Postfix sendet Spam - wie vorgehen?

Dieses Thema im Forum "Security Talk" wurde erstellt von Raffnix, 11.04.2007.

  1. #1 Raffnix, 11.04.2007
    Raffnix

    Raffnix Grünschnabel

    Dabei seit:
    11.04.2007
    Beiträge:
    4
    Zustimmungen:
    0
    Hallo,

    seit heute versendet mein Mailserver offenbar Spam. Wie kann ich die Sicherheitslücke am besten eingrenzen bzw schließen? Ein Open-Relay-Test war negativ.

    Im Log steht gehäuft sowas:

    Code:
    Apr 11 19:06:48 server postfix/smtpd[26762]: connect from mail.gateway.be[212.113.81.222]
    Apr 11 19:06:48 server postfix/smtpd[26762]: C14CC2071E1: client=mail.gateway.be[212.113.81.222]
    Apr 11 19:06:48 server postfix/cleanup[27322]: C14CC2071E1: message-id=<Mw8lODASt000557dd@mail.gateway.be>
    Apr 11 19:06:48 server postfix/qmgr[27223]: C14CC2071E1: from=<>, size=7735, nrcpt=1 (queue active)
    Apr 11 19:06:48 server postfix/smtpd[26762]: disconnect from mail.gateway.be[212.113.81.222]
    ...
    Apr 11 19:06:53 server postfix/local[27356]: C14CC2071E1: to=<web2p1@server.xxxxxxxxxx.de>, orig_to=<macyyyyyyyyyydoc@yyyyyyyyyy.de>, relay=local, delay=5, status=sent (delivered to command: /usr/bin/procmail -f-)
    Apr 11 19:06:53 server postfix/qmgr[27223]: C14CC2071E1: removed
    
    
    Wobei "macyyyyyyyyyydoc@yyyyyyyyyy.de" der (fiktive) Absender auf meinem Server ist.

    Hat vielleicht jemand einen Tipp für mich? Wäre sehr nett.
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 grey, 11.04.2007
    Zuletzt bearbeitet: 11.04.2007
    grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Wenn ich dieses (zu) kurze Stückchen Log richtig interpretiere, dann bekommst du den SPAM.
    Die Frage, die sich mir allerdings stellt, war diese besagte Mail etwa eine Error-MSG von einem anderen Mail-Server oder war sie die SPAM-Mail.

    Code:
    Apr 11 19:06:53 server postfix/local[27356]: C14CC2071E1: to=<web2p1@server.xxxxxxxxxx.de>, orig_to=<macyyyyyyyyyydoc@yyyyyyyyyy.de>, relay=local, delay=5, status=sent (delivered to command: /usr/bin/procmail -f-)
    Diese Zeile sagt eigentlich aus, daß die Mail an den lokalen Verteiler (procmail) weitergegeben wurde. Sie hat deinen Server nicht verlassen.

    Weitere Infos findest du bei der Lektüre von man procmail.

    Außerdem wäre es sinnvoll, wenn du dich mal genauer mit postfix und seinen Logs befassen würdest.
     
  4. #3 Raffnix, 11.04.2007
    Raffnix

    Raffnix Grünschnabel

    Dabei seit:
    11.04.2007
    Beiträge:
    4
    Zustimmungen:
    0
    Na ja, ich hatte - um es übersichtlicher zu machen, alles zusammenfasst, was zu "C14CC2071E1" gehört. Du hast sicher recht, dass ich zu wenig Ahnung von Postfix-Logs habe. Deswegen versuche ich ja auch, hier Hilfe zu bekommen.
    Ich hatte zunächst eh an Spoofing gedacht, aber ein HELO von meiner IP in den boucenden Spams hat mich etwas geschockt.

    Wenn du mir sagst, wo und wonach ich suchen muss, um ausgehende Spam-Mails aufzuspüren, wäre mir auch schon geholfen.
     
