Forumnyheter:

Gmail har under ett par månaders tid blockerat Dubbningshemsidans e-postmeddelanden, men det ska nu vara löst. Om du missat viktiga e-postmeddelanden under denna tid, kontakta webbmastern på så löser vi allt.

Huvudmeny

Gmail har blockerat Dubbningshemsidans e-postmeddelanden

Startat av Racnar1, 14 augusti 2022 kl. 11:10:59

Föregående ämne - Nästa ämne

0 Medlemmar och 1 gäst tittar på detta ämne.

Racnar1

Jag har försökt registrera mig som medlem har inte fått något mail därför har jag fortsatt skriva som gäst.

Anders M Olsson

#1
Citat från: Racnar1 skrivet 14 augusti 2022 kl. 11:10:59Jag har försökt registrera mig som medlem har inte fått något mail därför har jag fortsatt skriva som gäst.
Så ska det ju så klart inte vara.

Det får vi be Daniel undersöka.

Jag tror dessutom att Daniel har möjlighet att aktivera ditt konto manuellt om mailet av någon anledning inte skulle komma fram.

Daniel Hofverberg

Citat från: Racnar1 skrivet 14 augusti 2022 kl. 11:10:59Jag har försökt registrera mig som medlem har inte fått något mail därför har jag fortsatt skriva som gäst.
Kan du skicka mail till mig med användarnamn, så kan jag aktivera dig manuellt?

Är det någon mer som har problem att mail inte kommer fram? För i alla fall till mig fungerar det klockrent.

TonyTonka

Citat från: Daniel Hofverberg skrivet 14 augusti 2022 kl. 14:32:13Kan du skicka mail till mig med användarnamn, så kan jag aktivera dig manuellt?

Är det någon mer som har problem att mail inte kommer fram? För i alla fall till mig fungerar det klockrent.

Registrerar du dig så ofta? ;)
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Anders M Olsson

Citat från: TonyTonka skrivet 14 augusti 2022 kl. 15:36:00Registrerar du dig så ofta? ;)
Jag förmodar att Daniel vill testa så att användarregistreringen fungerar och därför lägger upp egna testkonton lite då och då, speciellt om någon klagar på att saker och ting inte fungerar.

Racnar1

Citat från: Daniel Hofverberg skrivet 14 augusti 2022 kl. 14:32:13Kan du skicka mail till mig med användarnamn, så kan jag aktivera dig manuellt?

Är det någon mer som har problem att mail inte kommer fram? För i alla fall till mig fungerar det klockrent.
Det har jag gjort nu.

Daniel Hofverberg

Citat från: TonyTonka skrivet 14 augusti 2022 kl. 15:36:00Registrerar du dig så ofta? ;)
Det är långt ifrån enbart vid registrering som man får mail - man får ju också mail vid svar på trådar man skrivit i, vid nya PM, o.s.v.

Mathilda Gustafsson

Citat från: Racnar1 skrivet 14 augusti 2022 kl. 11:10:59Jag har försökt registrera mig som medlem har inte fått något mail därför har jag fortsatt skriva som gäst.
Jag tror att forumet tror att du är spambot därför inte skickar verifiering mail

Racnar


Daniel Hofverberg

Citat från: Racnar1 skrivet 14 augusti 2022 kl. 11:10:59Jag har försökt registrera mig som medlem har inte fått något mail därför har jag fortsatt skriva som gäst.
Tyvärr visade det sig att alla mail jag skickar från Dubbningshemsidan till alla G-mailadresser blockeras som spam, och kommer aldrig fram - därav att du inte fått något mail, och likaså kunde jag inte svara på mailet du skickade heller... Det gäller både automatiska mail från forumet, men även manuella mail jag skickar från en vanlig hederlig e-postklient. :(

Allt jag försöker skicka till Gmail-adresser resulterar bara i följande felmeddelande:

<>: host gmail-smtp-in.l.google.com[64.233.163.26] said:
    550-5.7.1 [135.181.100.179      12] Our system has detected that this
    message is 550-5.7.1 likely unsolicited mail. To reduce the amount of spam
    sent to Gmail, 550-5.7.1 this message has been blocked. Please visit
    550-5.7.1  https://support.google.com/mail/?p=UnsolicitedMessageError 550
    5.7.1  for more information.
    j13-20020a2eb70d000000b0025e52cfc938si3713822ljo.54 - gsmtp (in reply to
    end of DATA command)

Jag är osäker vad det här beror på - har Dubbningshemsidans IP-adress tidigare tillhört någon spammare, anser Gmail att det har skickats ut för mycket mail från Dubbningshemsidan eller är det någon artificiell intelligens som klassar de automatiska mailen från forumet som spam...?

Jag har skickat meddelande till Google om det här, men tveksamt om man kommer få något svar...

Det här innebär i alla fall att just nu kommer ingen som har Gmail-adresser att få något mail från forumet, och kommer därmed heller inte kunna registrera sig. Så tills vidare måste jag göra det manuellt för alla med Gmail-adresser. Eftersom jag inte ens kan svara på era mail får ni, om ni behöver få tag i mig, tills vidare använda min privata e-postadress istället för Dubbningshemsidan-adressen:

Jag har i alla fall aktiverat ditt konto manuellt nu, och om du vill kan jag också associera dina gästinlägg med användarkontot, så att det ser ut som att du skrivit dem som medlem; på så sätt kan du även redigera de inlägg du skrivit som gäst. :)

Racnar


Det skulle vara bra, bara det inte är för besvärligt för dig.

