Провайдер заблокировал отправку по smtp по жалобе.

avgaz · 2025-12-05T14:33:53.0000000Z

Итак неожиданно получил письмо от провайдера VPS ну и провайдер отрубил отправку писем скриптами. Здравствуйте. На вашу VPS поступила жалоба, текст жалобы ниже, были вынуждены заблокировать smtp порты на вашем заказе. Ссылка: https://check.spamhaus.org/results/?query= ***** Текст жалобы: "Why was this IP listed? **.**.**.*** has been classified as part of a proxy network. There is a type of malware using this IP that installs a proxy that can be used for nearly anything, including sending spam or stealing customer data. This should be of more concern than a Spamhaus listing, which is a symptom and not the problem. The proxy is installed on a device - usually an Android mobile, firestick, smart doorbell, etc, but also iPads, and Windows computers - that is using your IP to send spam DIRECTLY to the internet via port 25: This is very often the result of third party "free" apps like VPNs, channel unlockers, streaming, etc being installed on someone's personal device, usually a phone. Technical information: Recent connections: (IP, UTC timestamp, HELO value) **.**.**.*** 2025-11-30 13:55:00 ****.com Items of note: This issue is very likely to be caused by a personal device, such as a mobile phone, with residential proxy malware or a spambot installed on it. It is EXTREMELY rare for this to be the SMTP server at fault. This is a simple explanation of how it can work. Any devices with "free" VPNs, TV streaming, channel unlocking, or 3rd-party apps installed are the first things to check. What should be done about it? DYNAMIC IPs/MOBILE USERS If you are NOT running a local mail server on this IP, please do the following: Go to What Is My IP? and find out what your public IP is. Call your ISP - the company that is providing your internet access via the IP you just looked up. Find out from your ISP if the IP is dedicated or dynamic. If it is dynamic, is it CG/NAT? What are your outbound mail settings? Have your ISP verify your mail settings are correct: SMTP server name Outgoing SMTP port Are you using SMTP authentication - yes/no? Once you have this information, open a ticket. Please provide your verified mail settings in this ticket. Our ability to help you depends on this information! STATIC IP/LOCAL MAIL SERVER(S) Do you have one or more local SMTP servers? The problem is NOT your mail server. It is never the mail server. It is always someone's mobile device (phone, laptop, tablet), or more rarely a computer, somewhere on the LAN. There can be more than one! These are the recent HELOs we have seen. If they match your mail server's rDNS, do not dismiss this, and read on. (IP, UTC timestamp, HELO value) **.**.**.*** 2025-11-30 13:55:00 ****.com What to do: Make sure port 25 access is limited to mail server access only / end-users should be using SMTP authentication on port 587 or 465 Guest networks need to be limited too! Remote sending of email to servers via the Internet will still work if web-based, or configured properly to use port 587 using SMTP-AUTH. Do you have clients or end users NAT'd to the same IP as your mailserver? If so, this is very likely to be the source of the problem. Set up logging at the exit point and let it run for a few days to find anomalous port 25 traffic - these proxies do not necessarily fire every day." Уже все перерыл и не могу найти в логах mail.log и mainlog ничего похожего на отправку спама с сервера(может не там искал?), более того на сервере не создано не одного почтового ящика(все ящики типа site@site.ru были созданы на Яндекс, ранее услуга Почта для домена), а почтовый домен в обще в зоне ru, а не com как в жалобе, что в жалобе это в зоне com это название сервера. Письма с сайтов отправлялись скриптами через php mail() то есть простые уведомления о регистрации и тд.. Едиственное есть мысль, что на сервере был настрое прокси 3proxy (http и socks) возможно подобрали пароль и тупо через прокси со своих почтовых адресов рассылали спам? в в логе такие строчки 1764879966.306 PROXY. 9999 00004 - 172.236 . 228.202 : 50866 0.0 . 0.0 : 0 0 0 0 GET_http: //**.***.**.***:9999/_HTTP/1.1 1764880010.453 PROXY. 9999 00004 - 141.95 . 206.110 : 47567 0.0 . 0.0 : 0 0 0 0 GET_http: //**.***.**.***:9999/_HTTP/1.1 1764880036.078 SOCKS. 8088 00401 - 172.236 . 228.111 : 12520 0.0 . 0.0 : 0 0 0 0 UNKNOWN_0. 0.0 . 0 : 0 1764880036.419 SOCKS. 8088 00401 - 172.236 . 228.111 : 12530 0.0 . 0.0 : 0 0 0 0 UNKNOWN_0. 0.0 . 0 : 0 1764882164.752 ADMIN. 2525 00000 - 172.104 . 11.34 : 44040 0.0 . 0.0 : 0 0 0 0 1764885908.727 PROXY. 9999 00004 - 147.182 . 247.10 : 41496 0.0 . 0.0 : 0 0 0 0 GET_http: //**.***.**.***/_HTTP/1.1 1764885909.825 PROXY. 9999 00004 - 147.182 . 247.10 : 41506 0.0 . 0.0 : 0 0 0 0 GET_http: //**.***.**.***:9999/favicon.ico_HTTP/1.1 1764885991.337 SOCKS. 8088 00401 - 185.38 . 149.140 : 58292 0.0 . 0.0 : 0 0 0 0 UNKNOWN_0. 0.0 . 0 : 0 1764890103.152 PROXY. 9998 00511 - 147.182 . 202.179 : 56244 ::: 0 0 0 0 sysinfo 1764890104.538 PROXY. 9998 00100 - 147.182 . 202.179 : 56274 0.0 . 0.0 : 0 0 0 0 GET_/_HTTP/ 1.1 1764890105.692 PROXY. 9998 00100 - 147.182 . 202.179 : 56278 0.0 . 0.0 : 0 0 0 0 GET_/favicon.ico_HTTP/ 1.1 1764897257.373 PROXY. 9999 00004 - 20.65 . 154.237 : 33494 0.0 . 0.0 : 0 0 0 0 GET_http: //**.***.**.***:9999/_HTTP/1.1 1764897267.696 PROXY. 9999 00512 - 20.65 . 154.237 : 33506 0.0 . 0.0 : 0 0 0 0 MGLNDD_**.***.**.***_9999_ Вот и вопрос, что это действительно 3proxy выиноват? но зачем тогда провайдер заблокировал отправку писем с VPS или нужно искать что действительно как то рассылают спам через mail() но где искать логи таких рассылок?

