Server versendet Spam

Rund um die Sicherheit des Systems und die Applikationen
alex007
Posts: 11
Joined: 2008-01-07 21:23

Server versendet Spam

Post by alex007 » 2008-10-30 00:04

Hallo,

habe durch logs mitbekommen, dass mein Server viele unzulässige Mails versendet hat. Jetzt weiß ich nicht weiter, wie ich das ganze Stoppen kann.

Sysinfo: Debian 4, Confixx mit paar Confixx-User. Rootkit Tests ergaben keine Auffälligkeiten.

Log Beispiel:

Oct 26 21:34:33 h10317xx postfix/qmgr[2973]: C3D5412385B1: to=, relay=none, delay=90963, delays=90932/31/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to lycosmail.co.uk[213.193.14.149]: Connection timed out)

Oct 26 23:14:32 h10317xx postfix/smtp[26388]: D20701238190: to=, relay=smtp.webplatz.ch[83.222.129.81]:25, delay=100129, delays=100102/26/0.33/0.12, dsn=4.0.0, status=deferred (host smtp.webplatz.ch[83.222.129.81] said: 451 Blocked - see http://www.webplatz.ch/index-de.php?fra ... 214.64.1xx (in reply to RCPT TO command))

Oct 26 23:14:06 h10317xx postfix/smtp[26468]: 4487F12380F2: host gateway-f1.isp.att.net[204.127.217.16] refused to talk to me: 550-85.214.64.146 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks

Oct 27 22:11:36 h10317xx postfix/smtp[23447]: 064961238071: to=, relay=commtech.com.s7a1.psmtp.com[64.18.6.14]:25, delay=5.1, delays=0.02/0/3.6/1.5, dsn=2.0.0, status=sent (250 Thanks)

Wie kann ich denn erfahren, wer diesen Spam-Versendet? Ich hoffe auf Tipps.

Danke schonmal.

User avatar
daemotron
Administrator
Administrator
Posts: 2635
Joined: 2004-01-21 17:44

Re: Server versendet Spam

Post by daemotron » 2008-10-30 19:21

alex007 wrote:Wie kann ich denn erfahren, wer diesen Spam-Versendet? Ich hoffe auf Tipps.

1. Ganz dringend MTA runterfahren, sonst erledigt das demnächst die Staatsanwaltschaft für Dich.
2. Wenn Du wissen willst, wie die Mails ins System kommen, schau Dir mal das komplette Log zu einer Mail an (Tip: Nach der Message ID greppen).
3. Wenn Du alles in Ordnung gebracht und Deinen Server abgedichtet hast, besorg Dir entweder ne neue IP oder trag deine jetzige aus den zig DNSBLs aus, in denen sie schon gelandet ist.

alex007
Posts: 11
Joined: 2008-01-07 21:23

Re: Server versendet Spam

Post by alex007 » 2008-11-03 00:53

Hm ich bin irgendwie der Meinung, dass es doch kein Spam-Versand ist / war?.

Ich habe gerade einen neuen Server eingerichtet und paar Domains auf den neuen Server weitergeleitet. Habe sonst noch 2 Wordpress-Blogs drauf. Und siehe da, wieder komische Meldung, ob irgendwer was versandt hat:


grep 375FB37C5079 mail.info
Nov 3 00:44:09 h14315xx postfix/cleanup[1254]: 375FB37C5079: message-id=<20081102234409.375FB37C5079@h14315xx.stratoserver.net>
Nov 3 00:44:09 h14315xx postfix/qmgr[1060]: 375FB37C5079: from=<>, size=3454, nrcpt=1 (queue active)
Nov 3 00:44:09 h14315xx postfix/bounce[1256]: 3E81A37C4119: sender non-delivery notification: 375FB37C5079
Nov 3 00:44:11 h14315xx postfix/smtp[1255]: 375FB37C5079: to=<zixxaxx@winxxspxxak.com>, relay=winxxxxxspeak.com[67.19.173.36]:25, delay=1.8, delays=0.1/0.01/0.82/0.91, dsn=2.0.0, status=sent (250 2.0.0 mA2Ni9fv028042 Message accepted for delivery)
Nov 3 00:44:11 h14315xx postfix/qmgr[1060]: 375FB37C5079: removed

Wie kann das sein?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Server versendet Spam

Post by Joe User » 2008-11-03 01:05

Das war ein Bounce...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

alex007
Posts: 11
Joined: 2008-01-07 21:23

Re: Server versendet Spam

Post by alex007 » 2008-11-03 11:16

Aso. Sollte man das trotzdem irgendwie verhindern oder ist das so okay?

