Beratung über DNS Einträge wünschenswert...

Guten Tag großartige Hacker-Gemeinschaft,

ich bin neu hier und hab sogleich eine Frage über das
Zusammenspiel von DNS Einträgen und der Host IP Adresse.

Eines Tages nahm ich meinen selbstprogrammierten Mailserver und No-IP - Dynamic DNS, Static DNS for Your Dynamic IP zur Hilfe um eine Test eMail zu verschicken (noIP hat einen schlechten Ruf, werde demnächt vielleicht einen anderen souveränen Betreiber holen, naja egal ist nicht das Thema) :D

Die einst so schöne Whitelisted IP wurde Schwarzgelistet 8o, da ich eine anonyme eMail verschickt habe :(
aber nur auf den einen RBL Server namens: The CBL
Aus Neugier hab ich mich in ein relativ unsicheres fremdes System eingeloggt und warscheinlich durch den Mailversand, die DNS Einträge beschädigt, das Netzwerk hat 2 verschiedene IPs x.x.x.52 und x.x.x.53, hab ich später durch tieferes ausspionieren erfahren.

Da man ja leider in unserer Regierung natürlich unseren ganzen Netz-Traffic abhören lassen muss und nur registrierte Mailserver nutzen darf.
Das war warscheinlich der Grund...
(man zahlt dumm und dämlich für einen Internet Service, ist das nicht LOL?) :wall:
oder versehentlich MAIL FROM [] leer stand.
aber mein Kunde hat glücklicher Weise meine eMail erhalten :)

Die IP selber ist wieder von der Liste verschwunden, da ich da extra laut RBL Server Anweisung auf die "remove from list" draufgeklickt habe.

Aber der DNS Name der IP Adresse ist verschwunden, nun habe ich Schuldgefühle und möchte es wieder gut machen,
wenn ich mich "remotely" mit dieser IP z.B ins IRC einlogge, steht da nur eine IP-Nummer, kein Hostnamen mehr.

Die Leute die diese RBL Server betreiben, sind schon irgendwie korrupte Schweine
Motto: "Du kannst dich von der schwarzen Liste freikaufen" so wie in Monopoly

Solche selbstprogrammierten Mailserver sind schon praktisch, man kann einfach in den Systemeinstellungen einige IP Adressen verbannen um keine Werbung mehr zu erhalten, was bei den herkömmlichen Mailserver nicht so wirklich verfügbar ist.
Aber Sie bringen einige Gefahren mit, ein anderer Freak könnte sich die selbe Adresse beantragen und Passwörter dieser eMail Adresse abfangen, falls der Host von der Behörde wieder freigeschaltet wurde.

Was ist passiert? Wie könnte ich das DNS Problem beheben?
Ich bedanke mich für alle informativen Beiträge :D
 
moin moin ...

punkt nummer 1.
"hilfe ich habe mit einer mail DNS-Einträge kauptt gemacht..."
---
der 1.4. is vorbei ... lange vorbei ... wirklich ...:D
keine sorge, diene mail hat mit an sicherheit grenzender wahrscheinlichkeit nichts damit zu tun ... aller-schlimmstens hat es ne abuse anfrage gegeben ... manche kostenlosen dyn-dns anbieter reagieren da alergisch, aber normalerweise darf man erwarten, das selbst bei solchen anbietern, wenn überhaupt was passiert, ne mail kommt nach dem motto "was treibst du da?" / "du hast vermutlich ein infiziertes system im netz"

automatismen die bei komischen mails gleich DNS einträge ändern oder löschen gibt es nicht

punkt 2. "die böse liste"
die liste auf der die IP gelandet ist, ist eine anti-spam liste ... mailserver die spam von anderen mailservern erhalten, melden diese vorfälle an solche listen... bevor sie mails annehmen prüfen die die ip gegen besagte liste und verweigern die annahme ... das hat nix mit staatlicher überwachung, sonder mit spam-bekämpfung zu tun ...

man kommt von solchen listen auch meist automatisch wieder runter, da die einträge mit einem ablauf-datum versehen sind... alternativ erlauben die meisten listen sich einfach wieder auszutragen, dafür gibts entsprechende links oder formulare ... nach kurzer zeit ist man dann wieder runter ...

diese listen sind IP-basiert ... sie haben NICHTS mit DNS zu tun ...

