Hallo, ik heb een kleine vraag wat een groot probleem is.

Afgelopen 3 dagen is een klant op mijn VPS met directadmin gehacked, er zijn duizenden mails vanuit zijn e-mail adres gestuurd en mijn hoofd vps ip adres is geblokkeerd door Gmail, Hotmail en andere partijen. Om dit op te lossen heb ik een nieuw ip adres aangevraagd.
Ik heb exim ingesteld om te mailen vanuit dit nieuwe ip adres en ik heb alle mx records gewijzigd naar dit nieuwe ip adres, ook heb ik SPF ingesteld en DKIM. Dit is allemaal correct.

Elke keer als ik een e-mail stuur vanaf verschillende domeinen op het zelfde ip komt deze in de spambox bij hotmail gebruikers, ook als ik nu een e-mail stuur naar een bedrijf dat gebruik maakt van outlook services krijg ik de volgende foutmelding:

SMTP error from remote mail server after RCPT TO:<helpdesk@*.nl>:
host in****nl.mail.eo.outlook.com [213.*.*.87]:
550 5.7.1 Service unavailable; Client host [37.34.58.16] blocked using FBLW15; To request removal from this list please forward this message to delist@messaging.microsoft.com

Ik heb al contact opgezocht met microsoft maar deze geven geen gehoord of zijn niet bereikbaar. Het is inmiddels al een vrij groot probleem omdat klanten van mij geen mails meer de deur uit krijgen.

Het hoofd ip adres is 37.34.56.138 (deze is geblokkeerd voor mail inmiddels), het nieuwe ip adres is: 37.34.58.16 via dit e-mail adres word ook gemaild
reserve dns staat op server02.d*n.nl welke is gekoppeld aan 37.34.56.138

Hoe kan ik dit oplossen?

Alvast bedankt.

Ik zou een delist aanvragen en tijdelijk via een relay server mailen op een ander IP in een ander netwerk. Kan zijn dan er meerdere IPs/subnet geblokkeerd worden.

Sent from my GT-I9505 using webhostingtalk mobile app

Zorg er trouwens wel voor dat er niet meer gespamt wordt en zet een limiet op het aantal mailtjes per dag per user in DirectAdmin.

Sent from my GT-I9505 using webhostingtalk mobile app

Ja klopt, ik kan beter een 2e VPS opzetten en alle mail hier via laten lopen tijdelijk.

Of een externe mail relay gebruiken zoals bv Spamexperts, kan je trouwens een gratis test account voor aanvragen ;-)

Ik denk dat SpamExperts maar eens een leuk feestje mag geven voor WHT ambassadeurs ;)


Sent from my iPhone using webhostingtalk mobile app

Ik ga eens kijken of ik mail kan versturen via SpamExperts, de plugin voor DA heb ik al geïnstalleerd.

Heeft iemand ervaring met SpamExperts instellen voor DA voor enkel uitgaande e-mail? Er is weinig over te vinden op internet en vind nergens een goed werkende handleiding.

Gewoon onder ROUTERSTART@ toevoegen.. Spamexperts heeft er een handleiding van op hun wiki..


Sent from my iPhone using webhostingtalk mobile app

Ik zie allerlei tips van mensen maar je beseft wel dat je met je nieuwe IP weer geblokkeerd gaat worden als je server spam blijft versturen? Spamexperts zal die uitgaande spam ook wel blokkeren lijkt me (heb er geen ervaring mee) maar feit blijft dat mijns inziens het antwoord op de vraag hoe je het moet oplossen begint bij:
- Opzoeken hoe de server is gehacked
- De hack oplossen
- Maatregelen nemen om te voorkomen dat je weer gehacked wordt

Succes ermee.

