agriff auf mailserver -> spam

[GuN$LiNGER]

hallo,

mein rootserver scheint ziel diverser angriffe geworden zu sein...

betroffen ist der mailserver, über den versucht wird spam zu versenden...


aufegfallen in den logs ist mir einiges. hier ein paar auszüge:


/etc/log/exim4/mainlog:

2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 06:56:32 H=218-161-9-202.dynamic.hinet.net (cabletimeusa.com) [218.161.9.202] F=<bedwyriren@cabletimeusa.com> rejected RCPT <bigtime.org@>: DNSBL listed at dynablock.njabl.org
2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 11:58:58 H=(mail.ybkendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 15:13:10 H=([192.168.0.102]) [80.71.144.222] F=<magic@> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 17:31:39 no host name found for IP address 219.138.0.109
2007-02-12 17:31:47 H=(mail.zeqe.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org

anmerkung: die domain gehört mir und wurde früher, als sie auf einen anderen server gezeigt hat bereits erfolgreich zum versenden von spam "gekapert"...

leider weiß ich nicht genau wie ich am besten gegen so etwas vorgehen sollte...
mir ist außerdem aufgefallen, dass mein server ziemlich laggt, was evtl ja auch dadurch erklärt werden könnte?


im paniclog befinden sich zahllose einträge nach folgendem muster:

2007-02-12 22:15:01 1HGiVp-0005rw-9y User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:15:01 1HGiVp-0005s1-Dg User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:30:01 1HGikL-0005sH-Ew User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:30:06 1HGikL-0005sM-K8 User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:45:10 1HGiyw-0005tX-M5 User 0 set for local_delivery transport is on the never_users list
2007-02-12 22:45:10 1HGiz0-0005te-4f User 0 set for local_delivery transport is on the never_users list

rejectlog:

2007-02-12 06:56:32 H=218-161-9-202.dynamic.hinet.net (cabletimeusa.com) [218.161.9.202] F=<bedwyriren@cabletimeusa.com> rejected RCPT <bigtime.org@>: DNSBL listed at dynablock.njabl.org
2007-02-12 08:56:08 H=(mail.yjhb.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 10:07:39 H=) [80.71.144.222] F=<zdtito@dynamac.com> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 10:07:42 H=() [80.71.144.222] F=<edo.numic@violeta.ba> rejected RCPT <008431@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 10:07:45 H=() [80.71.144.222] F=<iwoflvshlmfmnsegkst@nuic.ba> rejected RCPT <2qcmm001893@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 11:33:11 H=(mail.xphendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 11:49:37 H=smtp108.mail.mud.yahoo.com [209.191.85.218] F=<hdbiiwjtjww@yahoo.com.hk> rejected RCPT <tico@>: relay not permitted
2007-02-12 11:58:58 H=(mail.ybkendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 12:12:03 H=(mail.bkjc.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 12:16:26 H=(mail.domendaa.com) [219.134.2.96] F=<market001_isl@yahoo.com.cn> rejected RCPT <bonus.lottery.promotion.prize.awards@>: relay not permitted
2007-02-12 13:56:55 H=(mail.dded.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 15:13:10 H=([192.168.0.102]) [80.71.144.222] F=<magic@> rejected RCPT <magic@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 15:43:52 H=(mail.nwwd.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 17:23:41 H=() [80.71.144.222] F=<18710391825.20061024111350@nuic.ba> rejected RCPT <008431@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 17:31:47 H=(mail.zeqe.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 19:13:58 H=(mail.dnhf.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 20:54:03 H=(mail.ljag.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 21:22:33 H=c-68-45-204-54.hsd1.nj.comcast.net (secretcult) [68.45.204.54] F=<mugureject@yahoo.ca> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at dynablock.njabl.org
2007-02-12 22:24:21 H=(mail.dirg.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org
2007-02-12 23:44:18 H=(mail.chmh.com) [219.138.0.109] F=<monsterhotel@monsterhotel.com> rejected RCPT <bonus.lottery.promotion.prize.awards@>: DNSBL listed at sbl-xbl.spamhaus.org

--> anscheinend funktioniert spamassassin, jedoch bin cih mir eben nciht so ganz sicher...

p.s. habe im meinen mailserver nach diesme howto installiert:
http://debianhowto.de/doku.php/de:howtos:sarge:exim4_vexim2_courier_mailman



wenn mir jemand jetzt vorwerfen möchte, dass ich 2 beiträge zu einem ähnlichen thema geschrieben habe, dann verweise ich hiermit auf meinen anderen beitrag und frage mich antürlich auch, was die beiden problem miteinander zu tun haben könnten..: http://www.unixboard.de/vb3/showthread.php?t=27137




Ich freue mich über jede hilfreiche antwort!!!!


mfg,
Joel

 

[rygar]

Eigentlich mag ich es ja garnicht sowas zu sagen.
In diesem Fall mach ich aber mal ne Ausnahme : Bitte besorg Dir jemanden der das macht oder nimm nen Managed-Server.

Solche Mailer wie deiner bereiten einigen Admins ganz schöne Probleme.
Spam kommt leider wie bei Dir, meistens durch eine fehlerhafte Konfiguration zustande.

Wenn Dein System für andere Spam relayed könnte übrigens auch jemand auf die Idee kommen, Dich für den Schaden haftbar zu machen.

Die andere Möglichkeit wäre das Du dich zuerst mal mit dem Thema beschäftigst.
Ein guter Anfang ist die RFC für SMTP, die das Protokoll erklärt : http://www.faqs.org/rfcs/rfc2821.html

Schalte aber bitte den Mailer solange ab, bis Du weißt was Du da tust.

mfG,

Rygar

 

[grey]

Guggst du hier -> Link
und guggst du hier -> Link zu spamhaus.org

Wenn du dem ersten Link folgst, dann wird dir dort eine Beschreibung angeboten, die dich über den Grund der Aufnahme in die Blacklist informiert.

Überprüfe deine Config.
Du solltest dir auch einen Kopf über eine Authentifizierung vor dem Senden machen.

Und was das HowTo angeht, nach dem du deinen Server eingerichtet hast ... hier ein Zitat:

WARNUNG!! DIESES HOWTO IST FEHLERHAFT! SIEHE GOOGLE LNKS ETC!! NICHT BENUTZEN!!!

Noch deutlicher geht es nicht.

 

[GuN$LiNGER]

ok der mailserver sollte erstmal deaktiviert sein bzw deinstalliert... (bin ich so jetzt erstmal sicher?)


werde mich dann mit meinem fachmann dafür in verbindung sezten..
danke für eure schnelle hilfe!!