Daniel Hofverberg



Daniel Hofverberg

Jag tror att jag kan ha hittat en orsak till varför Gmail blockerar Dubbningshemsidans mail, eller åtminstone en bidragande orsak. Efter att jag undersökt saken visade det sig att mail som skickas från forumet inte sätter så kallad "envelope from" eller Return-Path, som gör att den faktiska adressen som e-postmeddelandena faktiskt skickas från var "" - en adress som givetvis inte existerar.

Saken är nämligen den att avsändaren som anges som "From:" i e-postmeddelanden inte är den faktiska avsändare, utan bara den avsändaradress som den som skickar e-postmeddelandet uppger; och som kan sättas till vad som helst. Det är däremot "Envelope from" som är den faktiska avsändaradressen som meddelanden faktiskt skickas från, och det sätter inte forumprogramvaran SMF som standard, så att servern istället "hittar på" en godtycklig adress på eget bevåg.

Då det anses som dålig praxis att skicka e-post från adresser som inte existerar, och det heller inte är optimalt med en rapporterad avsändaradress som inte är den faktiska avsändaradressen, så är det möjligt att det kan vara orsaken till att Google blockerar alla mail från Dubbningshemsidan. Visserligen har manuellt skickade mail, som jag skickar från en vanlig hederlig e-postklient, självklart alltid haft rätt avsändaradress som "Envelope from" - men om mina manuella mail är i minoritet jämfört med automatiska mail från forumet, så är det möjligt att dessa slinker med i blockeringen ändå.

Det är tyvärr svårt att få någon klarhet, då Google inte tycks svara på någonting utan bara hänvisar till den här måttligt hjälpsamma sidan. Men det kan tänkas bero på det, och nu har jag åtgärdat det problemet så att alla mail faktiskt sätter korrekt avsändare.

Jag har skickat in ansökan till Google om att omvärdera deras svartlistning av Dubbningshemsidans IP-adress, men hur lång tid det tar eller om det ens hjälper är det nog ingen som kan svara på. Men det är värt ett försök i alla fall. Förmodligen kommer det dröja minst en vecka innan vi får se någon effekt, men vi får bara hålla tummarna att Google tar bort blockeringen snart. :)

Under tiden måste alltså alla Gmail-användare tills vidare kontakta mig på min privata e-postadress om ni behöver hjälp. Det gäller exempelvis nollställning av lösenord, aktivering av konton och annat som inte längre fungerar i och med att mailen som skickas ut aldrig kommer fram till er.
(Ni som har någon annan e-postadress än gmail.com kan fortsätta skicka till min vanliga adress, och ni ska fortsätta få alla mail som vanligt)

Daniel Hofverberg

Det här verkar vara allvarligare än jag först trodde. Det inte bara är Google som tror att Dubbningshemsidan skickar spam, utan Dubbningshemsidan skickar faktiskt ut spam också...! :o När jag ser i mailloggen på servern ser jag att det på sistone har skickats ut en stor mängd uppenbar spam från till diverse Gmail- och Yahoo-adresser - detta trots att e-postadressen aldrig har existerat... :(

Jag vet inte riktigt hur det här har gått till som; om hackare har lyckats hacka sig in på min server, eller om de lyckats utnyttja någon sårbarhet i någon serverprogramvara för e-post. Men jag har kollat några av IP-adresserna som skickat ut spam, och de är hemmahörande i Ryssland och Indien.

Oklart hur länge det här har pågått, men jag misstänker att det skett ungefär sedan jag bytte till den nya forumprogramvaran. Sedan dess har jag nämligen lagt märke till att e-post tagit längre tid att komma fram, så vid nya PM eller svar i trådar får jag e-post först 5 - 10 minuter efter att inläggen/meddelandena skrivits, istället för på sekunden som förut. Jag trodde länge att den nya forumprogramvaran bara är långsammare, men nu börjar jag misstänka att det snarare beror på att det är så mycket e-post som försöker skickas ut så att legitima mail hamnar så långt ner i kön på grund av all spam...

Jag har provat nu att byta lösenord på servern, e-postkonton och e-postserver, för att se om det löser problemet. Om det fortfarande skickas ut spam, så måste jag undersöka programvarorna på servern och dess inställningar, för att se om det finns någon sårbarhet någonstans.

Som ni förstår är det här väldigt allvarligt, så det är nu min högsta prioritet - så tills det här är löst kommer inga andra uppdateringar av Dubbningshemsidan att ske, inga recensioner och ingen jakt på creditlistor.

TonyTonka

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 08:47:50Som ni förstår är det här väldigt allvarligt, så det är nu min högsta prioritet - så tills det här är löst kommer inga andra uppdateringar av Dubbningshemsidan att ske, inga recensioner och ingen jakt på creditlistor.

Hur lång tid kommer det ta att lösa tror du?  ???

Kan det vara så att de skickat från något program eller någon hemsida som får det att se ut som att det kommer från Dubbningshemsidan, så att de inte egentligen har hackat sidan? Man har ju hört att det har hänt på andra ställen på internet.

Och vad är det för typ av spam? Viruslänkar? Löften om att få pengar av en indisk prins? Ett mejl om att "heta singlar vill ha dig" ?
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Anders M Olsson

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 09:46:35Kan det vara så att de skickat från något program eller någon hemsida som får det att se ut som att det kommer från Dubbningshemsidan, så att de inte egentligen har hackat sidan? Man har ju hört att det har hänt på andra ställen på internet.
Eftersom Daniel skriver att mailen syns i loggen på servern verkar det ju troligt att någon verkligen har lyckats ta sig in på Daniels server och skicka mailen därifrån.

Det kan förklara varför jag stundtals har upplevt viss fördröjning i forumet den senaste tiden.

Det som kanske är allra mest allvarligt är att om någon verkligen har lyckats skaffa sig root-behörighet på servern kan de ha lagt in en bakdörr så att de kan komma in igen även om alla lösenord byts ut.

