RootForum Community

Hallo Leute,
wir haben einen Root-Server bei HostEurope mit Suse 10.0 und QMail laufen. Der Server lief 2 Jahre ohne Probleme. Seit 4 Wochen haben wir allerdings arge Probleme mit dem Versenden von Mails über unseren Server. Anscheinend nutzt jemand unseren Server, um Spam zu verschicken. Aufgefallen ist das uns erst, als der Server auf einmal spürbar langsam wurde. Die Mail-Queue hatte dann schon Tausende Mails drin.
Dies geschieht allerdings nur alle 10 bis 20 Tage einmal ... danach ist wieder tagelang Ruhe.

Durch diese Maßnahme (http://kb.parallels.com/article_22_1711_en.html) konnte ich herausfinden, dass dafür kein unsicheres PHP-Skript verantwortlich ist.

Insgesamt haben wir ca. 30 Kunden-Domains und ca. 50 eMail-Konten auf dem Server. Alle Rechner durchzutesten, wäre also sehr viel Arbeit und ist quasi unmöglich. Unser Server ist natürlich auch kein Open Relay.

Gibt es eine einfache bzw. praktikable Lösung herauszufinden, von welchem eMail-Konto der Spam verschickt wird? Kann ich beispielsweise eine zusätzliche Mail-Header-Zeile erstellen lassen, die einen Rückschluss auf den verwendeten Benutzernamen (und damit die eMail-Adresse) zulässt?

Für Tipps wäre ich sehr dankbar!

Viele Grüße
Mathias

Hi T1Konni,

wir haben hier das gleiche Problem! Hast Du schon eine Lösung gefunden?

Die unter http://kb.parallels.com/article_22_1711_en.html beschriebene Methode ist sinnvoll, wenn sicher ist, dass die E-Mails auch wirklich über den Sendmail-Wrapper verschickt werden.

Normalerweise gibt es aber auch andere Möglichkeiten für Leute mit Zugang zum Server. Zum einen könnten sie direkt via Port 25/tcp mit dem laufenden MTA kommunizieren. Dagegen hilft ein entsprechend konfigurierter Paketfilter (unter Linux meist Netfilter/iptables).
Eine weitere Möglichkeit für den Nutzer wäre, direkt von dem Server aus mit einer eigenen SMTP-Engine mit den MTA der "Ziele" zu kommunizieren. Dagegen hilft ebenfalls ein entsprechend konfigurierter Paketfilter sowie evtl. ein Skript, das "unerlaubte" Programme regelmäßig abschießt.

Das alles ist natürlich nur herumdoktern an den Symptomen. Langfristig müsst ihr euer System analysieren und evtl. Angriffsvektoren finden, über welche die E-Mails tatsächlich verschickt werden.

Version psa v8.4.0_build84080514.19 os_SuSE 10.0
Betriebssystem Linux 2.6.9-023stab046.2-enterprise

Das müsste Suse 10.0 Enterprise sein, oder?

Jetzt war mal wieder ein paar Tage Ruhe und nichts erkennbar ... seltsam.

Gruß
Mathias

T1Konni wrote:Das müsste Suse 10.0 Enterprise sein, oder?

Nein, das ist SuSE Linux 10.0.