Verzenden email in Thunderbird: temporarily blacklisted

Mijn fout, ik test al heel de tijd zonder VPN, ik had dat nog eens een keer gedaan om te bekijken of TB over de VPN gaat, ja dus, maar verder gaan alle testen gewoon rechtstreeks, dus met het adres 171.33.234.224.

Ik heb dat eerder vandaag laten verwijderen uit die lijst bij Spamhause en het zit nog steeds niet opnieuw in een nieuwe lijst, maar desondanks blijft Telenet mij blokkeren op SMTP niveau.

Had kunnen werken, maar MailShield uitzetten heeft niets veranderd, foutmelding blijft hetzelfde "ip temporarily blacklisted"

Afwachten tot telenet 171.33.234.224 uit zijn cache haalt. Misschien consulteert telenet nog andere spam databases en zit 171.33.234.224 ook daar, bijvoorbeeld: dnsbl https://www.dnsbl.info/dnsbl-database-check.php ... vermits het adres geen reverse DNS lookup heeft kan dat geblokkeerd worden. Maar, in dat geval zou 171.33.234.224 zelf e-mail moeten leveren. Terwijl je telenet als smtp server hebt.

Lijkt me ook de beste aanpak nu. Indien het vanavond nog niet opgelost is, ga ik de router een hele nacht afzetten en hopen dat hij dan morgen bij heropstart een ander ip-adres krijgt.

Heb die andere lijsten nog eens bekeken en het ip-adres komt nog voor op een lijst, dnsbl.spfbl.net, maar volgens de info van de site wordt die info alleen gebruikt om emails in spam terecht te laten komen, niet om adressen te blacklisten/blokkeren.

Nogmaals bedankt voor jullie hulp, ik hou jullie op de hoogte.

Een puzzel blijft natuurlijk: hoe is het adres in de database terecht gekomen (misschien was het toen niet eens jouw adres)? Hopelijk vals alarm.

FYI: 171.33.234.224 zit nu (Sun 06 Sep 2020 07:20) in spamhaus CSS en XBL.

Ik heb nog geen details gelezen. @yacc is 171.33.234.224 nog steeds je adres?

Rond 16u deze namiddag is het beginnen werken, de ene server na de andere. Deze avond loopt het inderdaad weer helemaal fout, via Aquamail (Android) heeft het nog een tijdje gewerkt maar nu ook niet meer. We krijgen op alle devices en in alle programma's weer het blacklisted probleem.

Als ik de informatie op Spamhaus lees, dan zou het een client moeten zijn die over poort 25 (SMTP) connecteert, maar ik denk dat alles via poort 587 connecteert, maar zal het voor alle zekerheid nog eens controleren. Rare is dat we deze namiddag een hele tijd niet op internet waren, en op de een of andere manier is dit toch terug gebeurd?

Als 171.33.234.224 nog je publiek adres is dan begint het er toch stilaan op te lijken dat een toestel op de LAN ongewenste e-mail stuurt op poort 25 (spam wordt veelal zonder authenticatie gestuurd). Het kan eender welke malafiede software zijn, en de e-mail hoeft niet van jouw e-mail adres te komen. Het toestel hoeft ook niet van jou te zijn, als iemand anders op de LAN geraakt. Van zodra jij legitieme e-mail stuurt, en Telenet het IP adres van de zender controlleert, wordt het geweigerd vanwege 'blocklisted'. Als je de uitgaande poort 25 kan blokkeren op de gateway zou dat, zoals Spamhaus suggereert, een eerste nuttige stap zijn. Maar het neemt een eventuele infectie niet weg. Misschien kan je proberen te sniffen op de LAN voor poort 25 destinatie TCP trafiek. Je kan de LAN ook scannen voor mogelijk onbekende toestellen.

Dat is inderdaad nog het publiek ip-adres en ondertussen zijn we terug geblokkeerd. Adres komt nog alleen voor in de CSS lijst maar dat is uiteraard voldoende om geblokkeerd te worden.

Via wat logisch denken, vermoed ik dat het probleem op mijn eigen laptop zit (voornamelijk door dat VPN-verhaal) en dus heb ik de firewall regels in Avast gecontroleerd en aangepast. In principe moet nu iedere applicatie eerst "vragen" of ze een andere dan de standaard poorten (80, 443, 587) mag gebruiken en bovendien heb ik een regel ingesteld om poort 25 volledig te blokkeren.

Gelet op setup hier met een router (van provider) waar je alleen met een ethernetkabel op kan en een wifi-router, die ik zelf beheer en bekijk, is de kans zeer klein dat het iemand anders was op ons netwerk. Ik volg het uiteraard wel op, mogelijk verander ik later vandaag ons WiFi-paswoord nog, just to be sure.

