Spamversand über Postfix

Post by **TecServer** » 2009-07-07 09:19

Grüß euch,

bin jetzt per abuse meldung kontaktiert worden dass einer meiner server spam verschickt. soweit auch korrekt laut logs. hab mir das genauer angesehen und finde einfach das Problem nicht. Auth geht über SASL2 "plain login", alle Relaychecker im Web bestätigen mir dass es kein Openrelay ist. In den Logs find ich auch keine einzige SASL zeile, weshalb die irgendwie anders sich authen müssen dass postfix den spam verschickt.

Bin langsam ziemlich ratlos. habt ihr irgendwelche ideen?

Hier auszüge aus ein paar configs

smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain =

smtpd_recipient_restrictions =
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_invalid_hostname,
reject_unauth_destination,
reject_non_fqdn_hostname,
reject_unauth_pipelining

unknown_address_reject_code = 550
unknown_client_reject_code = 550
unknown_hostname_reject_code = 550
unverified_recipient_reject_code = 550
unverified_sender_reject_code = 550

/etc/postfix/main.cf

# $Header: /var/cvsroot/gentoo-x86/dev-libs/cyrus-sasl/files/saslauthd-2.1.21.conf,v 1.2 2007/04/07 13:03:55 chtekk Exp $

# Config file for /etc/init.d/saslauthd

# Initial (empty) options.
SASLAUTHD_OPTS=""

# Specify the authentications mechanism.
# **NOTE** For a list see: saslauthd -v
# Since 2.1.19, add "-r" to options for old behavior,
# ie. reassemble user and realm to user@realm form.
#SASLAUTHD_OPTS="${SASLAUTHD_OPTS} -a pam -r"
SASLAUTHD_OPTS="${SASLAUTHD_OPTS} -a pam"

# Specify the hostname for remote IMAP server.
# **NOTE** Only needed if rimap auth mechanism is used.
#SASLAUTHD_OPTS="${SASLAUTHD_OPTS} -O localhost"

# Specify the number of worker processes to create.
#SASLAUTHD_OPTS="${SASLAUTHD_OPTS} -n 5"

# Enable credential cache, set cache size and timeout.
# **NOTE** Size is measured in kilobytes.
# Timeout is measured in seconds.
#SASLAUTHD_OPTS="${SASLAUTHD_OPTS} -c -s 128 -t 30"

/etc/conf.d/saslauthd

# $Header: /var/cvsroot/gentoo-x86/mail-mta/postfix/files/smtp.sasl,v 1.2 2004/07/18 03:26:56 dragonheart Exp $
mech_list: PLAIN LOGIN
pwcheck_method: saslauthd

/etc/sasl2/smtpd.conf

Danke im voraus

Post by **Joe User** » 2009-07-07 09:31

pam sinnvoll konfiguriert? Logs?

Post by **TecServer** » 2009-07-07 09:55

soweit sollte eben alles passen. ist ident zu anderen servern die keinerlei probleme haben. kann aber auch nur sein dass diese noch nicht so exzessiv angegriffen worden sind. was für infos für / von pam brauchst du denn, poste die gerne

hier sind die letzten 4000 zeilen der mail.info
wenn du was spezifischeres brauchst gib mir bitte bescheid
http://www.nopaste.org/p/aTecFoQSZ

Post by **Joe User** » 2009-07-07 15:49

Lies bitte mal die ersten 100 Zeilen des Logauszugs und beseitige die darin bemägelte Fehlkonfiguration Deines Mailservers und lösche Dich von den genannten Blacklists. Danach leerst Du Deine Mailqueue und wir sehen weiter...

Post by **TecServer** » 2009-07-07 22:57

grüß dich,

ich sehe einmal

Jun 24 05:27:01 MYwebserver postfix/master[18876]: warning: process /usr/lib/postfix/bounce pid 31299 exit status 1
Jun 24 05:27:01 MYwebserver postfix/master[18876]: warning: /usr/lib/postfix/bounce: bad command startup -- throttling

und der rest sind ja bereits spammails die verschickt werden. da fehlen entsprechende RDNS / PTR records aber das hat ja nichts mit spamannahme zutun. oder hab ich was übersehen?

Post by **TecServer** » 2009-07-08 09:42

das mit der rdns ist klar. werd die aber nicht ausbessern damit jetzt noch mehr spam ankommt.

kann ich in der postfix queue oder in anderen logs nachsehen von welcher webapp / welchem user oder wie auch immer der spam eingetragen wird?
wenn das per post verschickt wird dann nutzen mir die access logs von apache ja leider auch nichts

Post by **Joe User** » 2009-07-08 10:50

questionaire wrote:werd die aber nicht ausbessern damit jetzt noch mehr spam ankommt.

Dann kannst Du Deinen Mailserver auch komplett deinstallieren, da Dein Mailserver mit fehlendem/falschem RDNS an ~90% aller anderen Mailserver keine Mails mehr schicken kann. Mit Deinem Spam hat das in diesem Fall wenig zu tun...

Post by **TecServer** » 2009-07-08 10:55

Joe User wrote:
questionaire wrote:werd die aber nicht ausbessern damit jetzt noch mehr spam ankommt.
Dann kannst Du Deinen Mailserver auch komplett deinstallieren, da Dein Mailserver mit fehlendem/falschem RDNS an ~90% aller anderen Mailserver keine Mails mehr schicken kann. Mit Deinem Spam hat das in diesem Fall wenig zu tun...

nachdem das spam problem behoben ist werd ich das schon ausbessern, keine sorge. mir ist jetzt aber das spam problem viel wichtiger

RootForum Community

Spamversand über Postfix

Spamversand über Postfix

Re: Spamversand über Postfix

Re: Spamversand über Postfix

Re: Spamversand über Postfix

Re: Spamversand über Postfix

Re: Spamversand über Postfix

Re: Spamversand über Postfix

Re: Spamversand über Postfix