Steffan Rudvall

Kan detta ha något att göra med den hackade recensionen?

TonyTonka

https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 09:46:35Kan det vara så att de skickat från något program eller någon hemsida som får det att se ut som att det kommer från Dubbningshemsidan, så att de inte egentligen har hackat sidan? Man har ju hört att det har hänt på andra ställen på internet.
Det var min första tanke också, men eftersom de faktiskt syns i mailserverns logg så måste det faktiskt komma från Dubbningshemsidan. Om det vore en förfalskad avsändare, så skulle det aldrig dyka upp i mailloggen här utan bara på den servern som faktiskt skickade meddelandet.

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 09:46:35Och vad är det för typ av spam? Viruslänkar? Löften om att få pengar av en indisk prins? Ett mejl om att "heta singlar vill ha dig" ?
I mailloggen kan jag bara se avsändare, mottagare och ämnesfält, inte själva meddelandena, men att döma av rubrikerna ser det ut som till största delen reklam/länkar till (gissningsvis) skumma dejtingsidor/kontaktannonssidor.

Citat från: Anders M Olsson skrivet 31 augusti 2022 kl. 10:20:10Det som kanske är allra mest allvarligt är att om någon verkligen har lyckats skaffa sig root-behörighet på servern kan de ha lagt in en bakdörr så att de kan komma in igen även om alla lösenord byts ut.
Ja, precis. När man är säker på att inga fler spam skickas ut måste allting granskas noga för att säkerställa att inga bakdörrar finns.

Men jag hoppas att de faktiskt inte har lyckats skaffa root-behörighet till hela servern, för då är det som sagt väldigt allvarligt; för då kan de ställa till med väldigt mycket mer än "bara" spamutskick... Men mer sannolikt är nog att de lyckats skaffa rootbehörighet till SMTP-servern (d.v.s. Postfix i Linux för utgående e-post), men inte själva servern - för om det vore själva servern ser jag ingen anledning till att inte samtidigt byta ut/ändra en massa sidor och åstadkomma större skada än "bara" e-postsystemet.

Citat från: Steffan Rudvall skrivet 31 augusti 2022 kl. 10:46:51Kan detta ha något att göra med den hackade recensionen?
Jag tror att det är ett helt separat problem och en isolerad händelse, då det i det fallet bara verkade vara att någon listat ut adressen till min "hemliga" sida, men ska givetvis utreda detta ordentligt. :)


TonyTonka

Bara så att jag vet, jag sitter vid jobbets dator just nu, kan hackarna ta sig in på våra datorer om vi besöker sidan eller forumet?  :-\
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 11:04:05Bara så att jag vet, jag sitter vid jobbets dator just nu, kan hackarna ta sig in på våra datorer om vi besöker sidan eller forumet?  :-\
Nej. Den skumma recensionen, som innehöll farlig kod, är korrigerad sedan länge för att ta bort JavaScript-koden; och jag hittar inga tecken på att någon sida på servern är ändrad. Inga datumstämplar ser onaturliga ut, utan allt ser ut som det alltid gjort.

Hittills hittar jag inga spår av någonting skumt annat än i e-posten, vilket får mig att misstänka att de har lyckats få root-access till Postfix (serverprogrammet för utgående e-post), men inte till själva servern. Men vi får väl se om det händer igen efter att jag bytt lösenorden ifråga...

TonyTonka

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 11:20:21Nej. Den skumma recensionen, som innehöll farlig kod, är korrigerad sedan länge för att ta bort JavaScript-koden; och jag hittar inga tecken på att någon sida på servern är ändrad. Inga datumstämplar ser onaturliga ut, utan allt ser ut som det alltid gjort.

Hittills hittar jag inga spår av någonting skumt annat än i e-posten, vilket får mig att misstänka att de har lyckats få root-access till Postfix (serverprogrammet för utgående e-post), men inte till själva servern. Men vi får väl se om det händer igen efter att jag bytt lösenorden ifråga...

Hur ofta skickar spammarna, och när skickade de senast?
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet 31 augusti 2022 kl. 11:26:49Hur ofta skickar spammarna, och när skickade de senast?
I mailloggen hittar jag 28 mail som gick ut från kl. 02:22:53 i natt, men ingenting efter det. Före det var ett par dussin mail kl. 01:52:10. Men då jag är på jobbet just nu har jag inte tid att kolla upp saken mer ordentligt, men det finns alltså en chans att problemet kan vara löst i och med lösenordsändringen. Vi får hoppas på det bästa...

Nu har jag dock bara sökt på just "" som avsändare - det måste förstås gås igenom även andra avsändaradresser, för att säkerställa att det inte är ett större problem, men det hinner jag inte från jobbet utan det måste vänta tills i afton. :)
(då mailloggen är oerhört omfattande och loggar alla anslutningsförsök och allting, så består den av flera miljoner rader text; så det är inget man kan läsa igenom allting av manuellt)

Scoobydoofan1

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 11:37:01I mailloggen hittar jag 28 mail som gick ut från kl. 02:22:53 i natt, men ingenting efter det. Före det var ett par dussin mail kl. 01:52:10. Men då jag är på jobbet just nu har jag inte tid att kolla upp saken mer ordentligt, men det finns alltså en chans att problemet kan vara löst i och med lösenordsändringen. Vi får hoppas på det bästa...

Nu har jag dock bara sökt på just "" som avsändare - det måste förstås gås igenom även andra avsändaradresser, för att säkerställa att det inte är ett större problem, men det hinner jag inte från jobbet utan det måste vänta tills i afton. :)
(då mailloggen är oerhört omfattande och loggar alla anslutningsförsök och allting, så består den av flera miljoner rader text; så det är inget man kan läsa igenom allting av manuellt)
Vad exakt är allt det här? Vad är det som pågår med gmail och email?

