e-mail meldingen

Onlinespamfilter monitort continu DNS gegegevens van haar klanten. Als hier geen wijzigingen of niet correcte waarden in aanwezig zijn dan sturen we het technisch contact persoon van het betreffende account hierover automatisch een e-mail. Hier vind u een overzicht van de verschillende mails die verstuurd kunnen worden.

Domein verwijderd

Als u een domein verwijdert uit het Onlinespamfilter systeem dan krijg u hier een ook en e-mail van.

SMTP meldingen

filterX.onlinespamfilter.nl

ls een mail bij Onlinespamfilter wordt aangeboden checken we op de server van de klant ofdat deze e-mail wel aangenomen gaat worden. Deze informatie wordt gechached bij Onlinespamfilter.nl als bescherming tegen DHA(Directory Harvast Attacks) voor de servers van onze klanten. Dit systeem kan de onderstaande meldingen genereren.

450 4.7.1 <email adres>: Recipient address rejected: Could not finish RCPT-TO check within 5 seconds on endpoint server;

Onlinespamfilter heeft niet binnen 5 seconden de e-mail adres check kunnen uitvoeren. Dit proces gaat verder in de achtergronden de verbinding wordt tijdelijk verbroken.

450 4.7.1 <email adres>: Recipient address rejected: DHA protection active. Try again later;

Er worden teveel niet bestaande e-mailadressen gecheckt, binnen de hiervoor gestelde tijd, in verhouding met bestaande e-mail adressen. Adressen die niet reeds in onze database aanwezig zijn krijgen deze melding. Goede e-mail komt dus gewoon door.

452 4.7.1 <email adres>: Recipient address rejected: Verifying RFC compliancy. Try again in 5 minutes;

Deze melding komt van de advanced greylisting. De verzendende server is ons nog onbekend en we vragen deze om na 5 minuten de e-mail nogmaals aan te bieden. De e-mail is nu reeds beschikbaar in het Onlinespamfilter geschiedenis overzicht.

550 5.7.1 <email adres>: Recipient address rejected: Recipient address is known in our database as invalid recipient. (Rechecking every 8 hours for validity);

De e-mail ontvanger is in de Onlinespamfilter database bekend als een niet bestaande adres. Het e-mail adres wordt binnen 8 uur nogmaals gechecked bij de server van de klant.

Via de admin portal kan deze e-mail adres caching database worden gereset

Overige meldingen

Overige meldingen worden gegenereerd door de servers van onze klanten. Wij zijn dan als het ware een doorgeefluik van deze melding.

smtp.onlinespamfilter.nl

554 5.7.1 <email adres>: Recipient address rejected: Your IP-number is not allowed to send mail through this server

Uw IP nummer is niet aanwezig in het systeem van Onlinespamfilter.nl en mag daarom geen e-mail versturen via smtp.onlinespamfilter.nl. We zijn natuurlijk geen open-relay!.

450 4.1.2 <email adres>: Recipient address rejected: Domain not found

Het domein waar u een mail aan wil versturen kan niet gevonden worden. Volgens de RFC's moeten we hier een tijdelijke error op geven (4xx) omdat bijvoorbeeld de nameservers tijdelijk niet bereikbaar zijn. De mail op uw server in de mail queue blijven staan.

450 4.7.1 <email adres>: Recipient address rejected: Your server has been throttled because it is spamming. Please try again later!

U heeft teveel spam verstuurd de afgelopen minuten. E-mails voor personen waar u nog nooit een e-mail aan verstuurd heeft worden tijdelijk niet aangenomen. Ontvangers waar u de afgelopen 2 weken wel e-mail aan heeft verstuurd worden wel aangenomen waardoor uw normale verstuurde e-mail geen vertraging oplopen.

A-record spam

Als u spam ontvangt en u kunt deze niet terug vinden in ons systeem, dan kan het zijn dat u last heeft van zogenaamde A-record spam. Dit is spam die direct op uw systeem wordt afgeleverd zonder tussenkomst van Onlinespamfilter. Als u vermoedt dat dit het geval is, dan kunt u dit controleren door te kijken of u een “X-OSF-SUM” header in de ontvangen berichten. Als deze header er niet in staat kunt u er zeker van zijn dat deze berichten niet door ons systeem zijn gekomen.

Oorzaken

A-record spam kan meerdere oorzaken hebben:

  1. U draait uw web site op dezelfde server (en het zelfde ip adres) als uw mail server. De spammer waagt dan een gokje dat uw webserver ook wel mail zal aannemen en slaagt daar dus in.
  2. De spammer gebruikt verouderde gegevens uit de DNS en probeert spam af te leveren op uw server terwijl zae dat eigenlijk bij ons moeten doen. Dit zien we soms als een domein kort geleden is aangesloten en dit gaat meestal na een aantal dagen vanzelf over.
  3. U heeft een A-record mail.uwdomein.nl of mx.uwdomwin.nl en dat verwijst inderdaad naar uw mail server. Sommige spammers proberen het rechtstreeks op dit A-record en komen zo om onze service heen.
  4. In zeldzame gevallen wordt de spam van binnen uw netwerk op uw eigen server afgeleverd. Meestal gaat het dan om een gekraakte computer binnen uw eigen netwerk.

Oplossingen

Er zijn een aantal oplossingen om dit probleem aan te pakken:

  • Draai uw web server niet op hetzelfde IP adres als uw mail server. Als u besluit een IP adres te wijzigen is het (vanuit spampreventie gezien) handiger om uw e-mail server van IP adres te zijzigen i.p.v. uw web server.
  • Gebruik geen A-record beginnen met mail of mx verwijzend naar uw mail server.
  • Als dit allemaal niet helpt kunt u uw firewall instellen om alleen nog connecties toe te laten op uw mail server die komen van onze ip adressen. Let op: U moet dan wel alle domeinen op uw mail server door ons laten scannen anders krijgt u geen e-mail meer binnen voor de domeinen die niet worden gescand! Dit is de zekerste oplossing, maar niet voor iedereen een haalbare kaart.