  5. Tuxi70

    Tuxi70 Jungspund

    Dabei seit:
    07.04.2007
    Beiträge:
    14
    Zustimmungen:
    0
    Ort:
    Hannover
    Es wäre auch möglich, das der Bounce die eigentliche Spammail war/ist. Sowas ist hier zu Hauf aufgeschlagen. Ich habe dem Ganzen den Gar aus gemacht, in dem ich mein Qmail abgewöhnt habe, die komplette Mail zurück zu schicken. Man bekommt nun nur noch den Fehlertext als Bounce und nicht die komplette Mail.

    Bye Michael
     
  6. #5 nikster77, 11.04.2007
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Hmm, das Stueck Log das du da zeigst zeigt eine eingehende Mail.

    Du koenntest in /etc/postfix/main.cf die always_bcc Option setzen wenn du wirklich sicher gehen willst, das schickt eine Kopie aller Mails an eine bestimmte Adresse, das kann man glaube ich auch nach Ein- und Ausgang trennen.
     
  7. #6 Raffnix, 11.04.2007
    Zuletzt bearbeitet: 11.04.2007
    Raffnix

    Raffnix Grünschnabel

    Dabei seit:
    11.04.2007
    Beiträge:
    4
    Zustimmungen:
    0
    Also die Situation ist folgende:

    Ich bekomme seit heute früh pro Stunde etwa 100 Undeliverable Mails von diversen nicht existierenden Accounts und Spamfiltern anderer Server zurück, die (angeblich) von einem nicht existierenden User einer meiner Domains abgeschickt wurden.

    Zunächst habe ich angenommen, dass es sich dabei um Spoofing handelt, also dass ein Spammer einfach nur unter "meinem" Namen von einem anderen Server aus sendet. (Ist früher schon mal passiert)

    Beim Betrachten des Quelltextes der Undeliverable Mails finde ich jedoch ein HELO der IP meines Servers.

    Deshalb befürchte ich, dass die Mails tatsächlich von meinem Server gesendet wurden.

    Ich kann natürlich auch ein Brett vorm Kopf haben und poste morgen auch gerne mal den Quelltext einer solchen Undeliverable Mail, vielleicht irre ich mich ja - aber wichtig wäre vor allem, dass ich eventuell ein paar Tipps bekomme, wie ich das schnell verifiziere und ggf abdichte.

    Ich fürchte, dass es mich mehr Zeit kostet, mich in Postfix einzuarbeiten (und dabei ein Niveau zu erreichen, bei dem ich sicher sein kann, das Problem zu beheben) als den Server am Wochenende neu aufzusetzen. Aber ich dachte, ich frag vielleicht vorher, vielleicht kann das ein Postfix-Insider in drei Zeilen lösen/abklären :(
    .
    .
    .
    EDIT (autom. Beitragszusammenführung) :
    .

    Danke, das wäre schon mal eine Möglichkeit - genau sowas würde wohl schnell Sicherheit bringen. Allerdings würde ich damit wohl das Postgeheimnis von ein paar Usern des Mailservers verletzen, scheint mir :(
     
  8. grey

    grey -=[GHOST]=-

    Dabei seit:
    28.07.2006
    Beiträge:
    303
    Zustimmungen:
    0
    Mein Ansatz wäre:
    1. Mail-Server abschalten (Postfix stoppen)
    2. zurückgeschickte Header (mit deiner IP im HELO) durcharbeiten ... wann sollen diese von deinem Server verschickt worden sein?
    3. Logfiles durchsehen (Zeitrahmen hast du) und eruieren, ob diese wirklich von deinem Server kommen
      • kein Eintrag im Mail-Log -> evtl. nachschauen, ob zu diesem Zeitpunkt ein User online war
      • kein User online -> welche Zugriffe auf den Web-Server passen in den Zeitraum (Form-Mailer)
      • nix gefunden -> alles nochmal überprüfen (man kann ja mal was übersehen)
      • Logs sind sauber ... ok
    4. wenn du dir sicher bist, daß die Mails nicht von deinem Server stammen -> Postfix wieder starten (evtl. vorher noch eine Authentifizierung einbauen, so nicht vorhanden) und die nächste Zeit die Logs öfter kontrollieren
    Prüfe deinen Server auch auf evtl. vorhandene rootkits. Kann ja sein, daß dein Problem aus der Richtung kommt und deine Logs manipuliert sind. Wenn das der Fall ist, wirst du um ein "neu aufsetzen" nicht herum kommen. Allerdings solltest du dir dann erstmal Gedanken über die Absicherung des Servers machen.
     
