postfix Open Relay ?!?

[mephistos]

Hallo

Ich hab mich jetzt wirklich stundenlang im Inet schlau gemacht und auch dieses Forum durchforstet. Habe zwar einige Hinweise gefunden, jedoch leider keine Lösung?!? So langsam verzweifel ich.

System:
1&1 Root Server
Confixx 3
Postfix

Seit gestern wird mein Server wohl als Open Relay missbraucht (anhand des Traffics und der Logs zu erkennen).

Wobei Postfix doch eigentlich standardmässig (was ich auch nicht geändert habe) eben KEIN open relay ist.

Ich hab einen Test bei abuse.com gemacht, der meinen Server als Open Relay identifiziert hat. Ã?ber telnet hab ich jedoch immer "relay denied" bekommen.

Hier mal meine main.cfg

Code: Select all

#

queue_directory = /var/spool/postfix

command_directory = /usr/sbin

daemon_directory = /usr/lib/postfix


mail_owner = postfix

default_privs = autoresponder

inet_interfaces = all


debug_peer_level = 2


debugger_command =
	 PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail

newaliases_path = /usr/bin/newaliases

mailq_path = /usr/bin/mailq


setgid_group = maildrop


manpage_directory = /usr/share/man


sample_directory = /usr/share/doc/packages/postfix/samples


readme_directory = /usr/share/doc/packages/postfix/README_FILES
mail_spool_directory = /var/mail
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = xxxxxxx.pureserver.info
program_directory = /usr/lib/postfix
masquerade_domains = 
mydestination = $myhostname, localhost.$mydomain
defer_transports = 
disable_dns_lookups = no
relayhost = 
content_filter = 
mailbox_command = /usr/bin/procmail
mailbox_transport = 
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = 
smtpd_helo_required = no
smtpd_helo_restrictions = 
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtp_use_tls = no
alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 10240000

#SMTPD Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/ssl/certs/xxxxxxx.pureserver.info-sample-ca.crt
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

(die Kommentare hab ich, zwecks Ã?bersichtlichkeit, mal zum großen Teil rausgelöscht)

Dann hier noch ein Teil aus der messages Datei

Code: Select all

PAM-warn[559]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[web1p1] ruser=[<unknown>] rhost=[<unknown>] 

Und last but not least noch ein Auszug aus meiner mail Datei

Code: Select all

Aug 25 16:58:37 xxxxxxx postfix/smtpd[21327]: connect from loncoche.terra.com.br[200.154.55.229]
Aug 25 16:58:38 xxxxxxx postfix/smtpd[21327]: 55D92C0017F: client=loncoche.terra.com.br[200.154.55.229]
Aug 25 16:58:38 xxxxxxx postfix/cleanup[21329]: 55D92C0017F: message-id=<01C48A8F.305EEBA0.dietmar@ahkpoa.com.br>
Aug 25 16:58:40 xxxxxxx postfix/qmgr[20758]: 55D92C0017F: from=<dietmar@ahkpoa.com.br>, size=146755, nrcpt=1 (queue active)
Aug 25 16:58:40 xxxxxxx postfix/smtpd[21327]: disconnect from loncoche.terra.com.br[200.154.55.229]
Aug 25 16:58:40 xxxxxxx spamd[862]: connection from localhost.localdomain [127.0.0.1] at port 46379 
Aug 25 16:58:40 xxxxxxx spamd[21336]: processing message <01C48A8F.305EEBA0.dietmar@ahkpoa.com.br> for web1p1:104. 
Aug 25 16:58:42 xxxxxxx spamd[21336]: clean message (1.8/5.0) for web1p1:104 in 1.7 seconds, 144571 bytes. 

Ich hoffe das sind genügend Infos für Euch.

Wäre echt super, wenn ihr mir da helfen könnt, weil ich wirklich nicht mehr weiter weiß.

Vielen Dank schon mal
Chris

[dodolin]

Kann es sein, dass dein User web1p1 per SMTP-AUTH Mails mit leerem oder sehr trivialem Passwort verschicken kann? Wenn du mal die IP deines Servers verraten würdest, könnte ich das auch relativ schnell testen - gerne auch per PN.

[mephistos]

Ich nochmal

Hab immer noch keine Lösung gefunden, aber ein anonymer Test bei http://www.abuse.net/cgi-bin/relaytest liefert mir "All tests performed, no relays accepted."