Daniel Hofverberg

Citat från: Scoobydoofan1 skrivet 31 augusti 2022 kl. 11:45:30Vad exakt är allt det här? Vad är det som pågår med gmail och email?
Det enda jag vet just nu är att en stor mängd spam har skickats ut av obehöriga personer (att döma av IP-adresserna i Ryssland och Indien) från Dubbningshemsidans servern. Exakt hur eller hur länge är ännu oklart.

Och det har lett till att Gmail har blockerat hela Dubbningshemsidans domän, men det var alltså inte (som jag ursprungligen trott) att Gmail misstolkat forumets mail som spam utan det är faktiskt spammeddelanden som skickats ut utan min vetskap.

Jag får återkomma med mer ordentlig information när jag är säker på att inga fler spam skickas ut och när jag gått igenom loggar för att se hur det här har gått till. Men det kan alltså inte göras från jobbet, utan kan ske tidigast i afton. :)

TonyTonka

Citat från: Daniel Hofverberg skrivet 31 augusti 2022 kl. 11:50:18Det enda jag vet just nu är att en stor mängd spam har skickats ut av obehöriga personer (att döma av IP-adresserna i Ryssland och Indien) från Dubbningshemsidans servern. Exakt hur eller hur länge är ännu oklart.

Och det har lett till att Gmail har blockerat hela Dubbningshemsidans domän, men det var alltså inte (som jag ursprungligen trott) att Gmail misstolkat forumets mail som spam utan det är faktiskt spammeddelanden som skickats ut utan min vetskap.

Jag får återkomma med mer ordentlig information när jag är säker på att inga fler spam skickas ut och när jag gått igenom loggar för att se hur det här har gått till. Men det kan alltså inte göras från jobbet, utan kan ske tidigast i afton. :)

Har du hunnit kika på det än? :)
https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Fortfarande inga fler utskick till sedan kl. 02:22:53 i natt, så nästan ett dygn sedan alltså. Det verkar lovande, så med lite tur kan lösenordsbytet ha löst problemen. :) 

Men jag måste fortfarande måste gå igenom för att se så att inte spam skickats ut från någon annan adress (vilket är svårare att få någon överblick över, då loggen som sagt är väldigt stor och man nästan måste söka på något för att inte bli tokig).

Men e-postkön är i alla fall tom nu, medan den igår natt bestod av 350 oskickade mail - ett tydligt tecken på spamutskick till en större mängd adresser, i och med att alla tillfälliga fel ska enligt praxis läggas tillbaka i mailkön så att mailservern försöker att skicka det mailet igen (och de flesta spamutskick sker ju till adresser som spammarna inte ens vet om de är giltiga eller inte; därav det väldigt stora antalet mail i mailkön).

Ett litet orostecken kvarstår dock, när jag nu gått igenom serverloggen över lyckade inloggningar till serverns root-konto. Förutom IP-adresserna från mitt hem och min arbetsplats hittar jag två IP-adresser som jag inte känner igen; en som loggat in på servern den 16 augusti och en som loggat in den 26 maj i år. Det kan vara helt oskyldigt, ifall jag har loggat in någon annanstans ifrån än hemmet och jobbet, men det måste undersökas noggrannare...
(Just för att det ju är väldigt viktigt att säkerställa att ingen har loggat in på servern via root-kontot, då de i så fall kan ha installerat bakdörrar och åstadkommit allt möjligt sattyg)

Daniel Hofverberg

IP-adressen som loggade in på servern den 16 augusti hör till Runö möten & events i Åkersberga, så det var garanterat jag under dagarna jag var på konferens där.

Inloggningen den 26 maj är däremot mer tveksamt. Enligt geolokalisering hör IP-adressen hemma i Burträsk; ungefär fyra mil från Skellefteå. Där är jag 100% säker på att jag inte varit i år, men nu är ju geolokalisering ingen exakt vetenskap så det behöver inte vara just där. Men när det i alla fall sannolikt hör hemma i Västerbotten, så är det väl troligt att det också var jag men någonstans ifrån som jag inte kommer ihåg - när vi nu vet att spammarna använt IP-adresser i Ryssland och Indien, så känns det väl ganska osannolikt att ryska och indiska spammare skulle ha samröre med hackers i Västerbotten...

Däremot kan jag inte se till ett enda spamutskick på två och ett halvt dygn (sedan natten till den 1 september), varken till eller andra misstänkta e-postadresser. Det är svårt att vara helt säker, då mailloggen som sagt är väldigt stor och nästan omöjlig att gå igenom för hand, men i kombination med att e-postkön också varit tom sedan dess (och före det hade flera hundra oskickade mail i kön), så tror jag att problemen ska vara lösta. :)

Exakt hur det här kunnat hända vet jag inte, men jag gissar att spammarna på något sätt har tagit sig in på Postfix (mailserverprogramvaran) root-konto och därigenom kunnat skicka mängder av spam. Det borde inte kunna hända, för enligt Postfix dokumentation ska root-konton automatiskt vara inaktiverade och inte gå att komma in via - men kanske kan jag ha råkat ändra någon inställning om det, eller också är det någon uppdatering till Postfix som har ändrat standardvärdena. Oavsett vilket verkar det i alla fall ha hjälpt att byta lösenord till Postfix root-konto till ett betydligt längre och svårare lösenord än senast.

Jag gissar att det har pågått sedan den 23 juli i år - när jag loggar in på Googles Postmaster Tools ser jag nämligen att det var då som IP-adressens rykte ändrades från "Medium" till "Bad", så det var förmodligen ungefär då som Gmail började blockera Dubbningshemsidans IP-adress också.

