Missbrauch meines SMTP Servers

[Herbie]

Ich habe eine Rails-Anwendung, die auf einem Ubuntu-Server läuft und Emails über einen externen SMTP-Server bei IONOS sendet. Nun wurde ich von meinem Provider informiert, dass das Email-Passwort des SMTP Servers gehackt wurde und dass über den SMTP-Server Spam-Mails versendet werden.

Ich habe nun alle Passwörter geändert, das Zugangspasswort bei IONOS und das Email-Passwort der Domain. An meinem Ubuntu-Server habe ich das Root Passwort geändert und auf der Firewall alle Postfix Ports geschlossen. Der Server ist nur noch über die Ports 80, 443, 22, 53 erreichbar.

Und trotzdem werden weiterhin Spam Mails über den SMTP Server versendet. Wo könnte ich noch eine Sicherheitslücke haben? Wenn man von außen nicht mehr an den Postfix rankommt, dann muss er ja wohl über localhost angesprochen werden. Also hae ich da wohl einen Trojaner im System?

[Joe User]

Irgendeine Deiner WebApps kann/darf Mails direkt (ohne Postfix) über Deinen Mailanbieter (IONOS) versenden. Diese WebApp(s) ist offensichtlich kaputt und hat Sicherheitslücken.

[Herbie]

Vielen Dank,

Postfix abzuschalten dürfte dann auch nichts bringen, der wird Deiner Meinung nach überhaupt nicht benutzt?

Gibt es einen Weg zu sehen, welcher Prozess die Mails versendet?

[Joe User]

Richtig, Postfix abschalten hilft hier nicht.

Die Prozess-ID sagt Dir maximal welcher Webserver oder welche Scriptsprache zum Verfassen der Mail genutzt wurde, aber nicht welche WebApp das war.
Wenn Du das trotzdem mal testen willst, dann brauchst Du einen sendmail-Wrapper der das kann, oder Du nutzt tcpdump.

Du musst doch wissen, bei welcher Deiner WebApps Du die Zugangsdaten zu Deinen IONOS-Mailkonto hinterlegt hast, beispielsweise die Rails-App aus Deinem ersten Post. Alle diese WebApps (inklusive Extensions/Module/Themes/etc) musst Du auf den aktuellsten Stand (direkt vom Hersteller) bringen und danach zusätzlich auf bestehende Sicherheitslücken prüfen (lassen).