open relay?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Anonymous

open relay?

Post by Anonymous » 2004-09-29 00:47

Hallo alle zusammen,

ich habe hier ein 'kleines' Problem und zwar:

Läuft meine catchall Adresse über. Mailabruf über DSL dauert
3 Stunden (habe heute morgen um 6 das letze mal abgerufen)

Es kommen delivery failed messages von vielen adressen zurück.
Dort wurden aber NIE mails hin gesendet!

Jetzt meine Frage kann das ein open relay sein? oder über ein skript (php/cgi)??

Server: Debian Woody
MTA Qmail nach dem howto von Debianhowto.de


Vielen Dank für eure Hilfe

p.s. ich habe schon über telnet xxxxxxx.org 25 eine mail zu versenden schlug allerdings fehl!

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: open relay?

Post by Roger Wilco » 2004-09-29 01:28

Herzlichen Glückwunsch, Sie haben soeben die freundliche Bekanntschaft mit Spam gemacht!

Wahrscheinlich hat ein Massen-E-Mail-Versender deine Domain + zufällige Localparts als Absender für seinen Werbefeldzug gewählt. Das bedeutet, dass du jetzt die Bounces aller netten Empfänger bekommst, die einen schlecht konfigurierten MTA haben, darunter sind wahrscheinlich Meldungen, dass die MTAs keinen Spam annehmen, dass der User nicht existiert oder einfach, dass die E-Mail angekommen ist.
Was du dagegen tun kannst? Den Catch-All in die Tonne treten und nur noch Mails für User deines Systems annehmen, die existieren...oder einen sehr guten Mailfilter verwenden und damit leben.

Anonymous

hab ich mir doch gedacht

Post by Anonymous » 2004-09-29 09:14

ich habe meine catch all schonin spam@xxxxxxxxxx.org geleitet

ich möchte mal testen wieviel da so in 3 tagen zusammen kommen ;)

dehoeninger
Posts: 10
Joined: 2003-10-26 15:47

Re: open relay?

Post by dehoeninger » 2004-09-29 13:21

Hallo dann möchte ich mich auch mal äußern.

Ich habe das selbe Problem, fahre eine Qmail, vpopmail Kombi nach der http://www.debianhowto.de

Und lasse meine Mails, je nach User, Spamlevel, etc. , per maildrop in die Postfächer einsortieren.

Mails nicht existierende User werden normalerweisen an

| /var/vpopmail/bin/vdelivermail '' delete

übergeben und sollten demnach ja gelöscht werden. Dies klappt aber nicht bei allen Mails.

Bei einem Großteil der Mails gibt vdelivermail einen Fehler zurück und die Mails landen zurück in der Queue wo sie dann noch ne Woche rumdümpeln und meine Logs vollspammen. Das produziert eine extrem große Queue und stört gewaltig.

Anbei mal wie ich denke alle relevanten Dateien und Logs.

.qmail-default

Code: Select all

#| /var/vpopmail/bin/vdelivermail '' delete
| maildrop mailfilter
mailfilter

Code: Select all

import EXT
import HOST
logfile "/var/log/mailfilter.log"
#POP="| /var/vpopmail/bin/vdelivermail '' bounce-no-mailbox"
VPOP = "| /var/vpopmail/bin/vdelivermail '' delete"

VHOME=`/var/vpopmail/bin/vuserinfo -d $EXT@$HOST`

if ( $VHOME eq "" )
{
    log "To: $EXT@$HOST"
    to "$VPOP"
}
else
{
    include "mailfilter-spam"
}
2 entsprechender Logeinträge der mailfilter Logdatei(wohlgemerkt existieren beide Adressen nicht)

Code: Select all

To: pattischwartzrm@*********.de
Date: Wed Sep 22 10:49:40 2004
From: MAILER-DAEMON@hydroqual.com (Mail Delivery System)
Subj: Undelivered Mail Returned to Sender
!Err: | /var/vpopmail/bin/vdelivermail '' delete                        (5203)

To: hayden_pk@********.de
Date: Wed Sep 22 10:49:20 2004
From: MAILER-DAEMON@server7.ehostsource.com
Subj: failure notice
File: | /var/vpopmail/bin/vdelivermail '' delete                        (2231)

Jemand ne idee, warum vdelivermail die eine Mail ohne Probleme löscht, die andere aber einen Fehler produziert ?