Med facit i hand borde jag förstås ha undersökt möjligheten att någon utnyttjat Dubbningshemsidan för att skicka spam redan då, men då det hänt en gång tidigare att Google blockerat Dubbningshemsidan på grund av att de misstolkat legitima mail som spam så var jag så övertygad om att så var fallet även nu... :-[

Då återstår frågan när Google häver blockeringen av Dubbningshemsidans (legitima) mail för Google-användare...? Jag har tyvärr inga bra svar, men gissar att det nog kan ta 1 - 2 veckor efter att spamutskicken slutade innan deras algoritmer anser att Dubbningshemsidan är "säker" igen.

TonyTonka

Citat från: Daniel Hofverberg skrivet  2 september 2022 kl. 11:57:29IP-adressen som loggade in på servern den 16 augusti hör till Runö möten & events i Åkersberga, så det var garanterat jag under dagarna jag var på konferens där.

Inloggningen den 26 maj är däremot mer tveksamt. Enligt geolokalisering hör IP-adressen hemma i Burträsk; ungefär fyra mil från Skellefteå. Där är jag 100% säker på att jag inte varit i år, men nu är ju geolokalisering ingen exakt vetenskap så det behöver inte vara just där. Men när det i alla fall sannolikt hör hemma i Västerbotten, så är det väl troligt att det också var jag men någonstans ifrån som jag inte kommer ihåg - när vi nu vet att spammarna använt IP-adresser i Ryssland och Indien, så känns det väl ganska osannolikt att ryska och indiska spammare skulle ha samröre med hackers i Västerbotten...

Däremot kan jag inte se till ett enda spamutskick på två och ett halvt dygn (sedan natten till den 1 september), varken till eller andra misstänkta e-postadresser. Det är svårt att vara helt säker, då mailloggen som sagt är väldigt stor och nästan omöjlig att gå igenom för hand, men i kombination med att e-postkön också varit tom sedan dess (och före det hade flera hundra oskickade mail i kön), så tror jag att problemen ska vara lösta. :)

Exakt hur det här kunnat hända vet jag inte, men jag gissar att spammarna på något sätt har tagit sig in på Postfix (mailserverprogramvaran) root-konto och därigenom kunnat skicka mängder av spam. Det borde inte kunna hända, för enligt Postfix dokumentation ska root-konton automatiskt vara inaktiverade och inte gå att komma in via - men kanske kan jag ha råkat ändra någon inställning om det, eller också är det någon uppdatering till Postfix som har ändrat standardvärdena. Oavsett vilket verkar det i alla fall ha hjälpt att byta lösenord till Postfix root-konto till ett betydligt längre och svårare lösenord än senast.

Jag gissar att det har pågått sedan den 23 juli i år - när jag loggar in på Googles Postmaster Tools ser jag nämligen att det var då som IP-adressens rykte ändrades från "Medium" till "Bad", så det var förmodligen ungefär då som Gmail började blockera Dubbningshemsidans IP-adress också.

Med facit i hand borde jag förstås ha undersökt möjligheten att någon utnyttjat Dubbningshemsidan för att skicka spam redan då, men då det hänt en gång tidigare att Google blockerat Dubbningshemsidan på grund av att de misstolkat legitima mail som spam så var jag så övertygad om att så var fallet även nu... :-[

Då återstår frågan när Google häver blockeringen av Dubbningshemsidans (legitima) mail för Google-användare...? Jag har tyvärr inga bra svar, men gissar att det nog kan ta 1 - 2 veckor efter att spamutskicken slutade innan deras algoritmer anser att Dubbningshemsidan är "säker" igen.

Låter bra att spammen åtminstone tillfälligt har upphört. :)

Av ren nyfikenhet, är adresserna som spammarna skickar till helt random, eller adress som du tidigare skrivit till?

Och har Dubbningshemsidan klarat sig från svartlistning på andra mejlsidor, som Outlook, Yahoo, etc?  ???

https://djtonytheking.wordpress.com/ - Min blogg
(bloggen uppdateras senast: 2022-01-30)

Äntligen tillbaka på bloggen! :D

Daniel Hofverberg

Citat från: TonyTonka skrivet  2 september 2022 kl. 21:43:01Och har Dubbningshemsidan klarat sig från svartlistning på andra mejlsidor, som Outlook, Yahoo, etc?  ???
Jag provade nu att skicka ett mail till min jobbmail (som kör Office 365), och det hamnade i spammappen men kom i alla fall fram. Oklart om det beror på domännamnet eller om det var just det mailet jag skickade som den blev misstänksam på. Det borde motsvara även läget med Hotmail, Outlook och andra Microsoft-ägda tjänster, även om jag inte kan vara 100% säker.

Yahoo är lite oklart; där har jag fått ett par sådana här mail:
     4.7.0 [TSS04] Messages from 135.181.100.179 temporarily deferred due to
    unexpected volume or user complaints - 4.16.55.1; see
    https://postmaster.yahooinc.com/error-codes (in reply to MAIL FROM command)

Så där verkar åtminstone vissa mail ha fördröjts, men jag har inte fått någon regelrätt studs varför jag misstänker att mailen ändå kommer fram fast dröjer ett tag. Jag har dock inget Yahoo-konto, så jag kan inte testa själv.

När jag testar Mxtoolbox med Dubbningshemsidans domän, som testar mot 91 kända databaser med svartlistor och spamfilter, så verkar ingen av dessa ha listat Dubbningshemsidan som "skum" - det borde innebära att de flesta lite mindre aktörer levererar mailen utan problem, då det förmodligen bara är de allra största e-postleverantörerna (Google, Yahoo, Microsoft, m.fl.) som kan förlita sig på egna algoritmer och databaser utan att anlita externa tjänster för att jämföra mot.

