Missbrauch meines SMTP Servers

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Herbie
Posts: 5
Joined: 2019-09-03 16:09

Missbrauch meines SMTP Servers

Post by Herbie »

Ich habe eine Rails-Anwendung, die auf einem Ubuntu-Server läuft und Emails über einen externen SMTP-Server bei IONOS sendet. Nun wurde ich von meinem Provider informiert, dass das Email-Passwort des SMTP Servers gehackt wurde und dass über den SMTP-Server Spam-Mails versendet werden.

Ich habe nun alle Passwörter geändert, das Zugangspasswort bei IONOS und das Email-Passwort der Domain. An meinem Ubuntu-Server habe ich das Root Passwort geändert und auf der Firewall alle Postfix Ports geschlossen. Der Server ist nur noch über die Ports 80, 443, 22, 53 erreichbar.

Und trotzdem werden weiterhin Spam Mails über den SMTP Server versendet. Wo könnte ich noch eine Sicherheitslücke haben? Wenn man von außen nicht mehr an den Postfix rankommt, dann muss er ja wohl über localhost angesprochen werden. Also hae ich da wohl einen Trojaner im System?
Last edited by Herbie on 2020-09-09 18:49, edited 1 time in total.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11144
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Missbrauch meines SMTP Servers

Post by Joe User »

Irgendeine Deiner WebApps kann/darf Mails direkt (ohne Postfix) über Deinen Mailanbieter (IONOS) versenden. Diese WebApp(s) ist offensichtlich kaputt und hat Sicherheitslücken.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

Herbie
Posts: 5
Joined: 2019-09-03 16:09

Re: Missbrauch meines SMTP Servers

Post by Herbie »

Vielen Dank,

Postfix abzuschalten dürfte dann auch nichts bringen, der wird Deiner Meinung nach überhaupt nicht benutzt?

Gibt es einen Weg zu sehen, welcher Prozess die Mails versendet?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11144
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Missbrauch meines SMTP Servers

Post by Joe User »

Richtig, Postfix abschalten hilft hier nicht.

Die Prozess-ID sagt Dir maximal welcher Webserver oder welche Scriptsprache zum Verfassen der Mail genutzt wurde, aber nicht welche WebApp das war.
Wenn Du das trotzdem mal testen willst, dann brauchst Du einen sendmail-Wrapper der das kann, oder Du nutzt tcpdump.

Du musst doch wissen, bei welcher Deiner WebApps Du die Zugangsdaten zu Deinen IONOS-Mailkonto hinterlegt hast, beispielsweise die Rails-App aus Deinem ersten Post. Alle diese WebApps (inklusive Extensions/Module/Themes/etc) musst Du auf den aktuellsten Stand (direkt vom Hersteller) bringen und danach zusätzlich auf bestehende Sicherheitslücken prüfen (lassen).
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.