Mail Bombe ?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
demo
Posts: 48
Joined: 2002-07-31 14:21

Mail Bombe ?

Post by demo » 2003-07-18 19:25

hilfe habe rootserver linux 8.1 und postfix, sobald ich den mailserver starte füllt sich mein root und web4p1 mailbox mit 100 te mails in minute

hier mal auszug

http://myport.bei.t-online.de/root.txt

http://myport.bei.t-online.de/web4p1.txt

was kann ich dagegen machen ?

Anonymous

Dicht machen

Post by Anonymous » 2003-07-18 19:44

Du solltest deinen Server schnellstens Dicht machen. Scheinbar hast du deinen Server schon gestoppt, von daher konnte ich das jetzt nicht kontrollieren, aber den von dir veröffentlichten Daten entnehme ich die Indizien, dass du ein offenes Relay betreibst oder betrieben hast und irgendein Spammer das ausgenutzt hat.

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-18 20:10

ja ich habe den mailserver angehalten, und wenn ich offenes Relay habe wie deaktiviere ich das ?

Anonymous

Re: Mail Bombe ?

Post by Anonymous » 2003-07-18 20:20

DEMO wrote:wenn ich offenes Relay habe wie deaktiviere ich das?
Indem du SMTP_AUTH (zur Not auch SMTP after POP, halte ich aber wenig von) aktivierst, und den Versand von Mails nach außen verbietest, wenn nicht authentifiziert wurde.
Wie das geht, steht in der Doku, ansonsten veröffentliche mal deine main.cf, dann kann dir hier auch geholfen werden.

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-18 21:29

Was hast du denn in der main.cf o.ä. alles verändert. Von Haus aus relayed Postfix eingentlich nicht...

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 01:57

das hört ja gar nicht auf, hier ist mein main.cf http://myport.bei.t-online.de/main.cf.txt

bringt das was wenn ich Postfix frisch Installiere ?

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Mail Bombe ?

Post by adjustman » 2003-07-19 02:08

also, eins sehe ich auf den ersten Blick. Das domain.com hat da nix zu suchen. Ich stell Dir gleich mal ne korrigierte main.cf rein.

Code: Select all

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
myhostname = p150905xx.pureserver.de
mydomain = $myhostname
myorigin = $myhostname
inet_interfaces = all
mydestination = $myhostname, localhost.$mydomain, $mydomain, smtp.$mydomain
mynetworks_style = subnet
#mynetworks_style = host
mynetworks = 127.0.0.0/8
relay_domains = $mydestination
local_recipient_maps = $alias_maps unix:passwd.byname
#in_flow_delay = 0
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
recipient_delimiter = +
#home_mailbox = Mailbox
#home_mailbox = Maildir/
#mail_spool_directory = /var/spool/mail
mail_spool_directory = /var/mail
mailbox_command = procmail -a "$EXTENSION"
smtpd_banner = $myhostname ESMTP $mail_name
#debug_peer_level = 2
#debugger_command =
	 PATH=/usr/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
#canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
#relocated_maps = hash:/etc/postfix/relocated
#transport_maps = hash:/etc/postfix/transport
#sender_canonical_maps = hash:/etc/postfix/sender_canonical
#masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
inet_interfaces = all
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = 
strict_rfc821_envelopes = yes
#smtpd_recipient_restrictions = permit_mynetworks,check_relay_domains
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination

#SMTPD Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

#TLS Support
smtpd_use_tls = yes
#smtpd_tls_auth_only = yes
smtpd_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
Nun weiss ich natürlich nicht, ob Du TLS und SASL überhaupt hast. :roll:
Last edited by adjustman on 2003-07-19 02:32, edited 3 times in total.
cu aM

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Mail Bombe ?

Post by adjustman » 2003-07-19 02:27

DEMO wrote:das hört ja gar nicht auf, hier ist mein main.cf http://myport.bei.t-online.de/main.cf.txt

bringt das was wenn ich Postfix frisch Installiere ?
Nein, daran liegt es nicht.
cu aM

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 04:01

@adjustMan mit dein main.cf geht auch nicht,was mache ich jetzt :roll:

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Mail Bombe ?

Post by adjustman » 2003-07-19 05:19

da ist so richtig was versaut. So einfach kann man da nicht raten. Sorry.
cu aM

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-19 06:24

Hast du irgendwas in der access stehen ? (ausser der Beschreibung :lol: )

Da fällt mir nochwas einm hast du im Indianer mod_proxy am laufen ?
Ich hab da neulich was gelesen, mal sehen ob ichs noch finde.....

