E-Mails an AOL können nicht gesendet werden

Dein E-Mail-Server kann keine E-Mails an *@aol.de-Adressen senden? Hier zeigen wir, wie Dein Postmaster diesen Missstand beheben kann und wie Dein Mailserver auf die Whitelist von AOL kommt.

Symptom der E-Mail-Probleme mit AOL

Auf einem unserer neueren Server trat das Problem auf, dass keine E-Mails an AOL gesendet werden konnten. Und das trat auf, obwohl der RDNS-Eintrag gesetzt war und wir auch auf keiner Blacklist standen. Die E-Mails sind einfach in der E-Mail-Warteschlange und irgendwann kommt folgende Fehlermeldung an den Absender:

Sorry, I wasn't able to establish an SMTP connection. (#4.4.1)
I'm not going to try again; this message has been in the queue too long.

Explizites Whitelisting bei AOL zur Lösung nötig

Nach kurzer Recherche im Internet habe ich folgendes Portal bei AOL gefunden:
postmaster.aol.com

Dann ist hier ein Tool zum Prüfen der IP-Reputation:

postmaster.aol.com/ip-reputation

In unserem Fall war die Reputation gut, unter dem Ergebnis findet man jedoch den Hinweis:
„DYN:T1 errors usually occurs if you send high volume of mail. To resolve DYN:T1 errors, please apply for Whitelist.“. OK, nicht unbedingt schlüssig bei 10 Mails pro Woche an AOL, aber ich war zwischenzeitlich auch etwas ratlos.

Um sich auf die Whitelist eintragen zu lassen, auf postmaster.aol.com/whitelist-request den Bereich expandieren, Haken setzen und auf den nächsten Seiten alle Daten angeben. 10 Minuten später kommt eine E-Mail, die bestätigt werden muss, und ab diesem Moment kann man über den entsprechenden Server auch wieder E-Mails an AOL versenden.

Offene mDNS-Server schließen

Heute lag noch eine Nachricht von CERT-Bund Reports also dem Computer Emergency Response Team der Bundesverwaltung www.cert-bund.de bei mir im Postfach, die mich darauf aufmerksam gemacht haben, dass auf einem unserer Server ein offener Multicast DNS-Server läuft.

Warum ein offener mDNS-Service nachteilig sein kann

Multicast DNS (mDNS) dient der Auflösung von Hostnamen zu IP-Adressen in lokalen Netzwerken, welche nicht über einen DNS-Server verfügen. Implementierungen von mDNS sind z.B. Apple ‚Bonjour‘ oder ‚Avahi‘ bzw. ’nss-mdns‘ unter Linux/BSD. mDNS verwendet Port 5353/udp [1].

Neben der Preisgabe von Informationen über das System/Netzwerk können offen aus dem Internet erreichbare mDNS-Dienste für DDoS-Reflection/Amplification-Angriffe gegen Dritte missbraucht werden [2][3].

Im Rahmen des Shadowserver ‚Open mDNS Scanning Projects‘ werden Systeme identifiziert, welche mDNS-Anfragen aus dem Internet beantworten und dadurch für DDoS-Angriffe missbraucht werden können, sofern keine anderen Gegenmaßnahmen implementiert wurden.

CERT-Bund erhält von Shadowserver die Testergebnisse für IP-Adressen in Deutschland, um betroffene Systembetreiber benachrichtigen zu können.

Weitere Informationen zu den von Shadowserver durchgeführten Tests finden Sie unter [4].

Schließen eines mDNS-Services unter Linux

Um herauszufinden, welcher der Services hier verantwortlich ist, filtert man den eingehenden Traffic auf dem UDP-Port 5353:


# netstat -anp|grep 5353
udp     0    0    0.0.0.0:5353    0.0.0.0:*   2013/avahi-daemon:
udp     0    0:::5353    :::*    2013/avahi-daemon:

Die folgenden Befehle können den Service deaktivieren:


# service avahi-daemon stop
# chkconfig avahi-daemon off
# chkconfig --del avahi-daemon

Referenzen:
[1] Wikipedia: Multicast DNS en.wikipedia.org/wiki/Multicast_DNS
[2] US-CERT: UDP-based Amplification Attacks www.us-cert.gov/ncas/alerts/TA14-017A
[3] US-CERT: Multicast DNS (mDNS) implementations may respond to unicast queries originating outside the local link http://www.kb.cert.org/vuls/id/550620
[4] Shadowserver: Open mDNS Scanning Project mdns.shadowserver.org