A

168

avgaz

5 декабря 2025, 19:29

#11

LEOnidUKG #:
У вас разве не Яндекс360 платный? Я его имел ввиду, у него SMTP и как раз подключение своего домена для работы именно рассылки ежедневно писем в этом и суть.

360 нету, email там были сделаны еще когда это был сервис бесплатный Почта для домена, после как сделали платно ящики там только работают на примем, а сейчас настроил(вернее в движке форума уже предусмотрено было) просто отправку через smtp почту site@yandex.ru

Да не суть это, проблема скорее в первом посте

Помогите понять, что мне создание форума Отправка почты скриптом

SA

54

SeoA

6 декабря 2025, 18:07

#12

Rustam .0. #:
Они прямым текстом пишут: проблема НЕ в вашем почтовом сервере.

Это не важно что они пишут. Абсолютно. Это такая контора, с мнением которой вынуждены считаться все провайдеры и регистраторы. Ведь они могут в свою базу закинуть айпи хостера!

Дискуссии с вами вести никто не будет. Получили письмо от спамхауса - меняйте хостера.

Листы Спамхауса конкуренты на одном хостинге IP транзит адресов.

A

168

avgaz

6 декабря 2025, 20:56

#13

SeoA #:

Это не важно что они пишут. Абсолютно. Это такая контора, с мнением которой вынуждены считаться все провайдеры и регистраторы. Ведь они могут в свою базу закинуть айпи хостера!

Дискуссии с вами вести никто не будет. Получили письмо от спамхауса - меняйте хостера.

Сейчас вроде с ip сняли пометку, но остались какие-то ограничения и предложения

Most recent historical listing - CSS Blocklist
Warning Icon
Historical Listing
This IP is not currently listed. Here is the most recent information provided regarding the listing of **.***.***.***

Date Listed: November 30, 2025 14:38:55

Date Removed: December 03, 2025 13:55:29

Less Info
Why was this IP listed?
CSS listings are based on a wide range of inputs and are always the result of multiple events and heuristics. In this case:

**.***.**.*** is sending emails of an unsolicited nature AND the configuration requires attention. This can be for several reasons, but the most common are:

Data collection/list hygiene issues - our FAQ.
A malware infection, insecure installation or misconfigured server. Please see our FAQ for help.
What should be done about it?
If this is a shared server, please call your hosting company or ISP!

To solve this ALL of these must be done before requesting removal:

The unsolicited email problem needs to be addressed and resolved, or
The malware needs to be found and removed, or
The misconfiguration must be corrected. Its HELO value has no relationship with the rDNS (PTR) of the IP. The IP it resolves to is not even in the same ASN, and this causes it to appear to be spoofing.
Or both!
HELO/EHLO & DNS CHECKS:

Check your DNS (A record and rDNS), email authentication and HELO values.
Ensure they are realistic for their intended use, and resolvable in external DNS.
If this is a Plesk, cPanel or DirectAdmin host, please read the FAQ.
You can test a server's HELO configuration by visiting AboutMyEmail. From there, send an email from the machine in question to the provided email address, and then examine the results. This tool will give a lot of detail about the email. To check HELO/EHLO, navigate to "Delivery" -> "SMTP" and look for the EHLO line.

If the HELO value does NOT exist in DNS, that must be corrected
If the HELO value is NOT correct, that must be fixed
If the HELO is using a domain that does NOT exist, that must be corrected
Make sure your SPF record is current, accurate AND published!

If the HELO/EHLO IS what you expect it to be AND it exists in DNS, then there is very probably a spambot or some other kind of malware! This needs to be found and removed.

MALWARE CHECKS:

Secure your firewall to not allow any packets outbound on port 25, except those coming from any email server(s) on your local network. Remote sending of email to servers or printers on the Internet will still work if web-based, or correctly configured to use port 587 using SMTP-AUTH.
Guest networks should also be secured - infected personal devices are a big issue!
NOTE: limiting port 25 outbound will only prevent the abusive connections from leaving your network and will not find or remove the malware. In order to do that, we suggest setting up network logging/packet logging to monitor anomalous traffic. This will help identify sources of malware if the scans do not find anything.

Perform complete scans with an up to date anti-virus/malware on all devices behind this IP on a scheduled basis.
Remember to check personal devices such as laptops, phones, tablets, as well as routers, etc. Malware can be on almost anything that is connected to the internet, including a smart doorbell.
Consider the router or firewall as a source of the problem if scans find no other devices.
Logging at the router or firewall can reveal unusual traffic and help find the compromised device(s). (For example: What is trying to connect out on port 25 that should not?)
This FAQ can be helpful.

For more details about CSS, listing criteria and removal please see our FAQ.

Requesting removal
If the problem on **.***.**.*** has been addressed, you can request a review and removal.

Типа нормально теперь все? Можно хотера включить отправку почты?

Курс биткоина превысил $50 тысяч

Все что нужно знать о DDоS-атаках грамотному менеджеру