Wenn ich allerdings das ganze als registrierter User teste, dann meldet er ein open relay und dann kommt die Mail auch tatsächlich bei mir an.

Ist mein Server jetzt ein open relay oder nicht ?!?

Und vor allem: wenn ja, warum??

Die IP meines Servers ist übrigens 212.227.51.13

Bitte dringend um Hilfe
Danke
Chris

[wgot]

Hallo,

ein anonymer Test bei http://www.abuse.net/cgi-bin/relaytest liefert mir "All tests performed, no relays accepted."

schön, kein Open Relay. Schließt natürlich andere Möglichkeiten (Proxy, unsichere Scripte, unsichere Paßwörter) nicht aus.

PS: der Link ist falsch, korrekt: http://www.abuse.net/relay.html

Wenn ich allerdings das ganze als registrierter User teste, dann meldet er ein open relay und dann kommt die Mail auch tatsächlich bei mir an.

Hast Du eine Emailadresse angegeben, für die dein Server zuständig ist? Du mußt eine Emailadresse angeben für die Dein Server nicht zuständig ist, also z.B. irgendein Freemailer oder den angebotenen Forwarder von abuse.org nehmen.

Gruß, Wolfgang

[mephistos]

Hallo

Vielen Dank für die Info. Das mit der E-Mail war tatsächlich mein Fehler. Das war wirklich dumm von mir, genau so wie den falschen Link zu posten ;-) Sorry.

Jedenfalls beruhigend, dass es kein open Relay ist. Hab jetzt mal alle Passwörter geändert (wobei die nicht wirklich unsicher waren, aber wer weiß). Mal schauen, ob das was bringt.

Auf jeden Falll nochmal Danke für die Antwort.
Chris

[andreass]

Hallo Community!

Wir haben das gleiche Problem auf unserem neuen 1&1 XXL (confixx 3, postfix)
Im auslieferungszustand ist Postfix auf auth-smtp konfiguriert.

der Relay Test von abuse-net war nicht erfolgreich (Anonymous).

Für ein Projekt leiten wir den Mail Traffic an ein eigenes Security Gateway weiter (MX) - dort läuft unter anderem ein W3C-SMTP Log.
Dadurch können wir erkennen, das tatsächlich Kommunikation VON unserem Rootie stattfindet:

Code: Select all

2004-09-02 02:57:52 212.227.22.48 p15167281.pureserver.info -
+p15167281.pureserver.info 199 30
2004-09-02 02:57:52 212.227.22.48 p15167281.pureserver.info -
+FROM:<oharam@asianavenue.com> 47 44
2004-09-02 02:57:52 212.227.22.48 p15167281.pureserver.info -
+TO:<support@net-concept.net> 36 33
2004-09-02 02:57:52 212.227.22.48 p15167281.pureserver.info -
+<ZPQFJFIWVCSKPKCEPKFCL@yahoo.com> 117 2945
2004-09-02 02:57:52 212.227.22.48 p15167281.pureserver.info -
p15167281.pureserver.info 69 4

Code: Select all

2004-09-02 07:59:16 212.227.22.48 p15167281.pureserver.info -
+p15167281.pureserver.info 199 30
2004-09-02 07:59:16 212.227.22.48 p15167281.pureserver.info -
+FROM:<timjoyce@dbzmail.com> 45 42
2004-09-02 07:59:16 212.227.22.48 p15167281.pureserver.info -
+TO:<support@net-concept.net> 36 33
2004-09-02 07:59:16 212.227.22.48 p15167281.pureserver.info -
+<OKBDARSERDFKPYJEJZBWXQV@mail.com> 118 1691
2004-09-02 07:59:16 212.227.22.48 p15167281.pureserver.info -
p15167281.pureserver.info 69 4

Wir möchten jetzt
a) herausfinden, ob diese Mails tatsächlich auch an div. andere Emfpänger rausgegangen sind
b) verhindern, das dies weiterhin passiert und wir Traffic etc. für Spammer verschwenden...

Vielleicht habt ihr noch Tipps zur weiteren Analyse und Behebung des Problems...?

@Mephistos: hast Du die Probleme inzwischen nicht mehr!?

Gruß
Andreas