agriff auf mailserver -> spam

Dieses Thema im Forum "Security Talk" wurde erstellt von GuN$LiNGER, 12.02.2007.

  1. #1 GuN$LiNGER, 12.02.2007
    Zuletzt bearbeitet: 09.05.2007
    GuN$LiNGER

    GuN$LiNGER Grünschnabel

    Dabei seit:
    12.02.2007
    Beiträge:
    4
    Zustimmungen:
    0
    hallo,

    mein rootserver scheint ziel diverser angriffe geworden zu sein...

    betroffen ist der mailserver, über den versucht wird spam zu versenden...


    aufegfallen in den logs ist mir einiges. hier ein paar auszüge:


    /etc/log/exim4/mainlog:

    Code:
    2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 06:56:32 H=218-161-9-202.dynamic.hinet.net (cabletimeusa.com) [218.161.9.202] F=<bedwyriren@cabletimeusa.com> rejected RCPT <bigtime.org@>: DNSBL listed at dynablock.njabl.org
    2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 11:58:58 H=(mail.ybkendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
    2007-02-12 15:13:10 H=([192.168.0.102]) [80.71.144.222] F=<magic@> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 17:31:39 no host name found for IP address 219.138.0.109
    2007-02-12 17:31:47 H=(mail.zeqe.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    anmerkung: die domain gehört mir und wurde früher, als sie auf einen anderen server gezeigt hat bereits erfolgreich zum versenden von spam "gekapert"...

    leider weiß ich nicht genau wie ich am besten gegen so etwas vorgehen sollte...
    mir ist außerdem aufgefallen, dass mein server ziemlich laggt, was evtl ja auch dadurch erklärt werden könnte?


    im paniclog befinden sich zahllose einträge nach folgendem muster:
    Code:
    2007-02-12 22:15:01 1HGiVp-0005rw-9y User 0 set for local_delivery transport is on the never_users list
    2007-02-12 22:15:01 1HGiVp-0005s1-Dg User 0 set for local_delivery transport is on the never_users list
    2007-02-12 22:30:01 1HGikL-0005sH-Ew User 0 set for local_delivery transport is on the never_users list
    2007-02-12 22:30:06 1HGikL-0005sM-K8 User 0 set for local_delivery transport is on the never_users list
    2007-02-12 22:45:10 1HGiyw-0005tX-M5 User 0 set for local_delivery transport is on the never_users list
    2007-02-12 22:45:10 1HGiz0-0005te-4f User 0 set for local_delivery transport is on the never_users list

    rejectlog:
    Code:
    2007-02-12 06:56:32 H=218-161-9-202.dynamic.hinet.net (cabletimeusa.com) [218.161.9.202] F=<bedwyriren@cabletimeusa.com> rejected RCPT <bigtime.org@>: DNSBL listed at dynablock.njabl.org
    2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 10:07:39 H=) [80.71.144.222] F=<zdtito@dynamac.com> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 10:07:42 H=() [80.71.144.222] F=<edo.numic@violeta.ba> rejected RCPT <008431@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 10:07:45 H=() [80.71.144.222] F=<iwoflvshlmfmnsegkst@nuic.ba> rejected RCPT <2qcmm001893@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 11:33:11 H=(mail.xphendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
    2007-02-12 11:49:37 H=smtp108.mail.mud.yahoo.com [209.191.85.218] F=<hdbiiwjtjww@yahoo.com.hk> rejected RCPT <tico@>: relay not permitted
    2007-02-12 11:58:58 H=(mail.ybkendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
    2007-02-12 12:12:03 H=(mail.bkjc.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 12:16:26 H=(mail.domendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
    2007-02-12 13:56:55 H=(mail.dded.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 15:13:10 H=([192.168.0.102]) [80.71.144.222] F=<magic@> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 15:43:52 H=(mail.nwwd.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 17:23:41 H=() [80.71.144.222] F=<18710391825.20061024111350@nuic.ba> rejected RCPT <008431@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 17:31:47 H=(mail.zeqe.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 19:13:58 H=(mail.dnhf.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 20:54:03 H=(mail.ljag.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 21:22:33 H=c-68-45-204-54.hsd1.nj.comcast.net (secretcult) [68.45.204.54] F=<mugureject@yahoo.ca> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at dynablock.njabl.org
    2007-02-12 22:24:21 H=(mail.dirg.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    2007-02-12 23:44:18 H=(mail.chmh.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
    
