Postfix sendet Spam - wie vorgehen?

[raffnix]

Hallo,

seit heute versendet mein Mailserver offenbar Spam. Wie kann ich die Sicherheitslücke am besten eingrenzen bzw schließen? Ein Open-Relay-Test war negativ.

Im Log steht gehäuft sowas:

Code: Select all

Apr 11 19:06:48 server postfix/smtpd[26762]: connect from mail.gateway.be[212.113.81.222]
Apr 11 19:06:48 server postfix/smtpd[26762]: C14CC2071E1: client=mail.gateway.be[212.113.81.222]
Apr 11 19:06:48 server postfix/cleanup[27322]: C14CC2071E1: message-id=<Mw8lODASt000557dd@mail.gateway.be>
Apr 11 19:06:48 server postfix/qmgr[27223]: C14CC2071E1: from=<>, size=7735, nrcpt=1 (queue active)
Apr 11 19:06:48 server postfix/smtpd[26762]: disconnect from mail.gateway.be[212.113.81.222]
...
Apr 11 19:06:53 server postfix/local[27356]: C14CC2071E1: to=<web2p1@server.xxxxxxxxxx.de>, orig_to=<macyyyyyyyyyydoc@yyyyyyyyyy.de>, relay=local, delay=5, status=sent (delivered to command: /usr/bin/procmail -f-)
Apr 11 19:06:53 server postfix/qmgr[27223]: C14CC2071E1: removed

Wobei "macyyyyyyyyyydoc@yyyyyyyyyy.de" der (fiktive) Absender auf meinem Server ist.

Hat vielleicht jemand einen Tipp für mich? Wäre sehr nett.

[adjustman]

seit heute versendet mein Mailserver offenbar Spam

woraus schliesst du das?

[raffnix]

Also die Situation ist folgende:

Ich bekomme seit heute früh pro Stunde etwa 100 Undeliverable Mails von diversen nicht existierenden Accounts und Spamfiltern anderer Server zurück, die (angeblich) von einem nicht existierenden User einer meiner Domains abgeschickt wurden.

Zunächst habe ich angenommen, dass es sich dabei um Spoofing handelt, also dass ein Spammer einfach nur unter "meinem" Namen von einem anderen Server aus sendet. (Ist früher schon mal passiert)

Beim Betrachten des Quelltextes der Undeliverable Mails finde ich jedoch ein HELO der IP meines Servers.

Deshalb befürchte ich, dass die Mails tatsächlich von meinem Server gesendet wurden.

Ich kann natürlich auch ein Brett vorm Kopf haben und poste morgen auch gerne mal den Quelltext einer solchen Undeliverable Mail, vielleicht irre ich mich ja - aber wichtig wäre vor allem, dass ich eventuell ein paar Tipps bekomme, wie ich das schnell verifiziere und ggf abdichte.

Ich fürchte, dass es mich mehr Zeit kostet, mich in Postfix einzuarbeiten (und dabei ein Niveau zu erreichen, bei dem ich sicher sein kann, das Problem zu beheben) als den Server am Wochenende neu aufzusetzen. Aber ich dachte, ich frag vielleicht vorher, vielleicht kann das ein Postfix-Insider in drei Zeilen lösen/abklären.

[adjustman]

dass es mich mehr Zeit kostet, mich in Postfix einzuarbeiten (und dabei ein Niveau zu erreichen, bei dem ich sicher sein kann, das Problem zu beheben) als den Server am Wochenende neu aufzusetzen

das ist doch nicht dein Ernst ... :lol:
WENN jetzt an der Config was falsch ist, ist es danach auch falsch

Ich bekomme seit heute früh pro Stunde etwa 100 Undeliverable Mails von diversen nicht existierenden Accounts und Spamfiltern anderer Server zurück

http://www.postfix.org/BACKSCATTER_README.html

[adjustman]

Danach sollte das Loch erstmal gestopft sein

Es gibt höchstwahrscheinlich KEIN Loch. s.o.
Ausserdem
http://www.abuse.net/relay.html

[adjustman]

Bin aber dagegen, dass man in solchen Fällen den Kandidaten durch "Vermutung" in Sicherheit wiegt

.. aber gleich Neuaufsetzen ohne tiefere Prüfung? Das Log oben sagt gar nix

[adjustman]

Bei dem Benutzer webxxxx sieht es für mich so aus, als ob es sich um eine confixx Installation handelt

ja. Und? Es geht NUR mail AN den Benutzer web2p1 von mail.gateway.be[212.113.81.222].
Was ist daran schlimm?

sind auch in dieser hinsicht wohl durchdacht konfiguriert

na ja ..