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Server versendet Spam

Post by EdRoxter » 2008-11-07 11:07

Bloß nicht. Stichwort Standardkonformität und so.

Die Dinger kommen wie folgt zustande: Spammerlein nutzt irgendeine nicht existente Adresse als Absender und schickt Mails a nicht existente Adressen auf deinem Server. Dein Server will eine "Mail delivery failed"-Bouncemail an die nicht existente Adresse zurückschicken und kann bspw. die Domain nicht finden. Damit landet die Mail in der Queue und wird i.d.R. einige Tage lang versucht zuzustellen, bis sie dann verworfen wird.

Alles roger.

franki
Posts: 60
Joined: 2005-05-31 16:23
Location: Dresden

Re: Server versendet Spam

Post by franki » 2008-11-10 10:15

EdRoxter wrote:Bloß nicht. Stichwort Standardkonformität und so.

Die Dinger kommen wie folgt zustande: Spammerlein nutzt irgendeine nicht existente Adresse als Absender und schickt Mails a nicht existente Adressen auf deinem Server. Dein Server will eine "Mail delivery failed"-Bouncemail an die nicht existente Adresse zurückschicken und kann bspw. die Domain nicht finden. Damit landet die Mail in der Queue und wird i.d.R. einige Tage lang versucht zuzustellen, bis sie dann verworfen wird.

Alles roger.


Also, wenn es standardkonform sein soll, bei jedem Zustellversuch an eine nichtexistente Adresse auf unserem Server eine 'Mail delivery failed' Bouncemail zurückzusenden, dann weiche ich lieber etwas vom Standard ab. :wink: Da würden sonst bei uns sehr viele solche Bouncemails in der Warteschlange hängen...

Gruß von Frank.

EdRoxter
Posts: 483
Joined: 2006-01-06 03:23
Location: Neben Bonn

Re: Server versendet Spam

Post by EdRoxter » 2008-11-10 10:42

Stimmt auch nicht so ganz, was ich gesagt habe. ;)

Bei nicht existenten Adressen gibt dein Server im Normalfall nur eine 550-Statusmeldung zurück. Das Versenden der entsprechenden Bouncemail übernimmt der eventuelle Relay, der versucht zu deinem Server Kontakt aufzunehmen.

Im Großen und Ganzen ist das aber normal. Ich hab auf meiner Kiste mit ungefähr 80 Mailadressen immer um die 100 Bouncemails und Doublebounces in der Queue hängen. Kaum wird die eine obsolet und verworfen, wird schon die nächste erzeugt.

Kein Grund zur Veranlassung. :)

franki
Posts: 60
Joined: 2005-05-31 16:23
Location: Dresden

Re: Server versendet Spam

Post by franki » 2008-11-10 12:41

EdRoxter wrote:Stimmt auch nicht so ganz, was ich gesagt habe. ;)

Bei nicht existenten Adressen gibt dein Server im Normalfall nur eine 550-Statusmeldung zurück. Das Versenden der entsprechenden Bouncemail übernimmt der eventuelle Relay, der versucht zu deinem Server Kontakt aufzunehmen.

Im Großen und Ganzen ist das aber normal. Ich hab auf meiner Kiste mit ungefähr 80 Mailadressen immer um die 100 Bouncemails und Doublebounces in der Queue hängen. Kaum wird die eine obsolet und verworfen, wird schon die nächste erzeugt.

Kein Grund zur Veranlassung. :)

Bei uns wird so eine Mail an einen nicht existierenden Empfänger gleich rejected, also ich nehme diese dem einliefernden Relay erst gar nicht ab. Laut Mailgraph hatten wir z.B. in den letzten 24 Stunden 27605 rejected Mails, erkannte Spams demgegenüber nur 1225. Das wäre ein Haufen Müll, wenn da jedesmal eine Bounce-Mail rausgegangen wäre.

100 Bouncemails in der Queue wäre mir eindeutig zu viel, wir haben ca. 200 aktive Nutzer, aber fast immer weniger als 10 Mails in der Queue (momentan 3). Da kann ich ab und zu einen Blick drauf werfen und wenns was wichtiges ist, den Absender anrufen ('Du hast dich bei der Mailadresse vertippt!' :wink: )

Gruß von Frank.