Postfix sendet Spam - wie vorgehen?

[Raffnix]

Hallo,

seit heute versendet mein Mailserver offenbar Spam. Wie kann ich die Sicherheitslücke am besten eingrenzen bzw schließen? Ein Open-Relay-Test war negativ.

Im Log steht gehäuft sowas:

Apr 11 19:06:48 server postfix/smtpd[26762]: connect from mail.gateway.be[212.113.81.222]
Apr 11 19:06:48 server postfix/smtpd[26762]: C14CC2071E1: client=mail.gateway.be[212.113.81.222]
Apr 11 19:06:48 server postfix/cleanup[27322]: C14CC2071E1: message-id=<Mw8lODASt000557dd@mail.gateway.be>
Apr 11 19:06:48 server postfix/qmgr[27223]: C14CC2071E1: from=<>, size=7735, nrcpt=1 (queue active)
Apr 11 19:06:48 server postfix/smtpd[26762]: disconnect from mail.gateway.be[212.113.81.222]
...
Apr 11 19:06:53 server postfix/local[27356]: C14CC2071E1: to=<web2p1@server.xxxxxxxxxx.de>, orig_to=<macyyyyyyyyyydoc@yyyyyyyyyy.de>, relay=local, delay=5, status=sent (delivered to command: /usr/bin/procmail -f-)
Apr 11 19:06:53 server postfix/qmgr[27223]: C14CC2071E1: removed

Wobei "macyyyyyyyyyydoc@yyyyyyyyyy.de" der (fiktive) Absender auf meinem Server ist.

Hat vielleicht jemand einen Tipp für mich? Wäre sehr nett.

 

[grey]

Wenn ich dieses (zu) kurze Stückchen Log richtig interpretiere, dann bekommst du den SPAM.
Die Frage, die sich mir allerdings stellt, war diese besagte Mail etwa eine Error-MSG von einem anderen Mail-Server oder war sie die SPAM-Mail.

Apr 11 19:06:53 server postfix/local[27356]: C14CC2071E1: to=<web2p1@server.xxxxxxxxxx.de>, orig_to=<macyyyyyyyyyydoc@yyyyyyyyyy.de>, relay=local, delay=5, status=sent (delivered to command: /usr/bin/procmail -f-)

Diese Zeile sagt eigentlich aus, daß die Mail an den lokalen Verteiler (procmail) weitergegeben wurde. Sie hat deinen Server nicht verlassen.

Weitere Infos findest du bei der Lektüre von man procmail.

Außerdem wäre es sinnvoll, wenn du dich mal genauer mit postfix und seinen Logs befassen würdest.

 

[Raffnix]

Na ja, ich hatte - um es übersichtlicher zu machen, alles zusammenfasst, was zu "C14CC2071E1" gehört. Du hast sicher recht, dass ich zu wenig Ahnung von Postfix-Logs habe. Deswegen versuche ich ja auch, hier Hilfe zu bekommen.
Ich hatte zunächst eh an Spoofing gedacht, aber ein HELO von meiner IP in den boucenden Spams hat mich etwas geschockt.

Wenn du mir sagst, wo und wonach ich suchen muss, um ausgehende Spam-Mails aufzuspüren, wäre mir auch schon geholfen.

 

[Tuxi70]

Es wäre auch möglich, das der Bounce die eigentliche Spammail war/ist. Sowas ist hier zu Hauf aufgeschlagen. Ich habe dem Ganzen den Gar aus gemacht, in dem ich mein Qmail abgewöhnt habe, die komplette Mail zurück zu schicken. Man bekommt nun nur noch den Fehlertext als Bounce und nicht die komplette Mail.

Bye Michael

 

[nikster77]

Hmm, das Stueck Log das du da zeigst zeigt eine eingehende Mail.

Du koenntest in /etc/postfix/main.cf die always_bcc Option setzen wenn du wirklich sicher gehen willst, das schickt eine Kopie aller Mails an eine bestimmte Adresse, das kann man glaube ich auch nach Ein- und Ausgang trennen.

 

[Raffnix]

Also die Situation ist folgende:

Ich bekomme seit heute früh pro Stunde etwa 100 Undeliverable Mails von diversen nicht existierenden Accounts und Spamfiltern anderer Server zurück, die (angeblich) von einem nicht existierenden User einer meiner Domains abgeschickt wurden.

Zunächst habe ich angenommen, dass es sich dabei um Spoofing handelt, also dass ein Spammer einfach nur unter "meinem" Namen von einem anderen Server aus sendet. (Ist früher schon mal passiert)

Beim Betrachten des Quelltextes der Undeliverable Mails finde ich jedoch ein HELO der IP meines Servers.

