habe seit heute hier ein seltsames spamproblem (alles überr cn IPs)
habe den emailuser gelöscht, das web gesperrt und es geht trotzdem weiter, hier einige infos aus den logs:
noname.tld steht hier für die echte domain
Von =?pH62?B?ztLDx7a81NrV4rXIxOO1xLzTyOsxNzo1MDoxMQ==?= <info@noname.tld>
Zu
Datum Sun, 22 Jul 2012 17:50:15 +0800
Betreff =?pH62?B?ztLDx7a81NrV4rXIxOO1xLzTyOsxNzo1MDoxMQ==?=
Jul 22 11:59:48 sr01 postfix/virtual[14743]: BC66B314A087: to=<info@noname.tld>, relay=virtual, delay=0.01, delays=0.01/0/0/0, dsn=5.1.1, status=bounced (unknown user: "info@noname.tld")
Code:
Received from bds (unknown [58.221.55.152]) by w01.my
servername.com (Postfix) with ESMTPA id D11E2314A06B; Sun, 22 Jul 2012 11:36:45 +0200 (CEST)
Message-ID <AB43669E5341D7E477573D1D5D2ECA21@bds>
From ¿´¿´ÎÒµÄǰŮÓÑ-- <info@noname.tld>
To
Subject ¿´¿´ÎÒµÄǰŮÓÑ--17:36:42
Date Sun, 22 Jul 2012 17:36:44 +0800
MIME-Version 1.0
Content-Type text/html; charset="gb2312"
Content-Transfer-Encoding base64
X-Priority 3
X-MSMail-Priority Normal
X-Mailer Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE Produced By Microsoft MimeOLE V6.00.2900.5512[code]
dieser account ist jetzt gelöscht, trotzdem loggt sich jemand ein:
4B421314A082: client=unknown[112.67.124.73], sasl_method=LOGIN, sasl_username=info@noname.tld
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Das ist aber nicht das vollständige Log der Mail, da fehlt die Einlieferung und die Zwischenschritte der Verarbeitung.
Die main.cf ist nicht der Hit, da möchte ich aber dem Adminpanel nicht reinreden. Ich würde sie aber so nicht auf einem meiner Mailserver einsetzen.
BTW: Das vollständige Log ist wichtig, um festzustellen, ob die Spams local oder remote eingeliefert werden und wo das genau Problem steckt. Im Zweifel musst Du das Logging von Postfix hochdrehen und je nach Distri mehrere Logfiles zusammenführen. Selten ist auch die Syslog-Config verhunzt, lässt sich aber ohne dessen Config zu kennen nicht beurteilen.
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
hier ist noch etwas:
NOQUEUE: reject: RCPT from SMTPBG257.QQ.COM[183.62.104.157]: 550 5.1.1 <info@privat.tld>: Recipient address rejected: User unknown in virtual mailbox table; from=<PostMaster@qq.com> to=<info@privat.tld> proto=SMTP helo=<smtpbg257.qq.com>
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
von: info@rscl.lu (dieses konto habe ich vor stunden gelöscht)
an: (immer wieder @qq.com mit mehreren cc bcc)
302585985@qq.com 837707283@qq.com 1093571070@qq.com 821520803@qq.com 2465743964@qq.com 598607800@qq.com 1070543707@qq.com 1959594000@qq.com 604525812@qq.com 2860541738@qq.com
Last edited by fulltilt on 2012-07-22 20:09, edited 1 time in total.
Zunächst fällt auf, dass Du IPv6 nicht konfiguriert aber aktiviert hast.
* Du solltest IPv6 komplett deaktivieren, wenn Du es ohnehin nicht nutzt.
Dann ist das *.local suboptimal bis kontraproduktiv.
* Bitte auf *.local komplett verzichten.
Dein Webmail wird stark frequentiert.
* Bitte Konfiguration, Absicherung und Aktualität prüfen
Insbesondere Deine luxemburgischen Kunden scheinen mit dem gleichen Client parallel mehrere Mailboxen unterschiedlicher Personen abzufragen.
* Ist das gewollt, oder wurden Kundenaccounts/Kundenrechner gehackt/infiziert?
Ist POP3 heutzutage wirklich noch notwendig?
* Kunden zur IMAP-Nutzung überreden/zwingen.
Sind die Webapps alle uptodate und vernünftig konfiguriert?
* Prüfen und für den Mailversand SMTP-AUTH erzwingen, sendmail verbieten.
* Alternativ einen sendmail-Wrapper mit Loggingfunktionen einrichten
Für SMTP und IMAP/POP3 jeweils TLS und AUTH erzwingen, auch für lokale Verbindungen.
Du musst quasi Dein gesamtes Mailsystem von Grund auf neu aufbauen und Dich intensiv mit den jeweiigen Konfigurationen und Dokumentationen auseinandersetzen. Zudem ist zu prüfen, inwieweit das Adminpanel dieses zulässt.
BTW Adminpanel: Ist das Ding uptodate und abgesichert?
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
danke für deine hilfe und dass du dir die zeit genommen hast!
beim panel bzw. ispcp ist alles aktuell bis auf pma, auch php ist soweit gut abgesichert ...
ich werde alles was postfix betrifft neu aufsetzen und auch die zertifikate neu erstellen
hatte auch bereits daran gedacht das es von einem infizierten kundenrechner oder einem formular kommt ... habe 2 webs testweise gesperrt und beobachte die apache logs weiter ...
die letzten 90min ist die mail queue OK, in den maillogs sehe ich zwar noch einige rejects aber sieht wieder gut aus nachdem die beiden kundenwebs gesperrt sind (2x joomla) muss ich mir noch genauer anschauen ...