SPAM Angriff please help! Wir kommen einfach nicht weiter...

[sploon]

Hallo,

wir haben sämtliche Ports geprüft und sitzen nun schon den gazen Tag.
Wir wissen aber leider nicht was wir noch machen sollen.

Hier mal ein Auszug aus der Mail log

Code: Select all

Feb 26 15:31:06 server4563 postfix/smtpd[22495]: NOQUEUE: reject: RCPT from unknown[202.75.56.214]: 554 <neon8887@yahoo.com.tw>: Relay access denied; from=<Gabriel_Kaitlyn123@ms15.hinet.net> to=<neon8887@yahoo.com.tw> proto=SMTP helo=<80.170.368.86>

helo=<80.170.368.86 sind auch immer andere IPs von unserem Server

Was kann man machen wenn der Kerl immer wieder andere IPS nutzt und auch immer wieder andere Absender?

[Roger Wilco]

wir haben sämtliche Ports geprüft und sitzen nun schon den gazen Tag.
Wir wissen aber leider nicht was wir noch machen sollen.

Den MTA runterfahren?

helo=<80.170.368.86 sind auch immer andere IPs von unserem Server

Dieses HELO/EHLO ist ungültig. Warum beendet ihr die Verbindung nicht direkt danach?
-> http://www.postfix.org/postconf.5.html# ... strictions

[sploon]

Vielen DANK nur sind auf dem SErver viele andere Leute die doch weiter Mailen sollen.

[daemotron]

Vielen DANK nur sind auf dem SErver viele andere Leute die doch weiter Mailen sollen.

Was ist an

Code: Select all

smtpd_helo_restrictions = reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname

so verkehrt? Mail-Clients und -server, die sich RFC-konform verhalten, werden damit keine Probleme haben (selbst "Ausblick" und "Austausch" von Winzigweich halten sich da dran). Damit ist Euer "Kerl" erst mal außen vor - zumindest, bis er Nachhilfestunden in SMTP bzw. ESMTP genommen hat...

Euer Server wird so erst mal entlastet, weil die Verbindung schon nach dem fehlerhaften HELO-Kommando geschlossen wird und nicht erst MAIL FROM und RCPT TO noch verarbeiten muss...

[adjustman]

die Meldung ist doch eine "Gute". Es wurde NOQUEUE und Relay access denied. SO soll es doch sein

Was ist an

Code: Select all

smtpd_helo_restrictions = reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname

so verkehrt?

Verkehrt ist das falsche Wort. Es ist nur sehr gefährlich. Es halten sich weniger an die RFC als du glaubst.
Und die willst du alle "massregeln"? Vergiss es.
Ich kann nur wieder Policyd-weight empfehlen.
http://www.policyd-weight.org/

[daemotron]

Ich kann nur wieder Policyd-weight empfehlen.

den ich bei mir auch im Einsatz habe und der auch schon für zwei false positives verantwortlich war (was zugegebenermaßen einer Quote von 0,0001% entspricht *g*)... Kein System ist eben perfekt

[sploon]

So hab jetzt nochmal geforscht,

unsere Problem ist folgendes.....komme nicht weiter.

Trotz NOQUEUE und Relay Access denied landen die Mails in der mailq. Diese läuft dann so schnell voll dass mal ganz locker in 24 Stunden über 150.000 Mails drinnen sind. Demnach lahmt dann extrem die Mailzustellung, local.

Hier noch die main.cf:

Code: Select all

queue_directory = /var/spool/postfix
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
mail_owner = postfix
unknown_local_recipient_reject_code = 550
debugger_command =
	 PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
	 xxgdb $daemon_directory/$process_name $process_id & sleep 5

sendmail_path = /usr/sbin/sendmail
newaliases_path = /usr/bin/newaliases
mailq_path = /usr/bin/mailq
setgid_group = maildrop
html_directory = /usr/share/doc/packages/postfix/html
manpage_directory = /usr/share/man
sample_directory = /usr/share/doc/packages/postfix/samples
readme_directory = /usr/share/doc/packages/postfix/README_FILES
inet_protocols = all
biff = no
mail_spool_directory = /var/mail
canonical_maps = hash:/etc/postfix/canonical
virtual_maps = hash:/etc/postfix/virtual, hash:/etc/postfix/confixx_virtualUsers, hash:/etc/postfix/confixx_localDomains
relocated_maps = hash:/etc/postfix/relocated
transport_maps = hash:/etc/postfix/transport
sender_canonical_maps = hash:/etc/postfix/sender_canonical
masquerade_exceptions = root
masquerade_classes = envelope_sender, header_sender, header_recipient
myhostname = GEÄNDERT
program_directory = /usr/lib/postfix
inet_interfaces = all
masquerade_domains = 
mydestination = $myhostname, localhost.$mydomain
defer_transports = 
disable_dns_lookups = no
relayhost = 
mailbox_command = /usr/bin/procmail
mailbox_transport = 
#smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_required = yes
strict_rfc821_envelopes = no
smtpd_recipient_restrictions = permit_tls_clientcerts, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_client, reject_unknown_address
smtp_sasl_auth_enable = no
smtpd_sasl_auth_enable = yes
smtpd_use_tls = no
smtp_use_tls = no
alias_maps = hash:/etc/aliases
mailbox_size_limit = 0
message_size_limit = 0
maximal_queue_lifetime=1

Der Eintrag

smtpd_helo_restrictions = reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname

brachte keinen Erfolg.
Da der helo - meist (aber nicht immer) eine IP Adresse unseres Server ist, ist die also gültig. Oben hatte ich diese nur verändert.