  9. rikola

    rikola Foren Gott

    Dabei seit:
    23.08.2005
    Beiträge:
    2.133
    Zustimmungen:
    0
    Wenn Du nicht bereit bist, den postfix-Server abzuschalten, solltest Du Dich aber unbedingt in Postfix einarbeiten. Wenn Dein Server eine Spam-Schleuder wird, koenntest Du Probleme bekommen.

    Wie kommt es, dass jemand ueber Deinen Rechner Spam verschicken kann? Erlaubst Du Zugang zum smtpd ohne Authentifizierung? Das ist wohl keine gute Idee, schaetze ich. Oder hat jemand anderes physischen Zugang zu dem Rechner? Auch das solltest Du pruefen!
     
  10. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  11. #9 nikster77, 12.04.2007
    nikster77

    nikster77 Routinier

    Dabei seit:
    15.03.2004
    Beiträge:
    307
    Zustimmungen:
    0
    Naja, das heisst ja nix.
    Poste mal den kompletten header von so einer Mail.

    Nicht unbedingt, du musst ja nicht in die Mails reinschauen wenn es sich dabei nicht um die gesagten Bounces handelt, was nicht deinen Zwecken dient einfach wegwerfen.
    Zum Schutz der Infrastruktur kann man das schon mal machen.

    Prinzipiell gilt was grey sagt (ausser Server abschalten und so ;)).
    Such dir die Message ID aus einer der Mails und schau in den Logs ob sie von deinem Server kommt.

    Ich glaube allerdings (nach deiner Beschreibung) das es sich um ein ganz normales Problem mit Bounces handelt die bekommst weil irgendein Bot/Trojaner Mails mit eurer Adresse verschickt.
     
  12. #10 Raffnix, 12.04.2007
    Zuletzt bearbeitet: 12.04.2007
    Raffnix

    Raffnix Grünschnabel

    Dabei seit:
    11.04.2007
    Beiträge:
    4
    Zustimmungen:
    0
    Danke für die Hinweise, ich werde mich sofort draufstürzen.

    Edit: im mail.log finde ich per grep schon mal kein from=<mac***doc@***.org>
    Der Name kommt eigentlich nur - wie im ersten Post beschrieben - in Verbindung mit orig_to=<mac***doc@***.org> vor - also wohl nur als interne Weiterleitung



    Hier schon mal zwei Mail-Header. Kann sein, dass ich wirklich blind/paranoid war, und meine IP durch einen SPF-Check in den Header gekommen ist. Der zweite Header ist allerdings doch etwas beuunruhigend.

    (********* = meine Domain, xx.xx.xx.xx = meine IP)

    Code:
    This is an automatically generated Delivery Status Notification
    
    THIS IS A WARNING MESSAGE ONLY.
    
    YOU DO NOT NEED TO RESEND YOUR MESSAGE.
    
    Delivery to the following recipient has been delayed:
    
         dasher.postmaster@gmail.com
    
    Message will be retried for 2 more day(s)
    