Als u besluit deze laatste oplossing te gaan gebruiken dient u alle ip nummers te blokkeren behalve de hier genoemde!

Instellingen voor verboden bijlagen

LET OP: De whitelist in de domein instellingen wordt genegeerd bij de behandeling van verboden bijlagen. De reden hiervoor is dat wanneer een afzender in uw whitelist wordt gehackt er een open kanaal ontstaat voor het versturen van virussen en trojans. Het heeft dus geen enkele zin om een adres toe te voegen aan de whitelist om een bijlage probleem op te lossen.

Een aantal bestandstypen die standaard worden tegengehouden in het filter behoeft enige uitleg ter verduidelijking. Alvorens wijzigingen aan te brengen in de instellingen van deze bestandstypen raden wij u aan om eerst deze uitleg goed door te nemen.

Aanduiding in Onlinespamfilter Portal Uitleg
DOS applicaties met gewijzigde extensies Dit zijn bijvoorbeeld .bat bestanden die ge-renamed zijn naar .bak
Microsoft HTML Application Zie: https://en.wikipedia.org/wiki/HTML_Application
MSDOS Applicatie Zie: http://x-msdos-program.mime-application.com
Windows Class CLSID bestanden Dit zijn bestanden waarvan de bestandsnaam de vorm heeft van een Windows Registry Key en zo kunnen worden gebruikt om het systeem te beinvloeden. De CLSID is a 128-bit hexadecimaal nummer binnen a paar van 'curly braces'. Zie ook: https://msdn.microsoft.com/en-us/library/windows/desktop/ms691424.aspx
Embedded Microsoft application Zie: http://x-msdownload.mime-application.com
Microsoft applicaties met gewijzigde extensies Dit zijn bijvoorbeeld .com en .exe files die een andere naam hebben gekregen

Microsoft Office Macro's

MS Office documenten met macro's worden veelvuldig misbruikt om bijvoorbeeld cryptolockers bij bedrijven naar binnen te krijgen. Ondanks de vele waarschuwingen die er bij de opening van zo'n document worden gegeven lijken gebruikers slecht in staat te beoordelen of er daadwerkelijk een gevaar schuilt. Bij een nieuw aangemaakt domein worden daarom de settings op de hoogst mogelijke veiligheidsniveau ingesteld: Blokkeer alle macro's. Dit is niet altijd gewenst. Onlinespamfilter kent 4 instellingen voor macro's:

Aanduiding in Onlinespamfilter Portal Uitleg Altijd Veilig Momenteel veilig
Microsoft Office macro's van voor 2007 (alle) Blokkeert alle macros van voor 2007 X
Microsoft Office macro's van na 2007 (alle) Blokkeert alle macros van na 2007 X
Microsoft Office macro's die uitvoeren bij inladen Blokkeert macros die automatisch gaan werken bij het laden van het document X
Microsoft Office macro's met verdachte routines Blokkeert macros die zichzelf kopieren of verdachte operaties uitvoeren op het bestandssysteem X

Standaard worden dus de bovenste twee opties ingeschakeld. Wanneer u vindt dat macros toch doorgestuurd moeten worden, kunt u kiezen voor de iets minder veilige optie in de 'Verboden Bijlagen' sectie voor uw domein. U zet dan de bovenste twee opties af en schakelt de onderste twee opties beide in. Dit laat normale macros door, maar houdt alle op dit moment bekende virussen en trojans buiten de deur. Let op: Aangezien niet alle macros geblokkeerd worden is er geen garantie dat alle toekomstige malware vormen worden tegengehouden, dus u dient uw macro veiligheids-instellingen op de client PC's restrictief in te stellen!

Bescherming tegen afzender vervalsing (from-spoofing)

Voor een zo goed mogelijke bescherming tegen afzender vervalsing volgt u de volgende stappen:

  1. Stel SPF records in voor uw domein (vergeet niet in kaart te brengen vanaf welke servers u allemaal mail verstuurt. Zie ook: Handleiding uitgaande SMTP server (IP))
  2. Breng in kaart welke services momenteel legitiem adressen spoofen. Bekende services zijn Google Calendar reminders maar het kan ook goed zijn dat u een eigen web service heeft die dit gebruikt. Ze de 'envelope' sender (of return-path) adres op de whitelist. Dit voorkomt dat er e-mails onterecht aangemerkt worden als spam in de volgende stap.
  3. Schakel de optie “Bescherming tegen afzender vervalsing” in die u vindt bij de “Filter instellingen” van uw domein. Er zijn twee levels: “Ingeschakeld” en “Streng”. Het dient aanbeveling om pas in tweede instantie de optie op “streng” te zetten.
  4. Hou gedurende enkele dagen de mail historie in de gaten en kijk of er misschien onterecht mail wordt tegen gehouden.

Hoe werkt de from-spoofing optie precies?

Deze optie grijpt in als de volgende twee zaken van kracht zijn:

  • Is het domain-part van het From: adres in de mail uw domein?
  • Wijkt het envelope of return-path adres af en komt het niet uit uw domein?

In deze gevallen lijkt de mail dus uit uw domein te komen maar in werkelijkheid is dat niet zo. De mail wordt in zo'n geval als spam aangemerkt.

 
technical.txt · Last modified: 2019/04/04 12:56 by gerard.vandijnsen · []
Recent changes RSS feed Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki