sendmail relay security spam

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
drop_zone
Posts: 18
Joined: 2002-10-28 11:03

sendmail relay security spam

Post by drop_zone » 2005-01-08 09:58

Hallo, ich habe ein Problem mit Spammern. Benutze suse linux mit sendmail und confixx. Aktuellste Sicherheitspatches sind eingespielt.

Es werden tausende E-Mails versendet. Obwohl ich kein offenes Relay habe. (lt. diversen Tests)

Schaut euch folgende Zeilen mal an und sendet mir Tips wo ich schauen muss.

Im unteren Abschnitt sieht man, dass ich die betreffenden E-Mail Adressen in der "access" Datei rejected habe. Aber dann muesste ich ja alle e-mail Adressen rejecten, wenn die Spammer die Adresse wechseln.
z.B. von user web15 zu web1.

Bin zur Zeit ratlos, wie sowas funktionieren kann.

Jan 7 19:31:36 domain popper[9655]: Stats: web5p1 0 0 0 0 pD9E14101.dip.t-dialin.net 217.225.65.1 [pop_updt.c:296]
Jan 7 19:31:36 domain popper[9656]: Stats: web4p1 0 0 1 9562 pD9E14101.dip.t-dialin.net 217.225.65.1 [pop_updt.c:296]
Jan 7 19:31:37 domain popper[9657]: Stats: web3p1 0 0 140 11317751 pD9E14101.dip.t-dialin.net 217.225.65.1 [pop_updt.c:2
96]
Jan 7 19:32:41 domain popper[9665]: Stats: web1p1 0 0 0 0 mfetch01.gmx.net 213.165.65.1 [pop_updt.c:296]
Jan 7 19:33:17 domain sendmail[9667]: j07IXH4V009667: from=web15, size=8618, class=0, nrcpts=260, msgid=<200501071833.j0
7IXH4V009667@domain.de>, relay=web15@localhost
Jan 7 19:33:17 domain sendmail[9668]: j07IXHY0009668: from=<web15@domain.de>, size=4089, class=0, nrcpts=100, msgid=
<200501071833.j07IXH4V009667@domain.de>, proto=ESMTP, daemon=MTA, relay=localhost [127.0.0.1]
Jan 7 19:33:18 domain sendmail[9669]: j07IXHY0009668: to=<joanne504@saltatio-bergheim.de>, ctladdr=<web15@domain.de>
(20094/103), delay=00:00:01, xdelay=00:00:01, mailer=local, pri=3004264, dsn=2.0.0, stat=Sent
Jan 7 19:33:18 domain sendmail[9667]: j07IXH4V009667: to=tresmcd@aol.com,treehoss@aol.com,wbekem2832@aol.com,wbeater3@ao
l.com,trades4you@aol.com,vinerbi@aol.com,vkelly1942@aol.com,webassembly@aol.com,weazor1659@aol.com,wbb731@aol.com,wbsglapore@
aol.com,viper97810@aol.com,watts8269@aol.com,vilmac1689@aol.com,trea13@aol.com,wcnj3@aol.com,web4ut6@aol.com,wazukeex@aol.com
,watlingfndtn@aol.com,tphaeth929@aol.com,vijamarie@aol.com,trezku18@aol.com,vivettep@aol.com,wb2980@aol.com,wdilynn@aol.com,v
izeweltm2002@aol.com,trenahoup@aol.com,tretinainc@aol.com,wazzap2121@aol.com,trevorl608@aol.com,we2counts@aol.com,wattsk@aol.