       ----- Message header follows -----
    
    Received: by 10.90.31.19 with SMTP id e19mr150168age.1176286925059;
            Wed, 11 Apr 2007 03:22:05 -0700 (PDT)
    Return-Path: <mac*********doc@*********.org>
    Received: from wx-out-0506.google.com (wx-out-0506.google.com [66.249.82.233])
            by mx.google.com with ESMTP id 39si12506260wrl.2007.04.11.03.22.04;
            Wed, 11 Apr 2007 03:22:05 -0700 (PDT)
    Received-SPF: neutral (google.com: 66.249.82.233 is neither permitted nor denied by best guess record for domain of mac*********doc@*********.org)
    Received: by wx-out-0506.google.com with SMTP id s11so122200wxc
            for <dasher.postmaster@gmail.com>; Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
    Received: by 10.70.50.18 with SMTP id x18mr870895wxx.1176286924824;
            Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
    Received: by 10.70.50.18 with SMTP id x18mr870894wxx.1176286924811;
            Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
    Return-Path: <mac*********doc@*********.org>
    Received: from czajkows-kb0a2f.chello.pl (chello083144071120.chello.pl [83.144.71.120])
            by mx.google.com with ESMTP id h13si559699wxd.2007.04.11.03.19.17;
            Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
    Received-SPF: neutral (google.com: 83.144.71.120 is neither permitted nor denied by best guess record for domain of mac*********doc@*********.org)
    Return-Path: <mac*********doc@*********.org>
    [B]Received: from xx.xx.xx.xx (HELO *********.org)[/B]
         by burlesonalumni.com with esmtp (X'/*-(,V'*+ 6-/NJ;)
         id 8;;;G8-GVJ.;<-Q8
         for webmaster@burlesonalumni.com; Thu, 19 Apr 2007 10:22:24 -0100
    Date:	Thu, 19 Apr 2007 10:22:24 -0100
    From:	"Carolyn Maxwell" <mac*********doc@*********.org>
    X-Mailer: The Bat! (v2.00.6) Educational
    X-Priority: 3 (Normal)
    Message-ID: <530558873.30061186700214@thhebat.net>
    To: webmaster@burlesonalumni.com
    Subject: Doctors and Celebrities endorse Anatrim
    MIME-Version: 1.0
    Content-Type: multipart/alternative;
      boundary="----------7109DA371096EC"
    X-Spam: Not detected
    
    Code:
    [B]The original message was received at Thu, 12 Apr 2007 06:56:39 -0500
    from xx.xx.xx.xx[/B]
    
       ----- The following addresses had permanent fatal errors -----
    <karen@whippoorwillfarm.com>
        (expanded from: <karen@whippoorwillfarm.com>)
    
       ----- Transcript of session follows -----
    mail.local: unknown name: karen
    550 <karen@whippoorwillfarm.com>... User unknown
    
     
    
    Reporting-MTA: dns; mx1.whippoorwillfarm.com
    [B]Received-From-MTA: DNS; xx.xx.xx.xx[/B]
    Arrival-Date: Thu, 12 Apr 2007 06:56:39 -0500
    
    Final-Recipient: RFC822; <karen@whippoorwillfarm.com>
    X-Actual-Recipient: RFC822; karen@whippoorwillfarm.com
    Action: failed
    Status: 5.1.1
    Last-Attempt-Date: Thu, 12 Apr 2007 06:56:39 -0500
    
     
Thema: Postfix sendet Spam - wie vorgehen?
Besucher kamen mit folgenden Suchen
  1. zahle e-mailadresse spam postfix logs

    ,
  2. Mailserver versendet spam

Die Seite wird geladen...

Postfix sendet Spam - wie vorgehen? - Ähnliche Themen

  1. Mein Server Ubuntu 14.04.3 LTS versendet spam (postfix/dovecot)

    Mein Server Ubuntu 14.04.3 LTS versendet spam (postfix/dovecot): Mir wurde gerade von meinem Hoster mitgeteilt, daß mein Server bai abusix.org geblacklistet wurde. Wenn ich in die logs schaue, so sehe ich z.B.:...
  2. postfix sendet nur mit flush

    postfix sendet nur mit flush: Moin moin, und mal wieder muß ich mich mit einem postfix rumschlagen und bin zu doof dazu. Ich habe das forum und auch Google durchsucht und...
  3. postfix - fputs-error

    postfix - fputs-error: Ich hoffe, dass sich wer von euch mit postfix bzw. der Fehlermeldung auskennt. Ich habe nach dem Youtube-Video postfix eingerichtet: [MEDIA] Nun...
  4. postfix/dovecot/cyrus sasl: basic conf

    postfix/dovecot/cyrus sasl: basic conf: Moin! postfix/dovecot habe ich soweit, dass man Mails empfangen kann. Das war kein Problem. Ich weiß, dass es hunderte Seiten gibt, wie man...
  5. Postfix cfg, Antwort wenn abgelehnt.

    Postfix cfg, Antwort wenn abgelehnt.: Moin, ich hab in letzter Zeit feststellen dürfen das mout-xforward.web.de & mout-xforward.gmx.net immer wieder auf der spamhaus blocklist...