Mail Server rapport gevuld met vreemde niet bestaande e-mailadressen

[bolletje81]

Hallo iedereen,

Mijn excuses dat ik deze vraag hier stel, ik hoop dat iemand mij kan helpen omdat ik me vreselijk veel zorgen maak. Laatst ben ik overgestapt van Exchange weer terug naar Synology vanwege het recente lek daarin. De Mailserver werkt perfect, spf, dkim en dmarc ingesteld, draait als een zonnetje. Alleen poort 25 is van overal te bereiken, alle andere poorten niet (regio instelling). Nu heb ik ingesteld dat er iedere dag een rapport wordt verstuurd naar mezelf. Ben best wel erg geschrokken van de inhoud ervan, de logfile is van gisteren, onder het kopje 'message reject detail' en 'recipient address rejected' in het rapport staan allemaal e-mailadressen eindigend op mijn domeinnaam. Zoals adam@domein.nl, admin@domein.nl, adrian@domein.nl, michael@domein.nl, alex@domein.nl, chris@domein.nl, john@domein.nl en ga zo maar door. Dit zijn niet bestaande e-mailadressen omdat mijn gebruikersnaam geen admin is (admin heb ik sowieso uitgeschakeld) maar heb hier een slecht gevoel over. Verder in de logfile staat dat Spamhaus Zen gisteren 247 inkomende e-mails heeft geweigerd en 5 relay pogingen die geweigerd zijn. 247 is wel heel veel. Alle logs zien er hetzelfde uit. Mijn vraag is dus eigenlijk of iemand anders ditzelfde heeft (meegemaakt), want dit voelt niet goed. In het logboek in de Mailserver applicatie zijn deze logs niet terug te vinden maar wel in het rapport. Er staat ook helemaal onderaan onder het kopje 'warnings' bij smtpd, 'hostname security.criminalip.com did not resolve to address 89...' (achter de 89 staat niks, heel raar) en ook stretchdroid staat daarbij met dezelfde foutmelding en ook glesys.net. Iedere dag komen er meer geblokkeerde ip adressen bij, vanuit de US en Bulgarije en nog wel meer. Auto block heb ik zo ingesteld dat zodra een ip adres erop staat die nooit meer automatisch eraf gaat dus een permanente blokkade. Het zijn telkens andere ip adressen. Heb hier heel veel gezocht op het forum maar niemand heeft voor zover ik heb kunnen vinden ditzelfde probleem (gehad). Wel heb ik gelezen hier dat criminalip een soort poortscan is net zoals shodan. Misschien maak ik me weer teveel zorgen (zoals altijd, net zoals het recente lek in Exchange, dat was pas echt drama) maar ik vraag het liever hier zodat misschien iemand me gerust kan stellen of met eenzelfde verhaal. Het voelt in elk geval totaal niet fijn nu ik alle logfiles eens goed heb bestudeerd. Hoop dat iemand me kan helpen hiermee en ik het duidelijk heb verwoord.

Groetjes Bolletje81

[Briolet]

Dat is standaard. Als je een mailserver hebt, probeert iedereen in te breken. Met een goed wachtwoord en maximum aantal pogingen is er weinig aan de hand.

En zet een limiet op de dagelijks uitgaande mail. Bij mij staat die op 25. Als een van de gebruikers gaat spammen, zal het nooit zoveel zijn dat de provider gaat klagen.

Per gebruiker zet ik het quotum wel hoger als ze dat echt beweren nodig te hebben.

(PS: ik ben maar tot een derde van je verhaal gekomen. Zo'n brij letters nodigt niet uit om door te lezen)

[bolletje81]

Hoi Briolet,

Haha, geen probleem. Ik wilde het zo duidelijk mogelijk opschrijven, daarom dat het zo'n lange tekst was. Sorry daarvoor. Fijn om te weten dat dit vrij normaal is, dan kan ik het loslaten, bedankt voor je reactie 

[Briolet]

Af er toe een lege regel geeft de ogen een rustpunt. Het helpt gewoon als je wilt dat het verhaal ook gelezen wordt.