Ik zie allerlei tips van mensen maar je beseft wel dat je met je nieuwe IP weer geblokkeerd gaat worden als je server spam blijft versturen? Spamexperts zal die uitgaande spam ook wel blokkeren lijkt me (heb er geen ervaring mee) maar feit blijft dat mijns inziens het antwoord op de vraag hoe je het moet oplossen begint bij:
- Opzoeken hoe de server is gehacked
- De hack oplossen
- Maatregelen nemen om te voorkomen dat je weer gehacked wordt

Succes ermee.
Het wachtwoord was schijnbaar gelekt van deze gebruiker, na het wachtwoord te hebben gewijzigd stopte de spam. Ook heb ik enkele maatregelen genomen kwa instellingen. Pas nadat ik het spammen had opgelost heb ik een nieuw ip adres aangevraagd en ingesteld.

Was me niet helemaal duidelijk uit het verhaal, maar goed dat je het hebt gevonden en opgelost :)

Was me niet helemaal duidelijk uit het verhaal, maar goed dat je het hebt gevonden en opgelost :)

Ja ik heb afgelopen 2 dagen de exim logs gekeken, er zijn wel nog login pogingen geweest op e-mail adres van deze gebruiker maar zonder succes, tevens vind ik het raar dat mijn nieuwe ip adres meteen geblokkeerd word, erg vervelend :(

BFD icm APF of CSF icm LFD werkt heel erg goed tegen brute-force aanvallen. Met DirectAdmin gaat CSF icm LFD heel goed heb ik begrepen uit o.a. het forum van DIrectAdmin

Ik wil toch graag de mail via mijn server blijven versturen, op het moment krijg ik dit terug als ik mail vanuit een klant:
Received: from localhost ([127.0.0.1] helo=be*a.nl)
by mail.dwain.nl with esmtpa (Exim 4.73)
(envelope-from <hans@be*na.nl>)

Ik heb mail.dwain.nl gekoppeld aan mijn nieuwe ip, de helo van be*a.nl klopt ook enkel is de A van dit domein wel nog gekoppeld aan mijn oude ip wat spam verstuurde. De from localhost weet niet of dit correct is?

Zojuist even een ander ip adres wat ik nog beschikbaar had compleet geconfigureerd.
Ik heb nu ingesteld dat Exim mailt via dit ip adres en ik heb de mx records van mijn klanten aangepast naar een reverse dns domein met dit ip. Nu kan ik weer mailen naar outlook, gmail etc zonder dat ik de mail terug krijg.
Daarna heb ik de spf goed ingesteld en ook de DKIM, enkel komen mails nog steeds in de spambox bij mensen waar ik nog nooit naar gemaild heb voornamelijk bij Hotmail en Gmail gebruikers, ik heb de inhoud van de e-mail gevuld met een brief zodat het niet op spam lijkt.
Wat is hier aan te doen? De spf en dkim is pass in de header, reverse dns klopt ook.

Ik zou zeggen stuur eens een volledige bericht inclusief headers door van een bericht wat in Gmail in de spambak terechtkomt. Outlook kan natuurlijk ook maar daar heb ik weer iets te weinig ervaring mee. Als je in Gmail op "Originieel weergeven" drukt als je naar een mail kijkt heb je het volledige bericht zoals die door Gmail ontvangen is.

Ik zou zeggen stuur eens een volledige bericht inclusief headers door van een bericht wat in Gmail in de spambak terechtkomt. Outlook kan natuurlijk ook maar daar heb ik weer iets te weinig ervaring mee. Als je in Gmail op "Originieel weergeven" drukt als je naar een mail kijkt heb je het volledige bericht zoals die door Gmail ontvangen is.
Ja dat klopt, ik kijk altijd in gmail bij origineel weergeven. Ik heb er even een screenshotje van gemaakt:
http://puu.sh/9kFuS/0a86db65d9.png

Hier staat niet in waarom het als spam is gemarkeerd, nu tast je in het duister vrees ik. PTR staat ook goed, weinig op aan te merken zo op het eerste gezicht.

Ja klopt, voor mij is het ook een raadsel alles lijkt mij correct ingesteld.