punkt 3. "DNS einträge und reverse lookup"
du logst dich von der betroffenen ip auf einem IRC server ein ... was der dann bislang tat nennt sich reserve-dns-lookup (oder auch "inverse anfrage", oder dergleichen) ... eine anfrage bei der z.B. für die ip 1.2.3.4 folgende domain gebildet und per DNS aufgelöst würde: 4.3.2.1.in-addr.arpa ...
die anfrage führt zu einem sogenannten PTR eintrag und liefert den dort hinterlegten namen zurück ...

viele IRC betreiber schalten diese funktion aber schlicht und ergreifend aus, weil eine solche anfrage den server für ein paar sekunden beschäftigen kann...

die betroffenen PTR einträge sind ganz normale einträge im DNS system ... da kommt wie bei allen anderen einträgen im normal fall nur der zonenbetreiber ran (und üblicherweise der firmen-endkunde)

punkt 4.
Solche selbstprogrammierten Mailserver sind schon praktisch, man kann einfach in den Systemeinstellungen einige IP Adressen verbannen um keine Werbung mehr zu erhalten, was bei den herkömmlichen Mailserver nicht so wirklich verfügbar ist.
Aber Sie bringen einige Gefahren mit, ein anderer Freak könnte sich die selbe Adresse beantragen und Passwörter dieser eMail Adresse abfangen, falls der Host von der Behörde wieder freigeschaltet wurde.
yay ... kommen wir nochmals zu der bösen bösen liste ... die ist für genau solche scenarien da ... nur das sie sich von selbst pflegt, und niemand die IPs per hand eingeben muss ...
das herkömliche mailserver sowas nicht können ... naja ... RTFM

wenn selbstgebaute mailserver die gefahr mitbringen, das sich irgend ein depp adressen registrieren kann die schon vergeben sind, liegt das vermutlich eher an schlechter programmierung ... wenn du dagegen meinst, jemand krallt sich die dyn-dns domain wo der server dran hängt ... das ist im fall der fälle ein dyn dns problem ...
 
Antwort

Danke erstmal für Ihre Informationen bezüglich dieses Themas :wink: GrafZahl

Aber irgendwie hat sich die Adresse geändert, sonst stand ws23.blablaservername.de nun steht nur eine IP Adresse x.x.x.141, ich bin mir ganz sicher, dass durch dies irgendwie der Hostnamen verloren ging, schon komisch...

Ab und zu versuchen sich auch bei mir Angreifer (eher Spambots oder Hackerdronen) anzumelden (laut Google fast überall bekannt und auf RBL Listen), die versuchen meine Server in Bruchteilen einer Sekunde mittels Wörterbuchattacken zu übernehmen, aber sie scheitern :D LOL
Ziemlich interessant an den Logfiles zu beobachten wie die vorgehen... haben versucht SMTP und POP3 zu ownen.
Ich frage mich, was die da wollen, da gibts eigentlich keine besonderen eMails die man auslesen könnte...

Ich frage mich, wie es die anderen Server aushalten können, dieses ständige Einbrechen dieser Dronen.

Ein Auszug des eMail Versandes (hab schon einige mehr davon versendet):
Die Hochschulserver von Hochschulen sind im Vergleich nicht so zickig, wie beispielsweise Googlemail, GMX, Web.de und 1&1 die einen schnell bannen könnten.