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 09:45

hmmm, habe jetzt mal frisch reinstallieren lassen, und wenn ich ein bestimmte domain mit confixx anlege fängt es wider an

http://myport.bei.t-online.de/root1.txt

hier var/log/warn und messages

http://myport.bei.t-online.de/warn.txt

http://myport.bei.t-online.de/messages.txt
Last edited by demo on 2003-07-19 09:50, edited 1 time in total.

Matthias Diehl
Posts: 315
Joined: 2002-09-24 13:26

Re: Mail Bombe ?

Post by Matthias Diehl » 2003-07-19 09:49

Es sieht so aus als hättest Du einen Formmailer laufen oder ein Forum, durch das man Mails versenden kann. Einer der Benutzer versendet dann tausende von Mails.
Das ist evtl. kein offenes Relay sondern Missbrauch des Mailers/Forums.

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 09:51

nein ich habe noch gar nichts installiert es ist in orginal reinstalliereungs zustand hab nichts installiert

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-19 09:55

hmmm, habe jetzt mal frisch reinstallieren lassen
Aaa Postfix oder den ganzen Server....?

EDIT: Ooops zuspät

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 09:58

habe Server komplett reinstallieren lassen ,aber es hilft auch nicht :roll:

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-19 10:02

Hast du sowas ähnliches im apachelog :
xx.xx.xx.xx - - [24/Jun/2003:12:33:27 +0200] "POST http://xx.xx.xx.xx:25/ HTTP/1.1" 200 208
Quelle: Usenet

wobei die 2. xxe deine IP sein müsste.

Denn postfix kanns doch nicht sein - wenn die nicht bei der inst schon einen fehler drin hätten.

P.S. der 2. Link geht nix

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-19 10:19

Ich glaube ja nicht das es postfix is, aber geh doch mal auf

http://www.abuse.net/relay.html

lass dir ein passwort zuschicken und lass deren tool mal testen. Vielleicht kriegen wir ja so was raus....

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 10:21

ok das mache ich mal, habe wohl keine andere möglichkeit

danke allen.

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 10:42


gamecrash
Posts: 339
Joined: 2002-05-27 10:52

Re: Mail Bombe ?

Post by gamecrash » 2003-07-19 11:29

Na, ein offenes Relay hast Du jedenfalls nicht...

mod_proxy ist im Standard-Image von Puretec auch ned an...

Also ich würd fast drauf tippen, dass da einer Deine Passwörter kennt, änder die mal alle und schau ob sich was ändert.

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-19 12:29

Was mit grade auffällt. Du hast noch nen backupmx drin (kundenserver.de) ?
Dann könnte das Problem schon lange weg sein, nur wir kriegen das nicht mit, die die angelaufenen (bounce)Mails ja alle noch auf deinem Backup liegen und der sie natürlich brav wie er ist weiterhin an dich ausliefert (wie das auch seine Aufgabe ist :) )

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 13:44

habe nun alle PW's geändert und das problem ist nicht mehr da, zumindest seit 1 stunde kommen keine mails mehr. Habe keine Backup bei kundenserver.de.

Jetzt glaube ich da hat doch ein Schlaumeier meine PW Geklaut :)

magnum2
Posts: 201
Joined: 2002-08-12 16:30
Location: Grünwald

Re: Mail Bombe ?

Post by magnum2 » 2003-07-19 14:31

Kein backup mx ?? 8O Das wundert mich
Received: from moutng.kundenserver.de (moutng.kundenserver.de [212.227.126.186])
by p15090577.pureserver.de (Postfix) with ESMTP id C191F398F1B
for <wwwrun@p15090577.pureserver.de>; Fri, 18 Jul 2003 18:18:51 +0200 (CEST)
Received: from [212.227.126.215] (helo=mxng19.kundenserver.de)
by moutng.kundenserver.de with esmtp (Exim 3.35 #1)
id 19dVmc-0002wA-00
for wwwrun@p15090577.pureserver.de; Fri, 18 Jul 2003 16:00:26 +0200
Wieso geht dann die Geschichte (and dich bzw. web4p1) über 2 MXe bei kundenserver.de (was galube ich schlund is) :?:

Oder hab ich jetzt schon wieder zuviele configs gelesen.... :-D

demo
Posts: 48
Joined: 2002-07-31 14:21

Re: Mail Bombe ?

Post by demo » 2003-07-19 14:40

hast schon richtig gelesen ,aber bestellt habe ich kein Backup bei dene
keine ahnung wie das pasiert ist.

Also Danke Für Eure Postings :-D