Staat het gebruikte testmailadres niet toevallig bij gmail als spamadres gemarkeerd? Desnoods in de persoonlijke lijst daar? Misschien helpt het om naar een ander gmail adres te testen.

Ik ben sinds kort aan het testen met dmarcian (https://dmarcian.com/). Misschien heb je hier wat aan.

Ik denk dat SpamExperts maar eens een leuk feestje mag geven voor WHT ambassadeurs ;)
Offtopic .. maar je bent van harte uitgenodigd: http://www.hconparty.com/ ;)

Zelf gebruik ik vaak de troubleshooter van Gmail. Hier komt vaak wel wat naar voren:

https://support.google.com/mail/troubleshooter/2920052#ts=2920085,2923810,2923812,2924152,2923998 ,2924156,2924179,2924183

Ik ben sinds kort aan het testen met dmarcian (https://dmarcian.com/). Misschien heb je hier wat aan.
Hoe werkt dit precies? Kan ik dit koppelen aan mijn VPS met DirectAdmin?

Zelf gebruik ik vaak de troubleshooter van Gmail. Hier komt vaak wel wat naar voren:
https://support.google.com/mail/troubleshooter/2920052#ts=2920085,2923810,2923812,2924152,2923998 ,2924156,2924179,2924183
Deze troubleshooter is helaas niet van toepassing op mijn probleem?

Offtopic .. maar je bent van harte uitgenodigd: http://www.hconparty.com/ ;)

Offtopic: kun je niet eens zo iets in duitsland doen op WHD ipv hostingcon waar slecht 0,1% van wht naar toe gaat ;)

Hoe werkt dit precies? Kan ik dit koppelen aan mijn VPS met DirectAdmin?

Deze troubleshooter is helaas niet van toepassing op mijn probleem?

Je kan je aanmelden bij dmarcian, waarna je TXT record aanmaakt in je DNS zone met DMARC gegevens (https://dmarcian.com/forensic/). Bedrijven zoals Gmail, Microsoft etc sturen dan een "report" naar dmarcian en die bekijkt dat bestand. Zo kan je zien wat er mis gaat, waarom mailservers je emails weigeren en of er misbruik wordt gemaakt.

Door de problemen op te lossen is het aantal emails dat geweigerd werd sterk gedaald.

Je kan je aanmelden bij dmarcian, waarna je TXT record aanmaakt in je DNS zone met DMARC gegevens (https://dmarcian.com/forensic/). Bedrijven zoals Gmail, Microsoft etc sturen dan een "report" naar dmarcian en die bekijkt dat bestand. Zo kan je zien wat er mis gaat, waarom mailservers je emails weigeren en of er misbruik wordt gemaakt.

Door de problemen op te lossen is het aantal emails dat geweigerd werd sterk gedaald.
Ik heb nu 2 dagen geleden een DMARC record aangemaakt bij mijn DNS maar hij zegt nog steeds dat ik geen record heb. Ik heb deze zo aangemaakt bij transip:
http://puu.sh/9rUs8/dd3f84ae8f.png

Ik heb nu 2 dagen geleden een DMARC record aangemaakt bij mijn DNS maar hij zegt nog steeds dat ik geen record heb. Ik heb deze zo aangemaakt bij transip:
http://puu.sh/9rUs8/dd3f84ae8f.png

https://dmarcian.com/dmarc-inspector/befina.nl

Volgens de tool is je record in orde. Zie je al statistieken op de website van dmarcian?

https://dmarcian.com/dmarc-inspector/befina.nl

Volgens de tool is je record in orde. Zie je al statistieken op de website van dmarcian?

Nee, tot op heden nog geen statistieken zichtbaar op de website van dmarcian. Heb extra al verschillende e-mails naar gmail en hotmail gebruikers de deur uit gedaan, weet niet of dit invloed heeft.

Ik heb nu dit in mijn statistieken, wat kan ik hier precies uit opmaken en gebruiken?
http://puu.sh/9uKzS/fa00413d4d.png

Nog even wachten op meer resultaten, dat geeft een beter beeld.