Welk vendor/model software is je eigen beheerde WiFi 'router'? Is het een Layer 3 device (router met eigen NAT), of is het een Layer 2 device (een Access Point switch)? Het kan ook dat die zelf de e-mail verzendt. Hoe dan ook, je firewall zou de 25 SMPT paketten van je laptop nu moeten loggen, neem ik aan. Als er geen zijn na verloop van tijd, dan is het misschien toch een ander toestel, zoals je eigen router. Probeer eventueel je adres nogmaals uit de blocklist te verwijderen (maar er zit wellicht een limiet op het aantal pogingen). Success.

update(1) : Blijkbaar heb je het adres kunnen verwijderen of is het ge-time-out, nu nog de oorzaak opspeuren. Moest het de provider router zijn die de e-mail verzendt, dat zal iets lastiger zijn om uit te zoeken, maar, als geen ander toestel op het Internet is, en het adres toch terug verschijnt in blocklist, dan zal het wel dat toestel zijn.

update(2) : 171.33.234.224 zit nu (Mon 07 Sep 2020 01:40) opnieuw in blocklists, het lijkt wel of een van de routers een exploit heeft (toch de laptop niet, want die belet je om nog poort 25 te gebruiken).

Vraagje: wat is je Internet provider ? Misschien is het een bekend probleem en wordt men via welgemikte Google zoek termen wijzer.

Mijn eigen router is van TP-Link en die werk inderdaad als NAT, geeft ons lokale ip-adressen en is via ethernetkabel aan router van provider (PTV) gekoppeld. Er zijn geen toestellen aan die laatste router gekoppeld alleen aan de TP-Link. De router van PTV zendt zelf geen WiFi-signaal uit, dus daar kan je alleen via ethernet aan connecteren.

Gemerkt dat het ip-adres ondertussen terug in beide blocklists zit, en in de log van de firewall zit helaas geen enkele poging om vanaf mijn laptop een verbinding te maken via poort 25.

Provider hier is PTV Telekom en veel informatie op hun website niet te vinden en ook bij een snelle zoektocht is niets te vinden over problemen met email en spam aan hen gerelateerd.

Heb nog eens gecontroleerd of er geen andere devices op onze router geconnecteerd en ga ook het paswoord nu veranderen (voor alle zekerheid), al is het al relatief sterk.

Begint echt wel vervelend te worden, niet dat we constant mails moeten versturen, maar ik maak me zorgen over de veiligheid van onze laptops en smartphones.

Update (1): Ondertussen heb ik mijn laptop nog eens via VPN op een exotische locatie gezet, Noorwegen werkte niet, want dat IP-adres zat zelf al in de blacklist (stemt tot nadenken over deze oplossing door AVAST), Mexico werkte daarentegen vlekkeloos. Na ongeveer een uur op deze VPN-verbinding gewerkt te hebben, komt het adres nog in geen enkele lijst voor. Daarnaast heb ik nog maar eens gevraagd om het IP-adres uit de blacklists te verwijderen, maar dat gaat uiteraard niet blijven lukken. En in de log van de firewall zit nog steeds geen enkele verbinding via poort 25, maar dat begint me minder en minder te verbazen, gelet op mijn test met VPN in Mexico.

Als je enkel de ARRIS opzet en het adres wordt na verwijdering opnieuw geblokkeerd, dan zendt de ARRIS de ongewenste e-mail. Maar, als het adres niet opnieuw wordt geblokkeerd, dan is het misschien de TP Link of een toestel verbonden via de TP Link. Kan je een firewall op de TP Link configureren? Je kan steeds de schuldige via eliminatie vinden, bijvoorbeeld: de TP Link verwijderen enz..., maar dat is een ietwat lange, niet comfortabele weg. Sniffen met je laptop tussen TP Link en ARRIS zou ook helpen (als je daar voldoende layer 2 ethernet poorten hebt, desnoods heb je een hub nodig). Heb je toegang tot de ARRIS (om daar eventueel een firewall te configureren) en/of heb je contact met PTV? Stel dat de TP Link verdacht is. Dan kan je misschien een factory reset en/of een firmware update/reflash doen, of een ander Access Point kopen. De ARRIS aanpakken moet wellicht via de provider gebeuren. Misschien kan je een nieuwe vragen (maar ook die kan ooit besmet raken indien identiek aan de vorige, stel, besmette). Heb je andere laptops en/of smartphones en/of tablets in gebruik die via WiFi werken? Die zou je ook kunnen sniffen met je laptop in het TP Link NAT-ed subnet. FWIW: 171.33.234.224 zit nu (Mon 07 Sep 2020 04:35) in CSS.

FYI, nog iets: als ik de ARRIS TG862 specificaties lees blijkt die 'kabel modem' WiFi en gateway functionaliteit te hebben. Misschien kijk ik naar een iets ander model, en/of misschien provisioneerde PTV Telekom (of iemand anders) het toestel zonder. Maar, als de ARRIS wel degelijk WiFi access biedt, dan kan ook via die weg ongeldige e-mail verstuurd worden. Toegegeven, een ietwat vergezocht scenario, ...

Wat die ARRIS betreft, heeft die inderdaad de mogelijkheid om een eigen WiFi-signaal uit te zenden en de gegevens staan achteraan op de machine. Maar als ik naar die SSID op zoek ga, vind ik die niet en als ik hem gewoon ingeef als "hidden" SSID dan lukt het me ook niet om te connecteren. Ik krijg geen foutmelding op het paswoord gewoon dat de SSID er niet is, terwijl ik naast het toestel zit. Om zeker te zijn, heb ik het maar met mijn laptop en mijn smartphone geprobeerd, zal wel met wat paranoia te maken hebben, vermoed ik.