Ã?ber hilfe wäre ich sehr dankbar.

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: open relay?

Post by kenzo » 2004-09-29 14:28

Jemand ne idee, warum vdelivermail die eine Mail ohne Probleme löscht, die andere aber einen Fehler produziert ?
Ich wundere mich, dass es überhaupt geht:

Code: Select all

$ VHOME=`vuserinfo -d aye@example.com`
$ echo $VHOME
no such user aye@example.com
Bessere Lösung: http://www.interazioni.it/opensource/chkuser/

dehoeninger
Posts: 10
Joined: 2003-10-26 15:47

Re: open relay?

Post by dehoeninger » 2004-09-29 14:33

kenzo wrote:
Jemand ne idee, warum vdelivermail die eine Mail ohne Probleme löscht, die andere aber einen Fehler produziert ?
Ich wundere mich, dass es überhaupt geht:

Code: Select all

$ VHOME=`vuserinfo -d aye@example.com`
$ echo $VHOME
no such user aye@example.com
im maildrop ist $VHOME bei nichtexistierenden Usern leer, das habe ich getestet.

Aber der Link sieht gut aus, werde ich mal probieren. Danke.

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: open relay?

Post by squize » 2004-09-29 16:59

Ich habe den chkuser patch (isp-patch, indem chkuser enthalten ist) bei mir schon ne weile laufen und bin sehr zufrieden damit.
Bei mir war es nötig, weil sonst Spamassassin den Server voll ausgelastet hat und am Ende im Schnitt eine Load von 15-20 hatte.
Mit chkuser bin ich wieder bei 0.

Gruss

Marc

k@sperl
Posts: 7
Joined: 2004-09-05 13:18
Location: nang-Pu

Re: open relay?

Post by k@sperl » 2004-09-29 19:44

ad open relay:
Wenn man auf dem Mailserver telnet relay-test.mail-abuse.org ausführt, werden einige Tests durchgeführt, die einen open relay Server "entlarven".

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: open relay?

Post by kenzo » 2004-09-30 11:35

squize wrote:Ich habe den chkuser patch (isp-patch, indem chkuser enthalten ist) bei mir schon ne weile laufen und bin sehr zufrieden damit.
Sehe ich auch so - der neue chkuser hat allerdings einiges mehr an Funktionalität (tarpitting, Absenderadresse auf RFC-Konformität prüfen, etc.). Muss man halt neu patchen ...
K@sperl wrote:ad open relay:
Wenn man auf dem Mailserver telnet relay-test.mail-abuse.org ausführt, werden einige Tests durchgeführt, die einen open relay Server "entlarven".
Bitte aber auch an die "false positives" solcher Tests denken - also Test durchführen, aber auch verstehen, was da passiert.

squize
Userprojekt
Userprojekt
Posts: 741
Joined: 2003-05-19 16:46
Location: Karlsruhe

Re: open relay?

Post by squize » 2004-10-03 15:28

Bitte aber auch an die "false positives" solcher Tests denken - also Test durchführen, aber auch verstehen, was da passiert.
Vor allem bei qmail wird man ohne den chkuser-patch eine Warnung erhalten, da qmail defaultmässig erst ein alles annimmt und dann später erst bounct. Dieses Verhalten ist nicht nur schlecht, es lässt sich auch dazu benutzen DOS Attacke auszuführen. Schickt man eine einzige Mail mit einen Haufen nicht existierender CC's, dann erzeugt qmail für jeden CC einen Bounce.
Jetzt setzt man noch die Absenderadresse auf den Server, den man nerven will und schon erreicht man mit einer Mail multiple Bounces auf den Server, den man angreifen will.
Lösungen: CHKUSER-Patch oder ein CATCH-ALL Account, der alles nach /dev/null schickt ( oder in ein Postfach, falls man sich eine SPAM-Datenbank aufbauen will, bei mir sind es ca. 1500 MAils am Tag, also aufpassen was den Speicherplatz angeht)

Gruss

Marc