ich habe seit einigen Tagen das Problem, dass mein Server Spam versendet (Telekom-Spam).
Hinweis: Der Server ist zwar online, versendet aber kein einziges Spam-EMail mehr (amavis/fail2ban).
Habe ich zuerst auf ein kompromitiertes User-Konto getippt, sieht die Sache wie folgt aus:
Der Server läuft unter Debian Squeeze, Postfix + saslauthd, sämtliche Pakete sind aktuell.
Der Angreifer verbindet sich zu Postfix und schafft es *irgendwie*, die Authentifizierung zu umgehen. Einziger Hinweis bisher ist, dass vor der erfolgreichen SASL-Authentifizierung (PLAIN) eine Authentifizierung via CRAM-MD5 (nicht implementiert) erfolgt:
Logfile:
Danach kann er offenbar ungehindert Spam versenden., die Absender-Adresse ist dabei z.B. Telekom@mx.meinserver.com.May 27 16:56:03 thunder postfix/smtpd[21846]: connect from 194-166-180-130.adsl.highway.telekom.at[194.166.180.130]
May 27 16:56:03 thunder postfix/smtpd[21846]: warning: 194-166-180-130.adsl.highway.telekom.at[194.166.180.130]: SASL CRAM-MD5 authentication failed: no mechanism available
May 27 16:56:03 thunder postfix/smtpd[21846]: C8AF213D0AE7: client=194-166-180-130.adsl.highway.telekom.at[194.166.180.130], sasl_method=PLAIN, sasl_username=web194p2
May 27 16:56:04 thunder postfix/smtpd[21846]: disconnect from 194-166-180-130.adsl.highway.telekom.at[194.166.180.130]
Meine Config:
Postfix
SASLsmtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_client_restrictions = permit_sasl_authenticated
smtpd_helo_required = yes
smtpd_delay_reject = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination,check_policy_service inet:127.0.0.1:60000
smtp_sasl_auth_enable = no
smtpd_sasl_auth_enable = yes
smtp_sasl_security_options = noplaintext, noanonymous
smtpd_sasl_authenticated_header = yes
/etc/postfix/sasl/smtpd.conf
Auch ein mehrfaches Ändern des Passwortes des Mail-Users hat nichts gebracht - der Angreifer kann sich weiterhin identifizieren. Verbinde ich mich jedoch mit einem falschen Passwort, wird der Versand verweigert...saslauthd_path: /var/run/saslauthd/mux
pwcheck_method: saslauthd
mech_list: plain login
Irgendeine Idee, woran das liegen könnte ?
Vielen Dank im voraus !!!!!