Citat från: TonyTonka skrivet  2 september 2022 kl. 21:43:01Av ren nyfikenhet, är adresserna som spammarna skickar till helt random, eller adress som du tidigare skrivit till?
Det är inga adresser jag känner till, men de ser ut att vara giltiga då det inte kommit någon ovanlig mängd studsar ("Failed delivery") eller liknande - så det är förmodligen e-postadresser köpta från något skumt håll, så att det är giltiga (om än inte nödvändigtvis aktiva) adresser. De allra flesta verkar ha varit Gmail- och Yahoo-adresser; eller åtminstone alla jag har sett i loggen. Av dessa studsar alltså Gmail totalt, medan Yahoo bara verkar bli "Temporarily deferred".

Daniel Hofverberg

Nu har även Hotmail/Outlook börjat blockera alla mail från Dubbningshemsidan, att döma av de studsar jag börjat få det senaste dygnet. Suck... :(

Jag har skickat in ansökan till Microsoft om att ta bort blockeringen, men vet inte hur lång tid det kan ta att få svar. Jag vet av tidigare erfarenhet att Microsoft inte brukar vara helt lätta att ha att göra med, och det brukar vara i stort sett omöjligt att få svar av någon levande människa...

Lite märkligt att de har börjat blockera mail precis när jag trodde att problemen var över och att det inte längre gick ut spam från Dubbningshemsidans server. Antingen är de sega på att börja blockera efter att de upptäckt spamutskick, eller också är problemen inte över trots allt - jag måste nog ta en noggrannare titt i mailloggen för att se om det fortfarande går ut spam från någon annan e-postadress på servern...

Daniel Hofverberg

Jag har fått svar från Microsoft, och de skriver att blockeringen av Dubbningshemsidan vid Hotmail/Outlook-adresser kommer att hävas om 1 - 2 dygn, så efter det ska alla Hotmail- och Outlook-kunder återigen få mail som vanligt. :)

Fortfarande inget livstecken från Google (Gmail) dock, så där har jag ingen aning när de mailen kan börja levereras igen...

Jag har också gått igenom mailloggen igen, och hittar inga spår av skumma e-postmeddelanden. Åtminstone känner jag mig ganska säker på att det inte längre går ut mail från , , och andra mer "skumma" adresser - men från har jag inte haft tid eller ork att gå igenom allt, då det är så oerhört mycket i loggen att det är svårt att få någon överblick, så där har jag bara kunnat göra enstaka stickprovskontroller...

Men med detta sagt känner jag mig nu hyfsat säker på att problemen är lösta, och att det inte längre går ut spam via Dubbningshemsidan. :)

Daniel Hofverberg

Trots att Google själva utlovar att blockeringen kommer hävdas inom två veckor efter att spamutskick upphör, så blockerar Gmail fortfarande all e-post från Dubbningshemsidan; fastän det nu alltså gått närmare fem veckor. Dessutom ser jag att Dubbningshemsidans IP-adress precis har blivit svartlistad från e-postkontrollistan UCEPROTECTL2. Inget gott tecken... :(

Så jag börjar undra om problemen kanske inte är lösta trots allt, utan att det fortfarande pågår spamutskick men från någon annan e-postadress...? Jag får nog göra en noggrannare sökning och se om jag kan hitta åt fler spamutskick från mailservern...

Anders M Olsson

Citat från: Daniel Hofverberg skrivet  4 oktober 2022 kl. 10:51:56Trots att Google själva utlovar att blockeringen kommer hävdas inom två veckor efter att spamutskick upphör, så blockerar Gmail fortfarande all e-post från Dubbningshemsidan; fastän det nu alltså gått närmare fem veckor. Dessutom ser jag att Dubbningshemsidans IP-adress precis har blivit svartlistad från e-postkontrollistan UCEPROTECTL2. Inget gott tecken... :(

Så jag börjar undra om problemen kanske inte är lösta trots allt, utan att det fortfarande pågår spamutskick men från någon annan e-postadress...? Jag får nog göra en noggrannare sökning och se om jag kan hitta åt fler spamutskick från mailservern...
Jag har märkt att det tidvis kan vara väldigt långa svarstider här på forumet, senast nu i natt eller tidigt i morse vid fyratiden. Det tog en halv till en minut att ladda varje ny sida.

Det skulle kunna tyda på att det är någon process som kör på servern och som använder all maskintiden till att skicka ut spam, om det inte är forumet självt som har någon sorts cleanup-process som kör på vissa tider.

Samtidigt surfade jag till en del andra webbsidor och där var det inga problem, så det var i alla fall inget som berodde på min egen internetförbindelse.

Daniel Hofverberg

Citat från: Anders M Olsson skrivet  4 oktober 2022 kl. 11:19:12Jag har märkt att det tidvis kan vara väldigt långa svarstider här på forumet, senast nu i natt eller tidigt i morse vid fyratiden. Det tog en halv till en minut att ladda varje ny sida.

Det skulle kunna tyda på att det är någon process som kör på servern och som använder all maskintiden till att skicka ut spam, om det inte är forumet självt som har någon sorts cleanup-process som kör på vissa tider.
Har du tänkt på om det bara är forumet eller hela Dubbningshemsidan som påverkas när det händer? D.v.s. påverkas även andra delar av sajten (startsidan, Svenska röster och credits, Recensioner, Sångtextsregister, o.s.v.), eller är det bara forumet som blir långsamt?

