat er in die 2-3 dagen iemand een oplossing heeft bedacht..... pffft.. Een oude config hielp dat?

Als het een DA bug is heeft iemand het dan al gemeld?

ook wij hebben hier last van en ook zo erg dat spamd zo veel cpu load gebruikt dat alles vast komt te lopen.

Gebruiken DA en hebben het pas sinds 2 dagen, het lijkt alsof het inderdaad een DA bug is.
Het verbruiken van cpu kan een probleem van da zijn.

Spam op zich niet :) wij draaien geen da of ander commercieel cp en onze servers hebben ook een extra lading spam te verwerken.


Is er dan echt geen oplossing tegen ? Moeten we gewoon alle servers over hun nek laten gaan zonder dat er in die 2-3 dagen iemand een oplossing heeft bedacht..... pffft.. Een oude config hielp dat?
Zet er een server (of meer) voor die het filteren voor z'n rekening neemt.

Op het forum van DirectAdmin komen ook al veel meldingen binnen zie ik. Allemaal mensen met hetzelfde probleem, maar nog niemand die een idee heeft waar het vandaan komt.

Last Updated Mon Feb 5 11:42:11 2007

sinds vandaag ook honderden bouncers, maar het lijkt me dus sterk dat het opeens aan DA zou liggen

Het is toegenomen maar ligt niet aan DA, onze Plesk servers hebben er eveneens last van.

Het CPU gebruik is geen DA bug, eerder SpamAssassin die nou eenmaal meer CPU vraagt. Verder hier ook een toename van mail.

maar de stijging is wel erg groot te noemen, van 100-200 spam mails naar 10.000+

catch all uit zetten helpt niet, wij zien dat de binnenkomende mail naar niet bestaande mail adressen gewoon door spamd gaan en hierna naar een blackhole gaan.

erg vervelend dus voor de belasing van de servers.


Zojuist hebben wij genoodzaakt enkle auccounts verhuisd naar een andere server om er voor te zorgen dat de overige accounts die minder bounces krijgen geen last hebben van de hoge cpu load.

een andere optie is het negeren van mail zonder reverse dns, dit helpt erg goed, alleen een beetje te goed.
diverse mail van planet, kpn, chello etc etc komt dan ook niet meer aan omdat deze geen juiste reverse dns hebben.
(60 tot 70% van de spam en bounces hebben geen reverse dns)

Hierop heb ik de volgende vraag: weet iemand toevallig hoe je in de gebruikers spam assassin reverse dns 100 punten kan geven?
(dus via edit Manually edit the config file yourself in directadmin)

maar de stijging is wel erg groot te noemen, van 100-200 spam mails naar 10.000+

komt wel vaker voor hoor

zie ook http://www.nu.nl/news/992826/50/Februari_vestigt_nieuw_spamrecord.html

komt wel vaker voor hoor

zie ook http://www.nu.nl/news/992826/50/Februari_vestigt_nieuw_spamrecord.html

nee dit komt niet vaker voor want maanden geleden was het aantal spam al 90% en nu febr is hij slechts naar 91 gegaan waardoor het een nieuw record is geworden. Hierdoor kan ik dat als hoster niet van 300/500 spam naar 10.000spam groeien.

We hebben het hier echter niet om het aantal spams wat men binnenkrijgt, maar over het aantal BOUNCES. Zoals ook in diverse media vermeld is er een groot botnet is asia begonnen met spammen. Hier zullen wel vreselijk veel slechte email adressen tussen zitten, of probeert men met random gegenereerde adressen de spam te versturen.

Dit levert veel meer bounces op waar de meeste hier dus last van hebben. Echter krijg je deze in 99% van de gevallen binnen via de catch-all welke ingesteld staan. Zet deze uit en je server zal 99% van deze bounces al niet eens accepteren (en dus niet hoeven te verwerken).

We hebben het hier echter niet om het aantal spams wat men binnenkrijgt, maar over het aantal BOUNCES. Zoals ook in diverse media vermeld is er een groot botnet is asia begonnen met spammen. Hier zullen wel vreselijk veel slechte email adressen tussen zitten, of probeert men met random gegenereerde adressen de spam te versturen.

Dit levert veel meer bounces op waar de meeste hier dus last van hebben. Echter krijg je deze in 99% van de gevallen binnen via de catch-all welke ingesteld staan. Zet deze uit en je server zal 99% van deze bounces al niet eens accepteren (en dus niet hoeven te verwerken).

