[ISPProtect BanDaemon] Blockt IP Adressen von Kabel Deutschland

#1
Hallo,
aus Mangel an geeignetem Forum versuch ich es mal hier.

Seit kurzem setze ich ISPProtect BanDaemon ein, laüft auch soweit ganz gut. Ich hab aber ein Problem: Ein Kunde von mir ruft seine Emails von meinem Server mit Outlook ab. Seine vom Provider, hier Kabel Deutschland, zugewiesene IPv4 wird regelmäßig blockiert so das ein Emailabruf nicht mehr möglich ist. Die blockierten IP Adressen sind
31.17.255.0/24
31.17.255.81
31.17.255.106
31.17.255.207
Ich muß die IP-Adressen dann händisch wieder freigeben mit dem Befehl: /opt/ispprotect_bandaemon/ispp_bandaemon --unban=31.17.255.0/2431.17.255.0/24
Was ist der Auslöser für das blockieren dieser IP-Adressen? Warum passiert das nur bei einem Kunden von Kabel Deutschland?
Gibt es bei ISPProtect BanDaemon eine Whitelist?

Für Hinweise wäre ich sehr dankbar.
 
#2
Eine Whiteliste gibt es:
/opt/ispprotect_bandaemon/ispp_bandaemon --whitelist=<ip> [--remove]
add <ip> to whitelist or remove it if --remove is set

Wenn es immer der gleiche User ist, dann macht der wahrscheinlich was falsch. Du kannst ja mal mit /opt/ispprotect_bandaemon/ispp_bandaemon --showbans nachsehen, welcher Jail das ist und dann in den entsprechenden Logfiles suchen.
 

Croydon

Super-Moderator
#3
Ich würde empfehlen, in der bandaemon Logdatei nach der IP zu suchen und zu schauen, welche Meldung er dort auswirft. Das könnte schon einen Hinweis geben.
 
#4
Nur was soll da falsch laufen. Es hat sich ja an den Einstellungen in Outlook nichts geändert und der Kunde klickt nur auf "Senden und Empfangen". Das einzige was sich geändert hat ist das er seit ein paar Wochen seinen Internetanschluß bei Kabel Deutschland hat und eine FritzBox 6490 verwendet.

Das ist mal ein Auszug aus der BanDaemon-Logdatei:

Wed, 28 Sep 2016 08:20:40 +0200 [NOTICE] ban in mail for host 31.17.255.0/24
Wed, 28 Sep 2016 08:21:02 +0200 [NOTICE] ban in mail for host 31.17.255.0/24

Wed, 28 Sep 2016 10:00:42 +0200 [NOTICE] unban in mail for host 31.17.255.0/24
Wed, 28 Sep 2016 10:26:12 +0200 [NOTICE] ban in mail for host 31.17.255.0/24
Wed, 28 Sep 2016 10:26:17 +0200 [NOTICE] ban in mail for host 31.17.255.0/24
Wed, 28 Sep 2016 10:27:00 +0200 [NOTICE] ban in mail for host 31.17.255.0/24

Und das aus meiner Mail-log

Sep 28 08:20:32 z3-host postfix/smtpd[20740]: warning: ip1f11ff97.dynamic.kabel-deutschland.de[31.17.255.xxx]: SASL LOGIN authentication failed: UGFzc3dvcmQ6

Sep 28 08:20:38 z3-host postfix/smtpd[20740]: warning: ip1f11ff97.dynamic.kabel-deutschland.de[31.17.255.xxx]: SASL PLAIN authentication failed: UGFzc3dvcmQ6


Sep 28 10:01:07 z3-host postfix/smtpd[9326]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:01:08 z3-host postfix/smtpd[9326]: SSL_accept error from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]: -1
Sep 28 10:01:08 z3-host postfix/smtpd[9326]: warning: TLS library problem: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:956:
Sep 28 10:01:08 z3-host postfix/smtpd[9326]: lost connection after STARTTLS from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:01:08 z3-host postfix/smtpd[9326]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]


Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: lost connection after CONNECT from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: SSL_accept error from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]: -1
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: warning: TLS library problem: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:956:
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: lost connection after CONNECT from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtps/smtpd[1334]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtpd[12887]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtpd[12887]: lost connection after UNKNOWN from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtpd[12887]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtpd[824]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtpd[824]: lost connection after UNKNOWN from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:55 z3-host postfix/smtpd[824]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:57 z3-host postfix/smtpd[12887]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:58 z3-host postfix/smtpd[12887]: lost connection after STARTTLS from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:58 z3-host postfix/smtpd[12887]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:58 z3-host postfix/smtpd[824]: connect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:58 z3-host postfix/smtpd[824]: SSL_accept error from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]: -1
Sep 28 10:25:58 z3-host postfix/smtpd[824]: warning: TLS library problem: error:1408A10B:SSL routines:SSL3_GET_CLIENT_HELLO:wrong version number:s3_srvr.c:956:
Sep 28 10:25:58 z3-host postfix/smtpd[824]: lost connection after STARTTLS from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]
Sep 28 10:25:58 z3-host postfix/smtpd[824]: disconnect from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]



Ich kann das momentan leider nicht so richtig interpretieren. Hat da jemand mehr Erfahrung und kann mir erklären was da genau passiert?
 
#5
und genau das ist der Fehler, wieso er immer wieder in der Firewall landet:
SSL_accept error from ip1f11ff6a.dynamic.kabel-deutschland.de[31.17.255.xxx]: -1
 

Croydon

Super-Moderator
#7
Viel wichtiger ist dieser Eintrag:
Code:
 Sep 28 08:20:32 z3-host postfix/smtpd[20740]: warning: ip1f11ff97.dynamic.kabel-deutschland.de[31.17.255.xxx]: SASL LOGIN authentication failed: UGFzc3dvcmQ6
Das bedeutet nämlich, dass der Client versucht, mit ungültigen Zugangsdaten Mail zu versenden.
Offenbar ist da etwas falsch konfiguriert im Postausgang, ggf. auch ein zweiter Client (Handy?), der via WLAN mit falschen Daten zugreift.
 
#8
@Croydon Jetzt kommt Licht in die ganze Sache. Das kann natürlich sein, wobei ich bisher nichts davon weiß das mein Kunde ein Handy zum Mailen benutzt. Ich werde das mal in erfahrung bringen. Danke. Hätte ich auch selbst drauf kommen können. Manchmal hilft es wenn man drüber spricht ;-)
 

Werbung

Top