Deshalb befürchte ich, dass die Mails tatsächlich von meinem Server gesendet wurden.

Ich kann natürlich auch ein Brett vorm Kopf haben und poste morgen auch gerne mal den Quelltext einer solchen Undeliverable Mail, vielleicht irre ich mich ja - aber wichtig wäre vor allem, dass ich eventuell ein paar Tipps bekomme, wie ich das schnell verifiziere und ggf abdichte.

Ich fürchte, dass es mich mehr Zeit kostet, mich in Postfix einzuarbeiten (und dabei ein Niveau zu erreichen, bei dem ich sicher sein kann, das Problem zu beheben) als den Server am Wochenende neu aufzusetzen. Aber ich dachte, ich frag vielleicht vorher, vielleicht kann das ein Postfix-Insider in drei Zeilen lösen/abklären
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Hmm, das Stueck Log das du da zeigst zeigt eine eingehende Mail.

Du koenntest in /etc/postfix/main.cf die always_bcc Option setzen wenn du wirklich sicher gehen willst, das schickt eine Kopie aller Mails an eine bestimmte Adresse, das kann man glaube ich auch nach Ein- und Ausgang trennen.

Danke, das wäre schon mal eine Möglichkeit - genau sowas würde wohl schnell Sicherheit bringen. Allerdings würde ich damit wohl das Postgeheimnis von ein paar Usern des Mailservers verletzen, scheint mir

 

[grey]

Mein Ansatz wäre:

1. Mail-Server abschalten (Postfix stoppen)
2. zurückgeschickte Header (mit deiner IP im HELO) durcharbeiten ... wann sollen diese von deinem Server verschickt worden sein?
3. Logfiles durchsehen (Zeitrahmen hast du) und eruieren, ob diese wirklich von deinem Server kommen
   • kein Eintrag im Mail-Log -> evtl. nachschauen, ob zu diesem Zeitpunkt ein User online war
   • kein User online -> welche Zugriffe auf den Web-Server passen in den Zeitraum (Form-Mailer)
   • nix gefunden -> alles nochmal überprüfen (man kann ja mal was übersehen)
   • Logs sind sauber ... ok
4. wenn du dir sicher bist, daß die Mails nicht von deinem Server stammen -> Postfix wieder starten (evtl. vorher noch eine Authentifizierung einbauen, so nicht vorhanden) und die nächste Zeit die Logs öfter kontrollieren

Prüfe deinen Server auch auf evtl. vorhandene rootkits. Kann ja sein, daß dein Problem aus der Richtung kommt und deine Logs manipuliert sind. Wenn das der Fall ist, wirst du um ein "neu aufsetzen" nicht herum kommen. Allerdings solltest du dir dann erstmal Gedanken über die Absicherung des Servers machen.

 

[rikola]

Ich fürchte, dass es mich mehr Zeit kostet, mich in Postfix einzuarbeiten (und dabei ein Niveau zu erreichen, bei dem ich sicher sein kann, das Problem zu beheben) als den Server am Wochenende neu aufzusetzen. Aber ich dachte, ich frag vielleicht vorher, vielleicht kann das ein Postfix-Insider in drei Zeilen lösen/abklären

Wenn Du nicht bereit bist, den postfix-Server abzuschalten, solltest Du Dich aber unbedingt in Postfix einarbeiten. Wenn Dein Server eine Spam-Schleuder wird, koenntest Du Probleme bekommen.

Wie kommt es, dass jemand ueber Deinen Rechner Spam verschicken kann? Erlaubst Du Zugang zum smtpd ohne Authentifizierung? Das ist wohl keine gute Idee, schaetze ich. Oder hat jemand anderes physischen Zugang zu dem Rechner? Auch das solltest Du pruefen!

 

[nikster77]

Beim Betrachten des Quelltextes der Undeliverable Mails finde ich jedoch ein HELO der IP meines Servers.

Naja, das heisst ja nix.
Poste mal den kompletten header von so einer Mail.

Danke, das wäre schon mal eine Möglichkeit - genau sowas würde wohl schnell Sicherheit bringen. Allerdings würde ich damit wohl das Postgeheimnis von ein paar Usern des Mailservers verletzen, scheint mir

Nicht unbedingt, du musst ja nicht in die Mails reinschauen wenn es sich dabei nicht um die gesagten Bounces handelt, was nicht deinen Zwecken dient einfach wegwerfen.
Zum Schutz der Infrastruktur kann man das schon mal machen.