Onze servers bestaan uit klanten, ik kan klanten niet naar jaren gaan verbieden om catch all te gebruiken. Sommige hebben dit nodig!

Onze servers bestaan uit klanten, ik kan klanten niet naar jaren gaan verbieden om catch all te gebruiken. Sommige hebben dit nodig!
Dan zul je je exim/spamd/amavis configs moeten aanpassen zodat die de bounces niet gaat controlleren als spam en/of als virus.
Scheelt al een hoop resources.

Onze servers bestaan uit klanten, ik kan klanten niet naar jaren gaan verbieden om catch all te gebruiken. Sommige hebben dit nodig!

Daar komt bij dat ik zelf de catchall uit heb staan en ik evenveel spam krijg.

Onze servers bestaan uit klanten, ik kan klanten niet naar jaren gaan verbieden om catch all te gebruiken. Sommige hebben dit nodig!
Dan wijzig je het alleen in overleg met de andere klanten!

Naar mijn mening kan je die adressen ook gewoon configureren zodat de rest gaat bouncen. Voor de enkeling waarvoor het wel van belang is om catchall te gebruiken kan je het dan laten staan.


Daar komt bij dat ik zelf de catchall uit heb staan en ik evenveel spam krijg.
Dat weet jij niet. Zet het maar aan en kijk dan eens hoeveel je daarna ontvang.

Dat weet jij niet. Zet het maar aan en kijk dan eens hoeveel je daarna ontvang.

hij geeft toch aan dit al getest te hebben?

Hoe heb je dat gelezen? Ik zie nergens staat dat het getest is. Het niet scannen van bounce mails zie ik niet als oplossing trouwens.


Hier zullen wel vreselijk veel slechte email adressen tussen zitten, of probeert men met random gegenereerde adressen de spam te versturen.

Ik denk niet dat dat de insteek is. De spammer stuurt waarschijnlijk mail naar random adressen zodat deze opzettelijk gebounced gaan worden. De spammer hoopt dus op maatregelen dat gebouncede mail niet gescanned wordt zodat deze alsnog gelezen wordt.

De enige oplossing hiervoor is vrij simpel. Uitgaande mail wordt getagged met een code, deze code en verder relevante informatie wordt opgeslagen. Wanneer er een mail bounce ontvangen wordt, controleert de filter of de mail ook daadwerkelijk verstuurd is. Zo niet, wordt het niet geaccepteerd. IronPort maakt gebruik van dergelijke technologie. Of er softwarematige oplossingen zijn die hetzelfde kunnen weet ik niet.

Ik denk niet dat dat de insteek is. De spammer stuurt waarschijnlijk mail naar random adressen zodat deze opzettelijk gebounced gaan worden. De spammer hoopt dus op maatregelen dat gebouncede mail niet gescanned wordt zodat deze alsnog gelezen wordt.

De enige oplossing hiervoor is vrij simpel. Uitgaande mail wordt getagged met een code, deze code en verder relevante informatie wordt opgeslagen. Wanneer er een mail bounce ontvangen wordt, controleert de filter of de mail ook daadwerkelijk verstuurd is. Zo niet, wordt het niet geaccepteerd. IronPort maakt gebruik van dergelijke technologie. Of er softwarematige oplossingen zijn die hetzelfde kunnen weet ik niet.

Voorwaarde van bovenstaande is dat verzonden mail alleen via die mail server verstuurd moet worden, anders wordt wordt er geen tag opgezet. Tijdelijk een andere (eigen) server (of de verplichten van een adsl) provider werkt dan niet meer. Een tag in de mail zetten zal ook niet helpen, BOUNCES worden door elk stukje software weer anders gemaakt, geen uniforme layout dus.

Zelf als oplossing hebben we dat alle mail welke op poort 25 binnenkomt ongezien door gestuurd wordt naar een dedicated mail scan server (virus/spam tagging/stats). Daarna gaat het naar de bewust DA server weer terug (op een niet standaard poort). Exim zal niet opnieuw scanner op spam en virussen maar de mail bezorgen bij de user waarvoor die oorspronkelijk bedoelt was.
Zo minimaliseren we elke DA server van mail(afhandeling) activiteiten en kunnen toch 'gewoon' de standaard DA interface configuratie gebruikt worden.

Een tag was even het eerste waar ik nu op kwam, is het niet exact maar kan even niet op het juiste woord komen. Er zit in ieder geval meer achter als dat. Verder heb je wel gelijk dat het dan niet via de mailserver van de provider verstuurd moet worden.

