Hallo Leute,
wir haben einen Root-Server bei HostEurope mit Suse 10.0 und QMail laufen. Der Server lief 2 Jahre ohne Probleme. Seit 4 Wochen haben wir allerdings arge Probleme mit dem Versenden von Mails über unseren Server. Anscheinend nutzt jemand unseren Server, um Spam zu verschicken. Aufgefallen ist das uns erst, als der Server auf einmal spürbar langsam wurde. Die Mail-Queue hatte dann schon Tausende Mails drin.
Dies geschieht allerdings nur alle 10 bis 20 Tage einmal ... danach ist wieder tagelang Ruhe.
Durch diese Maßnahme (http://kb.parallels.com/article_22_1711_en.html) konnte ich herausfinden, dass dafür kein unsicheres PHP-Skript verantwortlich ist.
Insgesamt haben wir ca. 30 Kunden-Domains und ca. 50 eMail-Konten auf dem Server. Alle Rechner durchzutesten, wäre also sehr viel Arbeit und ist quasi unmöglich. Unser Server ist natürlich auch kein Open Relay.
Gibt es eine einfache bzw. praktikable Lösung herauszufinden, von welchem eMail-Konto der Spam verschickt wird? Kann ich beispielsweise eine zusätzliche Mail-Header-Zeile erstellen lassen, die einen Rückschluss auf den verwendeten Benutzernamen (und damit die eMail-Adresse) zulässt?
Für Tipps wäre ich sehr dankbar!
Viele Grüße
Mathias
Herausfinden, welches eMail-Konto Spam verschickt
Re: Herausfinden, welches eMail-Konto Spam verschickt
Hi T1Konni,
wir haben hier das gleiche Problem! Hast Du schon eine Lösung gefunden?
wir haben hier das gleiche Problem! Hast Du schon eine Lösung gefunden?
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Herausfinden, welches eMail-Konto Spam verschickt
Die unter http://kb.parallels.com/article_22_1711_en.html beschriebene Methode ist sinnvoll, wenn sicher ist, dass die E-Mails auch wirklich über den Sendmail-Wrapper verschickt werden.
Normalerweise gibt es aber auch andere Möglichkeiten für Leute mit Zugang zum Server. Zum einen könnten sie direkt via Port 25/tcp mit dem laufenden MTA kommunizieren. Dagegen hilft ein entsprechend konfigurierter Paketfilter (unter Linux meist Netfilter/iptables).
Eine weitere Möglichkeit für den Nutzer wäre, direkt von dem Server aus mit einer eigenen SMTP-Engine mit den MTA der "Ziele" zu kommunizieren. Dagegen hilft ebenfalls ein entsprechend konfigurierter Paketfilter sowie evtl. ein Skript, das "unerlaubte" Programme regelmäßig abschießt.
Das alles ist natürlich nur herumdoktern an den Symptomen. Langfristig müsst ihr euer System analysieren und evtl. Angriffsvektoren finden, über welche die E-Mails tatsächlich verschickt werden.
Normalerweise gibt es aber auch andere Möglichkeiten für Leute mit Zugang zum Server. Zum einen könnten sie direkt via Port 25/tcp mit dem laufenden MTA kommunizieren. Dagegen hilft ein entsprechend konfigurierter Paketfilter (unter Linux meist Netfilter/iptables).
Eine weitere Möglichkeit für den Nutzer wäre, direkt von dem Server aus mit einer eigenen SMTP-Engine mit den MTA der "Ziele" zu kommunizieren. Dagegen hilft ebenfalls ein entsprechend konfigurierter Paketfilter sowie evtl. ein Skript, das "unerlaubte" Programme regelmäßig abschießt.
Das alles ist natürlich nur herumdoktern an den Symptomen. Langfristig müsst ihr euer System analysieren und evtl. Angriffsvektoren finden, über welche die E-Mails tatsächlich verschickt werden.
Re: Herausfinden, welches eMail-Konto Spam verschickt
Version psa v8.4.0_build84080514.19 os_SuSE 10.0
Betriebssystem Linux 2.6.9-023stab046.2-enterprise
Das müsste Suse 10.0 Enterprise sein, oder?
Jetzt war mal wieder ein paar Tage Ruhe und nichts erkennbar ... seltsam.
Gruß
Mathias
Betriebssystem Linux 2.6.9-023stab046.2-enterprise
Das müsste Suse 10.0 Enterprise sein, oder?
Jetzt war mal wieder ein paar Tage Ruhe und nichts erkennbar ... seltsam.
Gruß
Mathias
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Herausfinden, welches eMail-Konto Spam verschickt
Nein, das ist SuSE Linux 10.0.T1Konni wrote:Das müsste Suse 10.0 Enterprise sein, oder?