Prinzipiell gilt was grey sagt (ausser Server abschalten und so ).
Such dir die Message ID aus einer der Mails und schau in den Logs ob sie von deinem Server kommt.

Ich glaube allerdings (nach deiner Beschreibung) das es sich um ein ganz normales Problem mit Bounces handelt die bekommst weil irgendein Bot/Trojaner Mails mit eurer Adresse verschickt.

 

[Raffnix]

Danke für die Hinweise, ich werde mich sofort draufstürzen.

Edit: im mail.log finde ich per grep schon mal kein from=<mac***doc@***.org>
Der Name kommt eigentlich nur - wie im ersten Post beschrieben - in Verbindung mit orig_to=<mac***doc@***.org> vor - also wohl nur als interne Weiterleitung


Hier schon mal zwei Mail-Header. Kann sein, dass ich wirklich blind/paranoid war, und meine IP durch einen SPF-Check in den Header gekommen ist. Der zweite Header ist allerdings doch etwas beuunruhigend.

(********* = meine Domain, xx.xx.xx.xx = meine IP)

This is an automatically generated Delivery Status Notification

THIS IS A WARNING MESSAGE ONLY.

YOU DO NOT NEED TO RESEND YOUR MESSAGE.

Delivery to the following recipient has been delayed:

     dasher.postmaster@gmail.com

Message will be retried for 2 more day(s)

   ----- Message header follows -----

Received: by 10.90.31.19 with SMTP id e19mr150168age.1176286925059;
        Wed, 11 Apr 2007 03:22:05 -0700 (PDT)
Return-Path: <mac*********doc@*********.org>
Received: from wx-out-0506.google.com (wx-out-0506.google.com [66.249.82.233])
        by mx.google.com with ESMTP id 39si12506260wrl.2007.04.11.03.22.04;
        Wed, 11 Apr 2007 03:22:05 -0700 (PDT)
Received-SPF: neutral (google.com: 66.249.82.233 is neither permitted nor denied by best guess record for domain of mac*********doc@*********.org)
Received: by wx-out-0506.google.com with SMTP id s11so122200wxc
        for <dasher.postmaster@gmail.com>; Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Received: by 10.70.50.18 with SMTP id x18mr870895wxx.1176286924824;
        Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Received: by 10.70.50.18 with SMTP id x18mr870894wxx.1176286924811;
        Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Return-Path: <mac*********doc@*********.org>
Received: from czajkows-kb0a2f.chello.pl (chello083144071120.chello.pl [83.144.71.120])
        by mx.google.com with ESMTP id h13si559699wxd.2007.04.11.03.19.17;
        Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Received-SPF: neutral (google.com: 83.144.71.120 is neither permitted nor denied by best guess record for domain of mac*********doc@*********.org)
Return-Path: <mac*********doc@*********.org>
[B]Received: from xx.xx.xx.xx (HELO *********.org)[/B]
     by burlesonalumni.com with esmtp (X'/*-(,V'*+ 6-/NJ;)
     id 8;;;G8-GVJ.;<-Q8
     for webmaster@burlesonalumni.com; Thu, 19 Apr 2007 10:22:24 -0100
Date:	Thu, 19 Apr 2007 10:22:24 -0100
From:	"Carolyn Maxwell" <mac*********doc@*********.org>
X-Mailer: The Bat! (v2.00.6) Educational
X-Priority: 3 (Normal)
Message-ID: <530558873.30061186700214@thhebat.net>
To: webmaster@burlesonalumni.com
Subject: Doctors and Celebrities endorse Anatrim
MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----------7109DA371096EC"
X-Spam: Not detected

[B]The original message was received at Thu, 12 Apr 2007 06:56:39 -0500
from xx.xx.xx.xx[/B]

   ----- The following addresses had permanent fatal errors -----
<karen@whippoorwillfarm.com>
    (expanded from: <karen@whippoorwillfarm.com>)

   ----- Transcript of session follows -----
mail.local: unknown name: karen
550 <karen@whippoorwillfarm.com>... User unknown

 

Reporting-MTA: dns; mx1.whippoorwillfarm.com
[B]Received-From-MTA: DNS; xx.xx.xx.xx[/B]
Arrival-Date: Thu, 12 Apr 2007 06:56:39 -0500

Final-Recipient: RFC822; <karen@whippoorwillfarm.com>
X-Actual-Recipient: RFC822; karen@whippoorwillfarm.com
Action: failed
Status: 5.1.1
Last-Attempt-Date: Thu, 12 Apr 2007 06:56:39 -0500