com,viperxxx143@aol.com,waytooshy4u@aol.com,vidgmfrkjr@aol.com,webs1914794408@aol.com,wattie247@aol.com,wedemayer@aol.com,vin
786@aol.com,weagle7@aol.com,vince9981@aol.com, [more], ctladdr=web15 (20089/102), delay=00:00:01, xdelay=00:00:01, mailer=rel
ay, pri=7808618, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (j07IXHY0009668 Message accepted for delivery)
Jan 7 19:33:18 domain sendmail[9667]: j07IXH4V009667: to=treetopcarpenter@aol.com,wcrejr@aol.com,vinnette75@aol.com,virg
ovonnie@aol.com,wchrist263@aol.com,wawa1221@aol.com,wecelebratejc4@aol.com,trevoralong@aol.com,vitaminrie115@aol.com,tricatzm
om@aol.com,weebit30@aol.com,vlahcarter@aol.com,wbl3214321@aol.com,watkinsbudgetinn@aol.com,treveavenue@aol.com,wealthofknowle
dg@aol.com,vioricaebayshop@aol.com,wcebollero@aol.com,wboss51437@aol.com,tr584@aol.com,wch1702@aol.com,vinmailer@aol.com,weez
er802@aol.com,wbothy@aol.com,virtous21@aol.com,viperbud1988@aol.com,webbo123@aol.com,vilmaa94@aol.com,wcorni@aol.com,trevchie
f@aol.com,violetta29@aol.com,wawasee45@aol.com,treycefus@aol.com,wavechic2003@aol.com,virginiapesso@aol.com,wcpnrtr97@aol.com
,vivalacoma@aol.com,wdshog@aol.com,webpcf@aol.com, [more], ctladdr=web15 (20089/102), delay=00:00:01, xdelay=00:00:01, mailer
=relay, pri=7808618, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (j07IXHY0009668 Message accepted for delivery)
Jan 7 19:33:18 domain sendmail[9667]: j07IXH4V009667: to=videocraze2@aol.com,tpotter282@aol.com,trevell191@aol.com,wchri
st1@aol.com,wbernwallner@aol.com,wcarrdesigns@aol.com,weaverchris72@aol.com,vixhenson@aol.com,wbeats4dayz@aol.com,weavdance@a
ol.com,watsupduck@aol.com,weeeeez123@aol.com,vincebussafety@aol.com,traynhamt@aol.com,wawaltz@aol.com,vjjfv@aol.com,villachic
ho@aol.com,vjoseph22@aol.com,vinnyg2288@aol.com,joanne504@saltatio-bergheim.de, ctladdr=web15 (20089/102), delay=00:00:01, xd
elay=00:00:01, mailer=relay, pri=7808618, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (j07IXHY0009668 Message accepte
d for delivery)
Jan 7 19:33:18 domain sendmail[9668]: j07IXHY2009668: from=<web15@domain.de>, size=4089, class=0, nrcpts=100, msgid=
<200501071833.j07IXH4V009667@domain.de>, proto=ESMTP, daemon=MTA, relay=localhost [127.0.0.1]
Jan 7 19:33:33 domain sendmail[9674]: j07IXXYh009674: from=web15, size=8618, class=0, nrcpts=260, msgid=<200501071833.j0
7IXXYh009674@domain.de>, relay=web15@localhost