{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com Received MX record alt3.gmail-smtp-in.l.google.com with priority 30
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com Received MX record alt4.gmail-smtp-in.l.google.com with priority 40
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com Received MX record gmail-smtp-in.l.google.com with priority 5
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com Received MX record alt1.gmail-smtp-in.l.google.com with priority 10
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com Received MX record alt2.gmail-smtp-in.l.google.com with priority 20
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com No A records received for MX record gmail-smtp-in.l.google.com. Must send additional request for A records
{27.Feb.2012 15:51:29} [3728] [Debug] Resolving gmail-smtp-in.l.google.com using DNS #0, 10.0.1.1
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host gmail-smtp-in.l.google.com Received A record gmail-smtp-in.l.google.com for host name x.x.x.26
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com No A records received for MX record alt1.gmail-smtp-in.l.google.com. Must send additional request for A records
{27.Feb.2012 15:51:29} [3728] [Debug] Resolving alt1.gmail-smtp-in.l.google.com using DNS #0, 10.0.1.1
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host alt1.gmail-smtp-in.l.google.com Received A record gmail-smtp-in.l.google.com for host name 209.85.173.26
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com No A records received for MX record alt2.gmail-smtp-in.l.google.com. Must send additional request for A records
{27.Feb.2012 15:51:29} [3728] [Debug] Resolving alt2.gmail-smtp-in.l.google.com using DNS #0, 10.0.1.1
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host alt2.gmail-smtp-in.l.google.com Received A record gmail-smtp-in.l.google.com for host name x.x.x.26
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com No A records received for MX record alt3.gmail-smtp-in.l.google.com. Must send additional request for A records
{27.Feb.2012 15:51:29} [3728] [Debug] Resolving alt3.gmail-smtp-in.l.google.com using DNS #0, 10.0.1.1
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host alt3.gmail-smtp-in.l.google.com Received A record gmail-smtp-in.l.google.com for host name 209.85.225.26
{27.Feb.2012 15:51:29} [3728] [Debug] Resolved host googlemail.com No A records received for MX record alt4.gmail-smtp-in.l.google.com. Must send additional request for A records
{27.Feb.2012 15:51:29} [3728] [Debug] Resolving alt4.gmail-smtp-in.l.google.com using DNS #0, 10.0.1.1
{27.Feb.2012 15:51:30} [3728] [Debug] Resolved host alt4.gmail-smtp-in.l.google.com Received A record gmail-smtp-in.l.google.com for host name x.x.x.26
{27.Feb.2012 15:51:30} [3728] [Info] Sending message
{27.Feb.2012 15:51:30} [3728] [Debug] We are connected to x.x.x.26:25 on port 1362
{27.Feb.2012 15:51:30} [3728] [Debug] x.x.x.26:25|1362 <- 220 mx.google.com ESMTP w56si9902405eef.188
{27.Feb.2012 15:51:30} [3728] [Debug] x.x.x.26:25|1362 -> EHLO x.x.x.141
{27.Feb.2012 15:51:30} [3728] [Debug] x.x.x.26:25|1362 <- 250-mx.google.com at your service, [x.x.x.141]250-SIZE 35882577250-8BITMIME250-STARTTLS250 ENHANCEDSTATUSCODES
{27.Feb.2012 15:51:30} [3728] [Debug] x.x.x.26:25|1362 -> MAIL FROM:<xxx@xxx.xxx.org>
{27.Feb.2012 15:51:30} [3728] [Debug] x.x.x.26:25|1362 <- 250 2.1.0 OK w56si9902405eef.188
{27.Feb.2012 15:51:30} [3728] [Debug] x.x.x.26:25|1362 -> RCPT TO:<someone@googlemail.com>
{27.Feb.2012 15:51:32} [3728] [Debug] x.x.x.26:25|1362 <- 250 2.1.5 OK w56si9902405eef.188
{27.Feb.2012 15:51:32} [3728] [Debug] x.x.x.26:25|1362 -> DATA
{27.Feb.2012 15:51:32} [3728] [Debug] x.x.x.26:25|1362 <- 354 Go ahead w56si9902405eef.188
{27.Feb.2012 15:51:32} [3728] [Debug] x.x.x.26:25|1362 -> .
{27.Feb.2012 15:51:32} [3728] [Debug] x.x.x.26:25|1362 <- 250 2.0.0 OK 1330354292 w56si9902405eef.188
{27.Feb.2012 15:51:32} [3728] [Debug] x.x.x.26:25|1362 -> QUIT
 
Zuletzt bearbeitet:
Ab und zu versuchen sich auch bei mir Angreifer (eher Spambots oder Hackerdronen) anzumelden (laut Google fast überall bekannt und auf RBL Listen), die versuchen meine Server in Bruchteilen einer Sekunde mittels Wörterbuchattacken zu übernehmen, aber sie scheitern :D LOL
Ziemlich interessant an den Logfiles zu beobachten wie die vorgehen... haben versucht SMTP und POP3 zu ownen.
Ich frage mich, was die da wollen, da gibts eigentlich keine besonderen eMails die man auslesen könnte...

Versuch mit einen gültigen E-Mail Account Spams zu verschicken......
 
Zurück
Oben