[adjustman]

Ob nun diese vom ursprünglich vom "eigenen" Server kamen, ist für mich noch nicht zweifelsfrei geklärt

Womit wir wieder bei den Basics sind. Logs und postconf -n!
Spekulationen helfen NIE weiter.

[adjustman]

kann man also sicherlich temporär den Mailservice abschalten um mehr Schaden entgegen zu wirken

was letztlich keinen Sinn hat bei Mails über PHP.
Dann müßte man noch sendmail deaktivieren. ;)
Nochmal! NUR Logs und postconf -n sind aussagefähig.

[adjustman]

oder dem Kollegen insoweit weiter helfen, im Wege auf zu zeigen, damit er sich später entspannt zurück lehnen kann

es ist alles gesagt. Sorry, is nicht bös gemeint, aber du "schwallst".
Raffnix muss jetzt aktiv werden und Logs zeigen/sichten.
Und die postconf -n zeigen oder analysieren.

[raffnix]

Danke schonmal für die Hilfe (und sorry für's falsche Sub), ich werde mich gleich ans Werk machen und ggf Postfix-Config und Logs zur Verfügung stellen - selbstverständlich nicht hier uneditiert ;) ).

Edit: im mail.log finde ich per grep schon mal kein from=<mac***doc@***.org>
Der Name kommt eigentlich nur - wie im ersten Post beschrieben - in Verbindung mit orig_to=<mac***doc@***.org> vor - also wohl nur als interne Weiterleitung

Hier noch ein paar Zusatzinformationen:

Die Installation habe ich nach diesem HowTo gemacht und eigentlich nichts mehr daran geändert. Deshalb fürchte ich auch, dass es (wenn überhaupt) nicht nur ein Konfigurationsfehler ist, deshalb auch die Idee des Neuaufsetzens (um "alte" Sicherheitslöcher durch das einspielen neuer Versionen zu stopfen). Ist natürlich nicht meine favorisierte Lösung.

Die Verwaltung läuft mit ISPconfig, die "Confixx-Namen" habe ich damals von einer vorherigen VServerinstallation übernommen um den Usern den Übergang zu vereinfachen.

Relay-Test mit Abuse.net hab ich als allererstes gemacht.

Was mögliche Gefahrenquellen angeht: Ich habe am letzten Wochenende auf der Domain Joomla installiert - mit PHP-Formmailer. Kann ich das irgendwie checken, ob der mißbraucht wird (ja, ich weiß, ich sollte mir zuerst ein PHP- und ein Joomla-Buch kaufen, bevor ich sowas frage ;) )

Hier noch zwei Mailheader. Kann sein, dass ich wirklich blind/paranoid war, und meine IP durch einen SPF-Check in den Header gekommen ist. Der zweite Header ist allerdings doch etwas beuunruhigend.

(********* = meine Domain, xx.xx.xx.xx = meine IP)

Code: Select all

This is an automatically generated Delivery Status Notification

THIS IS A WARNING MESSAGE ONLY.

YOU DO NOT NEED TO RESEND YOUR MESSAGE.

Delivery to the following recipient has been delayed:

     dasher.postmaster@gmail.com

Message will be retried for 2 more day(s)

