PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix - log datei richtig lesen?



joharrer
14.02.2006, 21:30
Hallo Unixer,

Ich hab eine Frage an die Securityabteilung:

Ich hab auf meinem Mailserver (Suse 9.2 Postfix) am 12.2.2006 von einer Bekannten ein Mail mit Virus bekommen.


Dank Bitdefender hat der aber keinen Schaden angerichtet.

< SNIP
Feb 12 16:58:01 media postfix/smtpd[24470]: connect from M1305P004.adsl.highway.telekom.at[80.121.35.4]
Feb 12 16:58:01 media postfix/smtpd[24470]: 3E52022260: client=M1305P004.adsl.highway.telekom.at[80.121.35.4]
Feb 12 16:58:05 media postfix/cleanup[24473]: 3E52022260: message-id=<ftdfrwhsglumvdnmiwy@aimtec.at>
Feb 12 16:58:06 media postfix/qmgr[8590]: 3E52022260: from=<michaela.schaller@bmbwk.gv.at>, size=29103, nrcpt=2 (queue active)
Feb 12 16:58:06 media postfix/smtpd[24497]: connect from localhost[127.0.0.1]
Feb 12 16:58:06 media postfix/smtpd[24470]: disconnect from M1305P004.adsl.highway.telekom.at[80.121.35.4]
Feb 12 16:58:06 media postfix/smtpd[24497]: 2C32D22261: client=localhost[127.0.0.1]
SNIP >

Mein Postfix ist so configuriert, das er im Falle einer Virenerkennung die Datei in die Quarantene steckt, und den Sender und Postmaster eine Mail schickt.

Hat er auch getan. Dann hab ich von der Bekannten ein Mail bekommen, sie habe am 12.2 keine mails verschickt.....

Hab ich da ein Prob???

Ich hab meinen Server auf open-relay getestet.
-----

http://www.abuse.net/relay.html

Relay test 17
>>> RSET
<<< 250 Ok
>>> MAIL FROM:<spamtest@www.aimtec.at>
<<< 250 Ok
>>> RCPT TO:<abuse.net!securitytest@[195.202.154.116]>
<<< 554 <abuse.net!securitytest@[195.202.154.116]>: Relay access denied

Relay test result
All tests performed, no relays accepted.

-------------

Ich glaube aber auch meiner Bekannten. :think:

Kann mann den Absender U N D die Ip addresse im Mailheader Fälschen??

Vielleicht hat wer eine Idee :D

L.G Jörg

rikola
14.02.2006, 23:33
Es gibt Viren, die emails verschicken, ohne den Absender davon zu benachrichtigen. Des weiteren gibt es Viren, die falsche Adressen benutzen. Und die IP-Adresse von einem Rechner herauszubekommen, ist ja kein grosses Problem. Und den Header eines Paketes so zu modifizieren, dass die neue IP-Adresse drinsteht, ist auch ein beliebtes Spiel (vor einiger Zeit durfte man die Homepage des Weissen Hauses von Unistat nur von amerikanischen Adressen aus anschauen. Um sie doch zu sehen, konnte man ueber so einen Rechner gehen, der die Herkunft verfaelscht).

joharrer
15.02.2006, 08:19
Es gibt Viren, die emails verschicken, ohne den Absender davon zu benachrichtigen.
Wäre ja doof, wenn ein Virensender den " Absender" benachrichtigt.


Des weiteren gibt es Viren, die falsche Adressen benutzen. Und die IP-Adresse von einem Rechner herauszubekommen, ist ja kein grosses Problem.

Ip-Adresse Rauszufinden, Ok...
Aber Den Namen des Absenders michaela.schaller@...
+ Die RICHTIGE IP (Hostname wo michaele.schaller arbeitet
+ Den RICHTIGEN EMPFÄNGER Gabriele.harrer@.... ??

Wenn ich irgendeine "gefälschte" MAil bekomme, dann meistens auf Postfix@domain oder webmaster@domain.

Ich will nur sicher gehen, das ich da kein loch in meiner config habe. :think:

L.G Jörg