Nachdem ich jetzt sämtliche Seiten und Forenbeiträge gelesen und einiges probiert habe, komme ich einfach nicht weiter.

Warum lanmden so viele Mails in der mailq?

Noch Beispiele aus unserer aktuellen mail.logs:

Code: Select all

Mar  1 14:44:41 xxxxxx postfix/smtpd[21778]: NOQUEUE: reject: RCPT from 219-86-40-170.dynamic.tfn.net.tw[219.86.40.170]: 554 <amy.owns@msa.hinet.net>: Relay access denied; from=<qutfqlwybn@yahoo.com> to=<amy.owns@msa.hinet.net> proto=SMTP helo=<212.112.236.94>

oder

Code: Select all

Mar  1 14:44:40 xxxxxx postfix/qmgr[21593]: 5A5969BCBFA: from=<eblgppzwswd@ms54.hinet.net>, size=6403, nrcpt=3 (queue active)
Mar  1 14:44:40 xxxxxx postfix/qmgr[21593]: 922709BCBFD: from=<ayfnumurm@yahoo.com.hk>, size=1981, nrcpt=11 (queue active)
Mar  1 14:44:40 xxxxx postfix/qmgr[21593]: 922709BCBFD: to=<andy2@ms19.hinet.net>, relay=none, delay=8, status=deferred (delivery temporarily suspended: connect to ms19a.hinet.net[168.95.5.19]: Connection timed out)

Bitte um Eure Hilfe...kriege diese Attacken einfach nicht weg.

[adjustman]

bitte postconf -n und die master.cf OHNE Kommentare

[sploon]

postconf -n

Code: Select all

:~ # postconf -n
alias_maps = hash:/etc/aliases
biff = no
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
disable_dns_lookups = no
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command = /usr/bin/procmail
mailbox_size_limit = 0
mailbox_transport =
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
maximal_queue_lifetime = 1
message_size_limit = 0
mydestination = $myhostname, localhost.$mydomain
myhostname = GEÄNDERT
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_auth_enable = no
smtp_use_tls = no
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks
smtpd_recipient_restrictions = permit_tls_clientcerts, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unknown_client, reject_unknown_address
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_use_tls = no
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550

master.cf - SELBSTVERSTÄNDLICH ohne Komenntare

Code: Select all

smtp      inet  n       -       n       -       -       smtpd
pickup    fifo  n       -       n       60      1       pickup
cleanup   unix  n       -       n       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
rewrite   unix  -       -       n       -       -       trivial-rewrite
bounce    unix  -       -       n       -       0       bounce
defer     unix  -       -       n       -       0       bounce
trace     unix  -       -       n       -       0       bounce
verify    unix  -       -       n       -       1       verify
flush     unix  n       -       n       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       n       -       -       smtp
relay     unix  -       -       n       -       -       smtp
	-o fallback_relay=
showq     unix  n       -       n       -       -       showq
error     unix  -       -       n       -       -       error
discard   unix  -       -       n       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       n       -       -       lmtp
anvil     unix  -       -       n       -       1       anvil
scache	  unix	-	-	n	-	1	scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/local/bin/maildrop -d ${recipient}
cyrus	  unix	-	n	n	-	-	pipe
  user=cyrus argv=/usr/lib/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
uucp	  unix	-	n	n	-	-	pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=foo argv=/usr/local/sbin/bsmtp -f $sender $nexthop $recipient
procmail  unix  -       n       n       -       -       pipe
  flags=R user=nobody argv=/usr/bin/procmail -t -m /etc/procmailrc ${sender} ${recipient}

[cronet]

Die Zeile

smtpd_helo_restrictions = permit_mynetworks

ist aber nicht wie oben schonmal vorgeschlagen...

Meine sieht z.B. so aus:

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit

Kommt aber halt auf die Konfiguration an...

[adjustman]

Die Zeile

smtpd_helo_restrictions = permit_mynetworks

ist aber nicht wie oben schonmal vorgeschlagen...

Meine sieht z.B. so aus:

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_invalid_hostname, permit

Kommt aber halt auf die Konfiguration an...

@Cronet - das ist wohl wahr. :lol: Aber das obige ist schon beides richtig,
wobei deins eigentlich überflüssig ist. Sowas gehört alles in die
smtpd_recipient_restrictions.

@sploon
Wie auch immer. Deine Konf ist vergurkt. Schau mal richtig auf dein
postconf -n und dann auf deine main.cf