Om hela Dubbningshemsidan påverkas så tyder det på att det antingen är spamutskick eller att det finns något cronjob (schemalagd aktivitet) som körs på servern och slukar mycket processorkraft - medan om det bara är forumet som påverkas så är det troligare att det rör sig om någon slags process som forumprogramvaran kör på vissa tider.
(För spamutskick eller annat CPU-intensivt kommer förstås påverka hela servern, och inte bara forumet)

Anders M Olsson

Citat från: Daniel Hofverberg skrivet  4 oktober 2022 kl. 11:57:05Har du tänkt på om det bara är forumet eller hela Dubbningshemsidan som påverkas när det händer? D.v.s. påverkas även andra delar av sajten (startsidan, Svenska röster och credits, Recensioner, Sångtextsregister, o.s.v.), eller är det bara forumet som blir långsamt?
Nej, men jag kan kolla nästa gång jag råkar ut för problemet.

Steffan Rudvall

Jag har råkat ut för detta både på forumet och på själva hemsidan det tar alltså överdrivet lång tid att ladda jämfört med andra webbsidor. 

Till och med när jag ska redigera inlägg så tar det någon minut att komma in till redigeraren.

Daniel Hofverberg

Citat från: Steffan Rudvall skrivet  4 oktober 2022 kl. 14:24:17Jag har råkat ut för detta både på forumet och på själva hemsidan det tar alltså överdrivet lång tid att ladda jämfört med andra webbsidor.

Till och med när jag ska redigera inlägg så tar det någon minut att komma in till redigeraren.
Det lät inte helt bra, och det har jag inte själv råkat ut för.

Händer det jämt eller bara ibland? Har du tänkt på om det är någon viss tid på dygnet som det händer, eller om du kan se något annat mönster när det händer och när det fungerar normalt?

Just nu är det i alla fall relativt lite CPU-kraft som används. Jag har kollat på servern, och den senaste halvtimmen har den i snitt använt 29% CPU-kraft av en kärna, och Dubbningshemsidans server har två processorkärnor till förfogande. Det borde alltså innebära 14,5% av tillgänglig processorkraft som används, vilket inte låter alltför mycket (om än kanske fortfarande lite mer än det borde ligga på då det inte är så jättemånga användare online, och när jag kollat förut har den ofta inte gått över 5%).

Däremot är det inte så mycket RAM-minne till övers, men det beror på att jag bara har 2 GB RAM på servern vilket ibland kan vara lite gränsfall - egentligen hade jag nog behövt 4 GB RAM, men eftersom det innebär en markant högre månadskostnad så avvaktar jag så länge som möjligt med att uppgradera minnet...

Steffan Rudvall

Citat från: Daniel Hofverberg skrivet  4 oktober 2022 kl. 16:15:24Det lät inte helt bra, och det har jag inte själv råkat ut för.

Händer det jämt eller bara ibland? Har du tänkt på om det är någon viss tid på dygnet som det händer, eller om du kan se något annat mönster när det händer och när det fungerar normalt?
Jag upplever det inte varje gång men det händer ibland på olika tider av dygnet faktiskt. Något mönster har jag tyvärr inte märkt då det händer väldigt slumpmässigt.

Daniel Hofverberg

Citat från: Steffan Rudvall skrivet  4 oktober 2022 kl. 16:21:49Jag upplever det inte varje gång men det händer ibland på olika tider av dygnet faktiskt. Något mönster har jag tyvärr inte märkt då det händer väldigt slumpmässigt.
Hmm, skumt... Jag ska undersöka och se om det finns något cronjob på servern som körs, som skulle kunna förklara det.
(cronjob innebär alltså Linux motsvarighet till "Schemaläggaren" i Windows)

Daniel Hofverberg

(Hyfsat) goda nyheter! Jag ser nu att e-postmeddelanden till Gmail inte längre blockeras, men däremot verkar alla mail jag testat med hamna i Skräppost i Gmail. Tyvärr är ju skräppost-mappen lite väldold i Gmail, då man måste klicka på "Mer" under Kategorier för att faktiskt hitta åt den mappen, men det är i alla fall goda nyheter att mailen inte längre blockeras helt.

Jag skulle därför rekommendera alla som har en Gmail-adress att gå in i Skräppost och klicka på "Inte skräppost" på alla meddelanden från Dubbningshemsidan - om alla gör det så borde det upphävas snart, och mailen hamnar i Inkorgen igen (Har ni påslaget "Underrätta vid svar", så borde ni få ett flertal mail från systemet, så att dem borde synas ganska tydligt om ni går in under Skräppost).

Jag har också gått igenom alla utgående e-postmeddelanden från servern de senaste fyra dagarna, och jag hittar inga spår av några spamutskick - alla e-postadresser som jag inte känner igen överensstämmer med medlemmar på forumet, och är således mest troligt notifikationer om svar eller nya PM (jag kan som sagt inte se själva e-postmeddelandena i loggen, utan bara avsändaradress och mottagaradress). Så jag tror att vi kan lita på att problemet är löst. :)

Citat från: Anders M Olsson skrivet  4 oktober 2022 kl. 12:06:23Nej, men jag kan kolla nästa gång jag råkar ut för problemet.
Har du råkat ut för detta igen, så att du har kunnat dra någon slutsats?

Citat från: Steffan Rudvall skrivet  4 oktober 2022 kl. 16:21:49Jag upplever det inte varje gång men det händer ibland på olika tider av dygnet faktiskt. Något mönster har jag tyvärr inte märkt då det händer väldigt slumpmässigt.
Har det hänt någonting på sistone? I så fall, har du kunnat se när det händer? Bäst vore om jag får veta exakt när det hänt, så kanske jag kan se i loggfilerna om något särskilt hände då. Det kan ju exempelvis röra sig om någon form av DDOS-attacker mot servern eller hackningsförsök, som kan kräva en del processorkraft.

