Mailserver Spamt

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Jaik
Posts: 7
Joined: 2013-01-28 09:50

Mailserver Spamt

Post by Jaik » 2013-01-28 10:25

In PS aux sieht man, dass unser Mailserver ständig Spam Emails über anonymous@unserserver.de schickt. Wir haben ein Suse 9.3 mit qmail.
Was sind beliebte Speicherstellen für Spam Scripte und gibt es Sicherheitslücken?

ddm3ve
Moderator
Moderator
Posts: 1125
Joined: 2011-07-04 10:56

Re: Mailserver Spamt

Post by ddm3ve » 2013-01-28 11:01

Ich bin mir gerade nicht sicher ob das ein blöder Scherz sein soll oder ernst gemeint ist.
Ein OS, das das seit über 5 Jahren nicht mehr aktualisiert wird, hat mit Sicherheit lücken.
http://de.opensuse.org/Lifetime

Wenn der Rest auf dem System auch so aktuell ist, wie Webanwendungen etc. dann so oder so.
Neben dem abspeichern der Logs und Sichern von ggf. vorhanden Beweisen ist der nächste zwingende Schritt ein Tausch des Systemes.
Neuinstallation würde ich hier empfehlen und das konsequente genaue prüfen ob alle "Webseiten" etc. auf dem System up to date aber vor allem, unangetastet von 3. ist. Also kein eingeschleusster Schadcode enthält.
Ansonsten solltest Du wohl Deine Upgradestrategie gewaltig überdenken.

Btw. Sicherheitskonzept dürfte min. genau so gelitten haben, und sollte wohl ebenfalls neu überdacht werden.
Ale Passworte und Zugangswege neu auf bauen.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.

Jaik
Posts: 7
Joined: 2013-01-28 09:50

Re: Mailserver Spamt

Post by Jaik » 2013-01-28 11:27

Ein Update( mit Neuinstallation) wird auf jedenfall durchgeführt, aber bis dahin sollte der Spam aufhören und eventuelle Scripte zu löschen. Diese versuche ich zu löschen. Gibt es Möglichkeiten (z.B. Programme) diese zu finden?

ddm3ve
Moderator
Moderator
Posts: 1125
Joined: 2011-07-04 10:56

Re: Mailserver Spamt

Post by ddm3ve » 2013-01-28 11:37

Das, bis dahin solltest Du nicht auf die lange Bank schieben.
Scripte gibt es viele aber ob das eine bzw. andere genau das findet, was man bei dir ausnutzt? Das wiederum kam manigfaltig sein.
Da heisst es wohl suchen.
Welchen Mailserver nutzt Du? Bestehen php Perl etc. Scripte die Mailfunktionen nutzen dürfen?
Bestehen direkte Zusammenhänge zwischen Mailversandt und aktivitäten auf Webseiten etc?

Alternativ den Mailserver herunter fahren, was aber noch keine Garantie für das beenden der Spamvorgänge bedeuten muss.

Interessant wäre, woran Du mit ps ausmachst, dass Spammails verendet werden.
Hier würde ich den ursächlichen Prozesse ausfindig machen wollen.
Was spricht das maillog dazu?
Hat jemand einen account erraten? Werden die emails eingeliefet, hier hilft ein wrapper script z.B. um sendmail, sofern sendmail genutzt wird.

Insgesamt gibt es für jeden Maildienst seine eigene Lösungen das ganze zu untersuchen und ein zu schränken.
Zunächst sollte man also zuverlässig wissen, welcher MTA im Einsatz ist.
02:32:12 21.12.2012 und dann sind Deine Probleme alle unwichtig.