Bitte um Hilfe, da Mailhost "überbelastet"

[pocopelli]

Hallo zusammen,

wir versenden unsere Mails über Strato, wo ein Qmail läuft.
Unser Problem ist, daß wir keine Mails versenden können.

Anscheinend wird unser MAilhost mißbraucht dergestalt, daß man über ihn tausendfach Mails verschickt. Im Ordner "/var/qmail/queue/bounce"
befinden sich tausende Mails. Laut /var/log/messages treffen
alle paar Sekunden Mails ein, die nicht mehr gecheckt werden können, weil vielleicht zu viele abgearbeitet werden müssen:

Jan 4 13:31:30 h931780 qmail: 1167913890.315349 info msg 8303982: bytes 1303 from <ifwpkmjdmuwfqy@adg.de> qp 4503 uid 2020
Jan 4 13:31:30 h931780 qmail-queue[4490]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)

Könnt ihr mir auf die Schnelle sagen, wie ich die Mailqueue unter Qmail
lösche und wie man den Mißbrauch unterbinden kann.

Hilfe wäre sehr nett.

Gruß

Poc
[/quote]

[sledge0303]

Mailserver stoppen, SuFu hier im Forum benutzen. Das Thema wurde schon oft behandelt.
Danach unbedingt den Server nach der schwachen Stelle absuchen (Mailskripte, openrelay (?)) usw.

Ein Blick in /tmp oder /var/tmp wagen ob dort was liegt was nicht dort sein sollte. Wenn ja, dann kannst dir schon mal darum Gedanken machen wie man den Server besser absichern kann und anschließend die Kiste neu aufsetzen

[pocopelli]

Hallo sledge0303,

Dank Dir das Forum war auch hilfreich.
mit "/usr/local/psa/admin/bin/mchk --with-spam"
hab ich alles auf Anfang stellen können.

Falls Ok ... Könntest Du mir sagen, woran man
z.B. filetechnisch sehen kann, ob ein open-relay
vorliegt ?

Der Zustand war zuletzt so, daß Mailadressen generiert wurden und jede Mail, die wird selber rausschicken wollten auch an eine große Zahl generierter Mailadressen (8h2k@yahoo.com, dsf,yahoo.com etc.) verschickt wurden. Erfolg war, daß der Bounce-Ordner ständig verstopft war und die Mails mit Fehlermeldung zurückkamen.

Hast Du oder jemand anders von solchen Symptomen schon mal gehört ? Gezielte Schutzvorkehrungen ?

Dank dir noch mal

Gruß

Poc

[daemotron]

Falls Ok ... Könntest Du mir sagen, woran man
z.B. filetechnisch sehen kann, ob ein open-relay
vorliegt ?

Verbinde Dich mit einem TCP-Client Deiner Wahl (z. B. telnet, netcat) mit dem Server und versuche, den Server als Relay einzuspannen.

Code: Select all

telnet deinserver.tld 25
Trying xxx.xxx.xxx.xxx...
Connected to deinserver.tld.
Escape character is '^]'.
220 deinserver.tld ESMTP
EHLO test.deinrechner.de                     # das gibst Du ein
MAIL FROM:test@murkstest.xy                  # Phantasieadresse
RCPT TO:mail@fremderprovider.de              # Mailadresse bei einem anderen Provider
DATA
blablubb
.

Wenn Dein Server die Mail akzeptiert (Antwortcode 250 oder 254), fungiert er als open relay, d. h. jeder kann ohne Authentifizierung über Deinen Server Mails an andere MX-Domains schicken. Wichtig: Du musst den Test von einem anderen Rechner aus durchführen, da Dein Server Mails von localhost wahrscheinlich ohne Authentifizierung akzeptiert...

[flo]

Code: Select all

telnet relay-test.mail-abuse.org

Hoffe, das gibts noch ...

flo.

[bartman]

Alternativ http://www.abuse.net/relay.html

[pocopelli]

...stutzig machte mich nur als ich nach sledge's Anweisung vorgegangen bin, daß als Meldung Kommt:
"553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)"
Wenn man in solch einem Fall die Domain auf diec Liste "/var/qmail/control/rcpthosts" setzt sollte es eigentlich klappen mit dem Mailen aber besser so als wenn es funktionieren kann.
Beim Befehl:

telnet relay-test.mail-abuse.org

werden 19 Tests durchgeführt, mit dem Ergebnis, daß wir kein Open-relay sind.

Falls einem noch was einfällt zu den oben beschriebenen Symptomen... immer gerne!

Schönes WE euch allen!

Gruß
Poc

[acepilot]

Beim Befehl:
Zitat:
telnet relay-test.mail-abuse.org

werden 19 Tests durchgeführt, mit dem Ergebnis, daß wir kein Open-relay sind.

Falls einem noch was einfällt zu den oben beschriebenen Symptomen... immer gerne!

Hast du auch schonmal deine Skripte bzw. die deiner Kunden gescheckt? Könnte ja auch sein das jemand die Mailfunktion von PHP benutzt um tausende Mails abzusetzen.

Wenn das verhalten die ganze Zeit zu beobachten ist, würde es zum beispiel helfen mal den Apache zu stopen um zu schauen ob noch mehr Mails auflaufen, wenn nicht, weißt du wenigstens in welche Richtung du Suchen kannst.

Gruß
markus