Het blijft een lastig probleem.

Zelf als oplossing hebben we dat alle mail welke op poort 25 binnenkomt ongezien door gestuurd wordt naar een dedicated mail scan server (virus/spam tagging/stats). Daarna gaat het naar de bewust DA server weer terug (op een niet standaard poort). Exim zal niet opnieuw scanner op spam en virussen maar de mail bezorgen bij de user waarvoor die oorspronkelijk bedoelt was.
Zo minimaliseren we elke DA server van mail(afhandeling) activiteiten en kunnen toch 'gewoon' de standaard DA interface configuratie gebruikt worden.
Ik werk zelf met Plesk en heb dit ook al zitten te bedenken, echter ik zit met twee dingen:
* users kunnen dan niet meer hun eigen spaminstellingen regelen via Plesk
* hoe laat jij de dedicated mailserver weten bij welke server hij het weer moet droppen. doe je dit middels mx records? Hoe krijg je deze dan verwezen naar de juiste poort?

wij hebben afgelopen dagen ook enorm veel last gehad van bounce mailtjes die binnen komen, load werd hierdoor ook hoog.

nee dit komt niet vaker voor

mijn opmerkingen stonden los van elkaar


ja, het komt vaker voor want ik zie het vaker (iedere twee maanden denk ik) gebeuren op onze servers

Ik werk zelf met Plesk en heb dit ook al zitten te bedenken, echter ik zit met twee dingen:
* users kunnen dan niet meer hun eigen spaminstellingen regelen via Plesk

De instellingen worden nu nog doormiddel van een cronjob in de laatgste prioriteit (nice -20) over gezet naar een database. De cronjob zal dus niet de perfomance van de machine naar beneden halen. Elke klant weet dat binnen DA een zooitje instellingen niet real-time aangepast worden, mail instellingen is hier dus een van.

De scan machines zullen vervolgens de gegevens uit de database halen om zo hier mee acties ondernemen. Een user die dus insteld dat spam bij een score van 1.0 al verwijderd mag worden, zal dan ook meteen al verwijderd worden (en dus niet meer terug gegeven worden aan de DA machine).



* hoe laat jij de dedicated mailserver weten bij welke server hij het weer moet droppen. doe je dit middels mx records? Hoe krijg je deze dan verwezen naar de juiste poort?
De server die het afgeeft krijgt het ook weer terug. Zo hoeven we dus ook niet te controlleren voor welk domein het is. Al onze DA server mogen het bij deze scan-machines afleveren en het zal daarna weer afgegeven worden bij het zelfde ip als waar het vandaan kwam, alleen dus niet op de standaard poort.

De server die het afgeeft krijgt het ook weer terug. Zo hoeven we dus ook niet te controlleren voor welk domein het is. Al onze DA server mogen het bij deze scan-machines afleveren en het zal daarna weer afgegeven worden bij het zelfde ip als waar het vandaan kwam, alleen dus niet op de standaard poort.

Welke software draai je op deze machines? zelf gescript?

Welke software draai je op deze machines? zelf gescript?
Postfix. Met een klein stukje scripting zelf.
Bij binnenkomst wordt er een X-HEADER opgenomen waarin het ip van de afkomstige DA server in staat. En bij het terug sturen wordt deze header weer gebruikt. De huidige config is zo dat deze header dan ook weer verwijderd word.

Het lijkt opeens afgelopen te zijn met de bounces. Bij anderen ook?

Het lijkt opeens afgelopen te zijn met de bounces. Bij anderen ook?

Ik heb (ook) de ervaring dat het "komt en gaat". De laatste week gaat het best wel redelijk, maar er zijn ook perioden bij dat het de spuigaten uitloopt. Langzamerhand heb ik bij iedereen die z'n catch all aan heeft staan of had geactiveerd dat allemaal uit staan (op -voorzover ik weet- één na, maar die interesseert het niet dat hij honderden spammailtjes krijgt en filtert ze zelf).

Waar ik wel doodziek van wordt, is dat op één server het aantal EXIM processen soms zo uit de pas gaat lopen. Heb hierover al eerder gepost, maar geen soelaas tot nu toe behalve af en toe opnieuw opstarten. Wat ik zie in de logs is dat er dan vaak veel 'frozen' mail staat. Weggooien en EXIM opnieuw starten lost het probleem dan weer een paar dagen op...