Mail Bombe ?

[demo]

hilfe habe rootserver linux 8.1 und postfix, sobald ich den mailserver starte füllt sich mein root und web4p1 mailbox mit 100 te mails in minute

hier mal auszug

http://myport.bei.t-online.de/root.txt

http://myport.bei.t-online.de/web4p1.txt

was kann ich dagegen machen ?

[Anonymous]

Du solltest deinen Server schnellstens Dicht machen. Scheinbar hast du deinen Server schon gestoppt, von daher konnte ich das jetzt nicht kontrollieren, aber den von dir veröffentlichten Daten entnehme ich die Indizien, dass du ein offenes Relay betreibst oder betrieben hast und irgendein Spammer das ausgenutzt hat.

[demo]

ja ich habe den mailserver angehalten, und wenn ich offenes Relay habe wie deaktiviere ich das ?

[Anonymous]

wenn ich offenes Relay habe wie deaktiviere ich das?

Indem du SMTP_AUTH (zur Not auch SMTP after POP, halte ich aber wenig von) aktivierst, und den Versand von Mails nach außen verbietest, wenn nicht authentifiziert wurde.
Wie das geht, steht in der Doku, ansonsten veröffentliche mal deine main.cf, dann kann dir hier auch geholfen werden.

[magnum2]

Was hast du denn in der main.cf o.ä. alles verändert. Von Haus aus relayed Postfix eingentlich nicht...

[demo]

das hört ja gar nicht auf, hier ist mein main.cf http://myport.bei.t-online.de/main.cf.txt

bringt das was wenn ich Postfix frisch Installiere ?

[adjustman]

also, eins sehe ich auf den ersten Blick. Das domain.com hat da nix zu suchen. Ich stell Dir gleich mal ne korrigierte main.cf rein.

Code: Select all

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
myhostname = p150905xx.pureserver.de
mydomain = $myhostname
myorigin = $myhostname
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
mynetworks_style = subnet
#mynetworks_style = host
mynetworks = 127.0.0.0/8
relay_domains = $mydestination
local_recipient_maps = $alias_maps unix:passwd.byname
#in_flow_delay = 0
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
recipient_delimiter = +
#home_mailbox = Mailbox
#home_mailbox = Maildir/
#mail_spool_directory = /var/spool/mail
mail_spool_directory = /var/mail
mailbox_command = procmail -a "$EXTENSION"
smtpd_banner = $myhostname ESMTP $mail_name
#debug_peer_level = 2
#debugger_command =
	 PATH=/usr/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
#canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
#relocated_maps = hash:/etc/postfix/relocated
#transport_maps = hash:/etc/postfix/transport
#sender_canonical_maps = hash:/etc/postfix/sender_canonical
#masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
inet_interfaces = all
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = 
strict_rfc821_envelopes = yes
#smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination

#SMTPD Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Nun weiss ich natürlich nicht, ob Du TLS und SASL überhaupt hast. :roll:

[adjustman]

das hört ja gar nicht auf, hier ist mein main.cf http://myport.bei.t-online.de/main.cf.txt

bringt das was wenn ich Postfix frisch Installiere ?

Nein, daran liegt es nicht.

[demo]

@adjustMan mit dein main.cf geht auch nicht,was mache ich jetzt :roll:

[adjustman]

da ist so richtig was versaut. So einfach kann man da nicht raten. Sorry.

[magnum2]

Hast du irgendwas in der access stehen ? (ausser der Beschreibung :lol: )

Da fällt mir nochwas einm hast du im Indianer mod_proxy am laufen ?
Ich hab da neulich was gelesen, mal sehen ob ichs noch finde.....

[demo]

hmmm, habe jetzt mal frisch reinstallieren lassen, und wenn ich ein bestimmte domain mit confixx anlege fängt es wider an

http://myport.bei.t-online.de/root1.txt

hier var/log/warn und messages

http://myport.bei.t-online.de/warn.txt

http://myport.bei.t-online.de/messages.txt

[Matthias Diehl]

Es sieht so aus als hättest Du einen Formmailer laufen oder ein Forum, durch das man Mails versenden kann. Einer der Benutzer versendet dann tausende von Mails.
Das ist evtl. kein offenes Relay sondern Missbrauch des Mailers/Forums.

[demo]

nein ich habe noch gar nichts installiert es ist in orginal reinstalliereungs zustand hab nichts installiert

[magnum2]

hmmm, habe jetzt mal frisch reinstallieren lassen

Aaa Postfix oder den ganzen Server....?

EDIT: Ooops zuspät

[demo]

habe Server komplett reinstallieren lassen ,aber es hilft auch nicht :roll:

[magnum2]

Hast du sowas ähnliches im apachelog :

xx.xx.xx.xx - - [24/Jun/2003:12:33:27 +0200] "POST http://xx.xx.xx.xx:25/ HTTP/1.1" 200 208

Quelle: Usenet

wobei die 2. xxe deine IP sein müsste.

Denn postfix kanns doch nicht sein - wenn die nicht bei der inst schon einen fehler drin hätten.

P.S. der 2. Link geht nix

[magnum2]

Ich glaube ja nicht das es postfix is, aber geh doch mal auf

http://www.abuse.net/relay.html

lass dir ein passwort zuschicken und lass deren tool mal testen. Vielleicht kriegen wir ja so was raus....

[demo]

ok das mache ich mal, habe wohl keine andere möglichkeit

danke allen.

[demo]

ergebnis http://myport.bei.t-online.de/Mail%20re ... esting.htm
weis nicht mehr weiter

[gamecrash]

Na, ein offenes Relay hast Du jedenfalls nicht...

mod_proxy ist im Standard-Image von Puretec auch ned an...

Also ich würd fast drauf tippen, dass da einer Deine Passwörter kennt, änder die mal alle und schau ob sich was ändert.

[magnum2]

Was mit grade auffällt. Du hast noch nen backupmx drin (kundenserver.de) ?
Dann könnte das Problem schon lange weg sein, nur wir kriegen das nicht mit, die die angelaufenen (bounce)Mails ja alle noch auf deinem Backup liegen und der sie natürlich brav wie er ist weiterhin an dich ausliefert (wie das auch seine Aufgabe ist :) )

[demo]

habe nun alle PW's geändert und das problem ist nicht mehr da, zumindest seit 1 stunde kommen keine mails mehr. Habe keine Backup bei kundenserver.de.

Jetzt glaube ich da hat doch ein Schlaumeier meine PW Geklaut :)

[magnum2]

Kein backup mx ?? 8O Das wundert mich

Received: from moutng.kundenserver.de (moutng.kundenserver.de [212.227.126.186])
by p15090577.pureserver.de (Postfix) with ESMTP id C191F398F1B
for <wwwrun@p15090577.pureserver.de>; Fri, 18 Jul 2003 18:18:51 +0200 (CEST)
Received: from [212.227.126.215] (helo=mxng19.kundenserver.de)
by moutng.kundenserver.de with esmtp (Exim 3.35 #1)
id 19dVmc-0002wA-00
for wwwrun@p15090577.pureserver.de; Fri, 18 Jul 2003 16:00:26 +0200

Wieso geht dann die Geschichte (and dich bzw. web4p1) über 2 MXe bei kundenserver.de (was galube ich schlund is) :?:

Oder hab ich jetzt schon wieder zuviele configs gelesen.... :-D

[demo]

hast schon richtig gelesen ,aber bestellt habe ich kein Backup bei dene
keine ahnung wie das pasiert ist.

Also Danke Für Eure Postings :-D