Server versendet Spam

[alex007]

Hallo,

habe durch logs mitbekommen, dass mein Server viele unzulässige Mails versendet hat. Jetzt weiß ich nicht weiter, wie ich das ganze Stoppen kann.

Sysinfo: Debian 4, Confixx mit paar Confixx-User. Rootkit Tests ergaben keine Auffälligkeiten.

Log Beispiel:

Oct 26 21:34:33 h10317xx postfix/qmgr[2973]: C3D5412385B1: to=, relay=none, delay=90963, delays=90932/31/0/0, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to lycosmail.co.uk[213.193.14.149]: Connection timed out)

Oct 26 23:14:32 h10317xx postfix/smtp[26388]: D20701238190: to=, relay=smtp.webplatz.ch[83.222.129.81]:25, delay=100129, delays=100102/26/0.33/0.12, dsn=4.0.0, status=deferred (host smtp.webplatz.ch[83.222.129.81] said: 451 Blocked - see http://www.webplatz.ch/index-de.php?fra ... 214.64.1xx (in reply to RCPT TO command))

Oct 26 23:14:06 h10317xx postfix/smtp[26468]: 4487F12380F2: host gateway-f1.isp.att.net[204.127.217.16] refused to talk to me: 550-85.214.64.146 blocked by ldap:ou=rblmx,dc=att,dc=net 550 Error - Blocked for abuse. See http://att.net/blocks

Oct 27 22:11:36 h10317xx postfix/smtp[23447]: 064961238071: to=, relay=commtech.com.s7a1.psmtp.com[64.18.6.14]:25, delay=5.1, delays=0.02/0/3.6/1.5, dsn=2.0.0, status=sent (250 Thanks)

Wie kann ich denn erfahren, wer diesen Spam-Versendet? Ich hoffe auf Tipps.

Danke schonmal.

[daemotron]

Wie kann ich denn erfahren, wer diesen Spam-Versendet? Ich hoffe auf Tipps.

1. Ganz dringend MTA runterfahren, sonst erledigt das demnächst die Staatsanwaltschaft für Dich.
2. Wenn Du wissen willst, wie die Mails ins System kommen, schau Dir mal das komplette Log zu einer Mail an (Tip: Nach der Message ID greppen).
3. Wenn Du alles in Ordnung gebracht und Deinen Server abgedichtet hast, besorg Dir entweder ne neue IP oder trag deine jetzige aus den zig DNSBLs aus, in denen sie schon gelandet ist.

[alex007]

Hm ich bin irgendwie der Meinung, dass es doch kein Spam-Versand ist / war?.

Ich habe gerade einen neuen Server eingerichtet und paar Domains auf den neuen Server weitergeleitet. Habe sonst noch 2 Wordpress-Blogs drauf. Und siehe da, wieder komische Meldung, ob irgendwer was versandt hat:


grep 375FB37C5079 mail.info
Nov 3 00:44:09 h14315xx postfix/cleanup[1254]: 375FB37C5079: message-id=<20081102234409.375FB37C5079@h14315xx.stratoserver.net>
Nov 3 00:44:09 h14315xx postfix/qmgr[1060]: 375FB37C5079: from=<>, size=3454, nrcpt=1 (queue active)
Nov 3 00:44:09 h14315xx postfix/bounce[1256]: 3E81A37C4119: sender non-delivery notification: 375FB37C5079
Nov 3 00:44:11 h14315xx postfix/smtp[1255]: 375FB37C5079: to=<zixxaxx@winxxspxxak.com>, relay=winxxxxxspeak.com[67.19.173.36]:25, delay=1.8, delays=0.1/0.01/0.82/0.91, dsn=2.0.0, status=sent (250 2.0.0 mA2Ni9fv028042 Message accepted for delivery)
Nov 3 00:44:11 h14315xx postfix/qmgr[1060]: 375FB37C5079: removed

Wie kann das sein?

[Joe User]

Das war ein Bounce...

[alex007]

Aso. Sollte man das trotzdem irgendwie verhindern oder ist das so okay?

[EdRoxter]

Bloß nicht. Stichwort Standardkonformität und so.

Die Dinger kommen wie folgt zustande: Spammerlein nutzt irgendeine nicht existente Adresse als Absender und schickt Mails a nicht existente Adressen auf deinem Server. Dein Server will eine "Mail delivery failed"-Bouncemail an die nicht existente Adresse zurückschicken und kann bspw. die Domain nicht finden. Damit landet die Mail in der Queue und wird i.d.R. einige Tage lang versucht zuzustellen, bis sie dann verworfen wird.

Alles roger.

[franki]

Bloß nicht. Stichwort Standardkonformität und so.

Die Dinger kommen wie folgt zustande: Spammerlein nutzt irgendeine nicht existente Adresse als Absender und schickt Mails a nicht existente Adressen auf deinem Server. Dein Server will eine "Mail delivery failed"-Bouncemail an die nicht existente Adresse zurückschicken und kann bspw. die Domain nicht finden. Damit landet die Mail in der Queue und wird i.d.R. einige Tage lang versucht zuzustellen, bis sie dann verworfen wird.

Alles roger.

Also, wenn es standardkonform sein soll, bei jedem Zustellversuch an eine nichtexistente Adresse auf unserem Server eine 'Mail delivery failed' Bouncemail zurückzusenden, dann weiche ich lieber etwas vom Standard ab. Da würden sonst bei uns sehr viele solche Bouncemails in der Warteschlange hängen...

Gruß von Frank.

[EdRoxter]

Stimmt auch nicht so ganz, was ich gesagt habe. ;)

Bei nicht existenten Adressen gibt dein Server im Normalfall nur eine 550-Statusmeldung zurück. Das Versenden der entsprechenden Bouncemail übernimmt der eventuelle Relay, der versucht zu deinem Server Kontakt aufzunehmen.

Im Großen und Ganzen ist das aber normal. Ich hab auf meiner Kiste mit ungefähr 80 Mailadressen immer um die 100 Bouncemails und Doublebounces in der Queue hängen. Kaum wird die eine obsolet und verworfen, wird schon die nächste erzeugt.

Kein Grund zur Veranlassung. :)

[franki]

Stimmt auch nicht so ganz, was ich gesagt habe. ;)

Bei nicht existenten Adressen gibt dein Server im Normalfall nur eine 550-Statusmeldung zurück. Das Versenden der entsprechenden Bouncemail übernimmt der eventuelle Relay, der versucht zu deinem Server Kontakt aufzunehmen.

Im Großen und Ganzen ist das aber normal. Ich hab auf meiner Kiste mit ungefähr 80 Mailadressen immer um die 100 Bouncemails und Doublebounces in der Queue hängen. Kaum wird die eine obsolet und verworfen, wird schon die nächste erzeugt.

Kein Grund zur Veranlassung. :)

Bei uns wird so eine Mail an einen nicht existierenden Empfänger gleich rejected, also ich nehme diese dem einliefernden Relay erst gar nicht ab. Laut Mailgraph hatten wir z.B. in den letzten 24 Stunden 27605 rejected Mails, erkannte Spams demgegenüber nur 1225. Das wäre ein Haufen Müll, wenn da jedesmal eine Bounce-Mail rausgegangen wäre.

100 Bouncemails in der Queue wäre mir eindeutig zu viel, wir haben ca. 200 aktive Nutzer, aber fast immer weniger als 10 Mails in der Queue (momentan 3). Da kann ich ab und zu einen Blick drauf werfen und wenns was wichtiges ist, den Absender anrufen ('Du hast dich bei der Mailadresse vertippt!' )

Gruß von Frank.