   ----- Message header follows -----

Received: by 10.90.31.19 with SMTP id e19mr150168age.1176286925059;
        Wed, 11 Apr 2007 03:22:05 -0700 (PDT)
Return-Path: <mac*********doc@*********.org>
Received: from wx-out-0506.google.com (wx-out-0506.google.com [66.249.82.233])
        by mx.google.com with ESMTP id 39si12506260wrl.2007.04.11.03.22.04;
        Wed, 11 Apr 2007 03:22:05 -0700 (PDT)
Received-SPF: neutral (google.com: 66.249.82.233 is neither permitted nor denied by best guess record for domain of mac*********doc@*********.org)
Received: by wx-out-0506.google.com with SMTP id s11so122200wxc
        for <dasher.postmaster@gmail.com>; Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Received: by 10.70.50.18 with SMTP id x18mr870895wxx.1176286924824;
        Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Received: by 10.70.50.18 with SMTP id x18mr870894wxx.1176286924811;
        Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Return-Path: <mac*********doc@*********.org>
Received: from czajkows-kb0a2f.chello.pl (chello083144071120.chello.pl [83.144.71.120])
        by mx.google.com with ESMTP id h13si559699wxd.2007.04.11.03.19.17;
        Wed, 11 Apr 2007 03:22:04 -0700 (PDT)
Received-SPF: neutral (google.com: 83.144.71.120 is neither permitted nor denied by best guess record for domain of mac*********doc@*********.org)
Return-Path: <mac*********doc@*********.org>
[B]Received: from xx.xx.xx.xx (HELO *********.org)[/B]
     by burlesonalumni.com with esmtp (X'/*-(,V'*+ 6-/NJ;)
     id 8;;;G8-GVJ.;<-Q8
     for webmaster@burlesonalumni.com; Thu, 19 Apr 2007 10:22:24 -0100
Date:	Thu, 19 Apr 2007 10:22:24 -0100
From:	"Carolyn Maxwell" <mac*********doc@*********.org>
X-Mailer: The Bat! (v2.00.6) Educational
X-Priority: 3 (Normal)
Message-ID: <530558873.30061186700214@thhebat.net>
To: webmaster@burlesonalumni.com
Subject: Doctors and Celebrities endorse Anatrim
MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----------7109DA371096EC"
X-Spam: Not detected

Code: Select all

[B]The original message was received at Thu, 12 Apr 2007 06:56:39 -0500
from xx.xx.xx.xx[/B]

   ----- The following addresses had permanent fatal errors -----
<karen@whippoorwillfarm.com>
    (expanded from: <karen@whippoorwillfarm.com>)

   ----- Transcript of session follows -----
mail.local: unknown name: karen
550 <karen@whippoorwillfarm.com>... User unknown

 

Reporting-MTA: dns; mx1.whippoorwillfarm.com
[B]Received-From-MTA: DNS; xx.xx.xx.xx[/B]
Arrival-Date: Thu, 12 Apr 2007 06:56:39 -0500

Final-Recipient: RFC822; <karen@whippoorwillfarm.com>
X-Actual-Recipient: RFC822; karen@whippoorwillfarm.com
Action: failed
Status: 5.1.1
Last-Attempt-Date: Thu, 12 Apr 2007 06:56:39 -0500

[adjustman]

Relay-Test mit Abuse.net hab ich als allererstes gemacht.

und? was kam raus? Sicher alles ok

mit PHP-Formmailer. Kann ich das irgendwie checken

ja, in den Logs.
Zeig mal noch postconf -n

[raffnix]

und? was kam raus? Sicher alles ok

Sicher, alles OK, das hätte ich sonst erwähnt ;)

ja, in den Logs.

Ähm ... sorry... in welchen? :oops:

Zeig mal noch postconf -n

Code: Select all

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
inet_interfaces = all
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
mydestination = /etc/postfix/local-host-names
myhostname = server.meineadmindomain.org
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,check_relay_domains
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

[adjustman]

ja, in den Logs.

Ähm ... sorry... in welchen? :oops:

Ich würds mit dem mail.log versuchen ;)

Code: Select all

permit_sasl_authenticated,permit_mynetworks,check_relay_domains

Wenns nich eine gaaaaanz alte Version ist, dann:

Code: Select all

smtpd_recipient_restrictions =
	permit_mynetworks
	... andere Regeln
	permit_sasl_authenticated
	reject_unauth_destination

check_relay_domains is nicht richtig

[raffnix]

Hm, das war damals irgendwie nötig zur Konfiguration (check_relay_domains rein, reject_unauth_destination raus). Hier ist der damalige Thread (Post 18/19): http://www.howtoforge.com/forums/showth ... 361&page=2

[adjustman]

Hm, das war damals

ja, damals