Den enda schemalagda aktivitet jag hittar som forumprogramvaran SMF har sker varje dag kl. 01:00, då dagligt underhåll sker - svårt att säga hur lång tid det kan ta, men knappast mer än några minuter skulle jag tro. Under den tiden kan det mesta säkert segas ner lite, men det borde som sagt vara ganska snabbt avklarat då jag inte kan tänka mig att det borde vara alltför mycket som behöver göras i form av underhåll.

Anders M Olsson

Citat från: Daniel Hofverberg skrivet 14 oktober 2022 kl. 11:33:28Har du råkat ut för detta igen, så att du har kunnat dra någon slutsats?
Nja, jag har inte råkat ut för riktigt lika långa svarstider som tidigare. Ibland har jag märkt svarstider på 20-40 sekunder i forumet, men bara tillfälligt. Någon eller några minuter senare brukar det gå snabbt igen. På creditssidor och annat som inte ligger i forumet har jag inte märkt några överdrivet långa svarstider.

Daniel Hofverberg

Nu har mail från Dubbningshemsidan börjat hamna i Inkorgen som det ska för mig med mitt Gmail-konto - är det samma sak för er andra, eller är det fortfarande någon som får Dubbningshemsidans mail i Skräpposten?

Citat från: Anders M Olsson skrivet 14 oktober 2022 kl. 12:32:04Nja, jag har inte råkat ut för riktigt lika långa svarstider som tidigare. Ibland har jag märkt svarstider på 20-40 sekunder i forumet, men bara tillfälligt. Någon eller några minuter senare brukar det gå snabbt igen. På creditssidor och annat som inte ligger i forumet har jag inte märkt några överdrivet långa svarstider.
Är det så pass kort tid, så känns det som att det kan ha naturliga förklaringar - exempelvis kan det ju vara så att precis när du är inne, så ska forumet skicka iväg en massa mail med underrättelser om svar i trådar. När någon svarar i någon av de längsta trådarna, så lär väl sannolikheten vara ganska stor att ett dussintal eller fler personer har valt att få e-post vid svar där; och då lär väl forumprogramvaran behöva arbeta en stund med att få fram e-postadresserna till alla de som ska få e-post.

Det kan ju också röra sig om DDOS-attacker eller liknande, så jag ska se över om brandväggen på Dubbningshemsidans server är bra inställd så att den inte släpper igenom för mycket trafik. :)

RC

Jag får mail när någon skriver i ett ämne som jag bevakar och dessa har under den senaste tiden börjat hamna bland den vanliga eposten istället för i skräpposten.

Daniel Hofverberg

Citat från: RC skrivet 17 oktober 2022 kl. 21:26:12Jag får mail när någon skriver i ett ämne som jag bevakar och dessa har under den senaste tiden börjat hamna bland den vanliga eposten istället för i skräpposten.
Skönt att höra, då hoppas jag att det är så för alla andra också. :)
(Om så inte är fallet och någon fortfarande får i skräpmappen, skriv här)

Det tog minsann väldigt lång tid innan Google hävde blockeringen, men jag är tacksam att jag slapp börja tjafsa med att byta IP-adress på servern och allt vad det medför...

Lillefot

Citat från: Daniel Hofverberg skrivet 17 oktober 2022 kl. 21:24:14Nu har mail från Dubbningshemsidan börjat hamna i Inkorgen som det ska för mig med mitt Gmail-konto - är det samma sak för er andra, eller är det fortfarande någon som får Dubbningshemsidans mail i Skräpposten?
Det har fungerat för mig fläckfritt, efter att jag följde dina instruktioner om att återställa alla mail som hamnat i skräppost.
Om jag är en Apatosaurs.
Hur kan jag då vara här i Cenozoiska eran?
Kloning, teleportering, eller tur?
I alla fall, ni får ha en dino till äran

Daniel Hofverberg

Citat från: Lillefot skrivet 17 oktober 2022 kl. 21:29:52Det har fungerat för mig fläckfritt, efter att jag följde dina instruktioner om att återställa alla mail som hamnat i skräppost.
Så bra, då verkar det som att Google faktiskt lär sig av vilka mail som folk klickar på "Inte skräppost" på, så att de har någon slags artificiell intelligens som ser till att liknande mail hamnar rätt framöver.

Daniel Hofverberg

Citat från: Anders M Olsson skrivet  4 oktober 2022 kl. 11:19:12Jag har märkt att det tidvis kan vara väldigt långa svarstider här på forumet, senast nu i natt eller tidigt i morse vid fyratiden. Det tog en halv till en minut att ladda varje ny sida.

Det skulle kunna tyda på att det är någon process som kör på servern och som använder all maskintiden till att skicka ut spam, om det inte är forumet självt som har någon sorts cleanup-process som kör på vissa tider.

Samtidigt surfade jag till en del andra webbsidor och där var det inga problem, så det var i alla fall inget som berodde på min egen internetförbindelse.
Citat från: Steffan Rudvall skrivet  4 oktober 2022 kl. 16:21:49Jag upplever det inte varje gång men det händer ibland på olika tider av dygnet faktiskt. Något mönster har jag tyvärr inte märkt då det händer väldigt slumpmässigt.
Jag upptäckte nu att min VPS-leverantör Hetzner erbjuder en hårdvarubaserad brandvägg, som inte fanns när jag skapade servern. Om prestandaproblemen beror på DOS-attacker eller något annat utom själva serverns kontroll, så kan det säkert hjälpa med en hårdvarubrandvägg så att anropen inte ens kommer fram till min server. Och om inte annat, så är det definitivt bättre för säkerheten. :)

Jag har nu slagit på brandväggen och har försökt att lägga till de portar som jag tror ska behövas, men säg till om något inte fungerar som det ska; för det är inte omöjligt att jag kan ha missat att öppna någon port som faktiskt behövs.

Säg också till om problemen med långa svarstider fortfarande inträffar från och med nu.