-------------------

und hier wenn es manuell in die access eingetragen wurde.

Jan 8 09:24:29 domain popper[20067]: Stats: web1p1 0 0 0 0 mfetch01.gmx.net 213.165.65.1 [pop_updt.c:296]
Jan 8 09:29:33 domain popper[20079]: Stats: web1p1 0 0 0 0 mfetch01.gmx.net 213.165.65.1 [pop_updt.c:296]
Jan 8 09:34:41 domain popper[20126]: Stats: web1p1 0 0 0 0 mfetch01.gmx.net 213.165.65.1 [pop_updt.c:296]
Jan 8 09:34:56 domain sendmail[20128]: j088YuUT020128: from=web15, size=7678, class=0, nrcpts=260, msgid=<200501080834.j
088YuUT020128@domain.de>, relay=web15@localhost
Jan 8 09:34:56 domain sendmail[20129]: j088Yu65020129: ruleset=check_mail, arg1=<web15@domain.de>, relay=localhost [
127.0.0.1], reject=550 5.0.0 <web15@domain.de>... We don't like mails from spammers -postmaster
Jan 8 09:34:56 domain sendmail[20128]: j088YuUT020128: to=batwarpkstudy@aol.com,perkm47@aol.com,ren1cab@aol.com,rempric@
aol.com,bbowler251@aol.com,perfectangel8679@aol.com,redracerr6@aol.com,bballstarburst20@aol.com,reegis47@aol.com,basse01@aol.
com,basser180@aol.com,batescookie@aol.com,baumsicherheit@aol.com,batgodess@aol.com,penbird24@aol.com,patriciabflowers@aol.com
,peach14070@aol.com,redwheelweiser@aol.com,reequine@aol.com,reneedenis@aol.com,bbliven07@aol.com,percydougherty@aol.com,peren
flow@aol.com,penylaneb@aol.com,rem87812ggirl@aol.com,basketsjg@aol.com,perj44@aol.com,regalrlh@aol.com,pennh2o@aol.com,bbjohn
yt@aol.com,bathea@aol.com,reidrhonda@aol.com,peac4ul1@aol.com,pecro14@aol.com,bbbulldog@aol.com,renaissancechild@aol.com,redw
olf2286@aol.com,peggue@aol.com,pauleyclp@aol.com,reneetrixie@aol.com, [more], ctladdr=web15 (20089/102), delay=00:00:00, xdel
ay=00:00:00, mailer=relay, pri=7807678, relay=[127.0.0.1] [127.0.0.1], dsn=5.0.0, stat=Service unavailable
Jan 8 09:34:56 domain sendmail[20128]: j088YuUT020128: to=batikota@aol.com,baysideridaz@aol.com,perekaras@aol.com,baztec
1@aol.com,redsockspiano@aol.com,bben1140@aol.com,penduko75@aol.com,paulvagapoff@aol.com,peacoksht@aol.com,peltznancy@aol.com,
batterypack26225@aol.com,pepperchix@aol.com,reneebeatrice@aol.com,patschue@aol.com,redwilly22@aol.com,redwinglr@aol.com,bass6
9@aol.com,remytours@aol.com,damnitmayn@aol.com,batcgray@aol.com,bboy1980@aol.com,redterceraedad@aol.com,bbarocco@aol.com,peac
enomore666@aol.com,remaxgoldcountry@aol.com,bbreauxfamily@aol.com,bbenny19@aol.com,renaissanceno1@aol.com,bbhav@aol.com,bbche
ah@aol.com,remankrs@aol.com,peggyjja@aol.com,renatokodaira@aol.com,bataleskovac73@aol.com,renegadebaby@aol.com,bazny1@aol.com
,basshogg@aol.com,bbigkahuna1@aol.com,baustgt@aol.com,regalracer1129@aol.com, [more], ctladdr=web15 (20089/102), delay=00:00:
00, xdelay=00:00:00, mailer=relay, pri=7807678, relay=[127.0.0.1] [127.0.0.1], dsn=5.0.0, stat=Service unavailable

olaf.dietsche
RSAC
Posts: 409
Joined: 2002-12-19 02:06
Location: Siegburg

Re: sendmail relay security spam

Post by olaf.dietsche » 2005-01-09 14:23

Möglicherweise werden die emails über ein Webformular versendet.

drop_zone
Posts: 18
Joined: 2002-10-28 11:03

Re: sendmail relay security spam

Post by drop_zone » 2005-01-10 21:19

Nein, bekomme die alten E-Mails von aol (auf Anfrage) zurück, ist mit dateianhang. (nehme an Virus) Und Dateianhang wird per Webforumular nicht ermöglicht.

In den Ursprungseinlieferungen stammten die Mails von einem AOL Relay Einlieferungsserver. Sprich geschickt gemacht.

Aber ich habe es erstmal gesperrt und werde weitersuchen und die logs weiterhin im Auge behalten. Alle pop Passwörter wurden auch geändert, daran liegt es leider auch nicht.