    --> anscheinend funktioniert spamassassin, jedoch bin cih mir eben nciht so ganz sicher...

    p.s. habe im meinen mailserver nach diesme howto installiert:
    http://debianhowto.de/doku.php/de:howtos:sarge:exim4_vexim2_courier_mailman



    wenn mir jemand jetzt vorwerfen möchte, dass ich 2 beiträge zu einem ähnlichen thema geschrieben habe, dann verweise ich hiermit auf meinen anderen beitrag und frage mich antürlich auch, was die beiden problem miteinander zu tun haben könnten..: http://www.unixboard.de/vb3/showthread.php?t=27137




    Ich freue mich über jede hilfreiche antwort!!!!


    mfg,
    Joel
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 rygar, 12.02.2007
    Zuletzt bearbeitet: 12.02.2007
    rygar

    rygar Routinier
    Moderator

    Dabei seit:
    15.07.2002
    Beiträge:
    332
    Zustimmungen:
    0
    Ort:
    Kaarst
    Eigentlich mag ich es ja garnicht sowas zu sagen.
    In diesem Fall mach ich aber mal ne Ausnahme : Bitte besorg Dir jemanden der das macht oder nimm nen Managed-Server.

    Solche Mailer wie deiner bereiten einigen Admins ganz schöne Probleme.
    Spam kommt leider wie bei Dir, meistens durch eine fehlerhafte Konfiguration zustande.

    Wenn Dein System für andere Spam relayed könnte übrigens auch jemand auf die Idee kommen, Dich für den Schaden haftbar zu machen.

    Die andere Möglichkeit wäre das Du dich zuerst mal mit dem Thema beschäftigst.
    Ein guter Anfang ist die RFC für SMTP, die das Protokoll erklärt : http://www.faqs.org/rfcs/rfc2821.html

    Schalte aber bitte den Mailer solange ab, bis Du weißt was Du da tust.

    mfG,

    Rygar
     
  4. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Guggst du hier -> Link
    und guggst du hier -> Link zu spamhaus.org

    Wenn du dem ersten Link folgst, dann wird dir dort eine Beschreibung angeboten, die dich über den Grund der Aufnahme in die Blacklist informiert.

    Überprüfe deine Config.
    Du solltest dir auch einen Kopf über eine Authentifizierung vor dem Senden machen.

    Und was das HowTo angeht, nach dem du deinen Server eingerichtet hast ... hier ein Zitat:
    Noch deutlicher geht es nicht.
     
  5. #4 GuN$LiNGER, 13.02.2007
    GuN$LiNGER

    GuN$LiNGER Grünschnabel

    Dabei seit:
    12.02.2007
    Beiträge:
    4
    Zustimmungen:
    0
    ok der mailserver sollte erstmal deaktiviert sein bzw deinstalliert... (bin ich so jetzt erstmal sicher?)


    werde mich dann mit meinem fachmann dafür in verbindung sezten..
    danke für eure schnelle hilfe!!
     
  6. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

agriff auf mailserver -> spam

Die Seite wird geladen...

agriff auf mailserver -> spam - Ähnliche Themen

  1. Mailserver ohne fixe IP-Adresse

    Mailserver ohne fixe IP-Adresse: Ich habe viele Orten gelesen das man für einen Mailserver eine fixe IP-Adresse braucht. Wäre es nicht auch möglich mit DynDNS? test.com. IN...
  2. Kleiner Mailserver unter Debian Lenny

    Kleiner Mailserver unter Debian Lenny: Hallo Leute, ich wollte mir einen kleinen Email Server für 4 - 5 Personen aufbauen. Okay, Email-Server ist (wenn ich das richtig gelesen habe) das...
  3. mdadm.conf program (Mailserver)

    mdadm.conf program (Mailserver): Moin, da ich keine Testmail von meinem Softwareraid bekomme, denke ich ich brauche einen Mailserver der diese verschickt. Dieser wird dann wohl...
  4. Mailserver soll über mehrere IP's senden

    Mailserver soll über mehrere IP's senden: Moin, ich habe einen Rootserver (Lenny), auf den mehere IP's zeigen. Ich habe mir schon vor einiger Zeit einen Mailserver nach dieser Anleitung...
  5. Meine 2 Mailserver gehen nicht

    Meine 2 Mailserver gehen nicht: Hallo, ich hoffe mal ich bin der Kategorie richtig. Ich habe folgendes Problem: Courier und Postfix haben so ihre Probleme, vor einigen Tagen...