Probleme mit Spam

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
2rep
Posts: 23
Joined: 2003-04-09 20:57

Probleme mit Spam

Post by 2rep » 2003-04-09 21:04

Hi,

seit kurzem bekomme ich immer über meinen Mailserver SPams
gesendet. Obwohl ich AUTH installiert habe und auch sonst
keinen "GAST" Account habe.

Kann ich das ganze irgendwie dicht machen?

Gruss

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Probleme mit Spam

Post by floschi » 2003-04-09 21:05

Wer wo wie was?

Sofern dein SMTP AUTH funktioniert, kann über deinen Server kein Spam gesendet werden.

Spam an die Domains auf deinem Server lässt sich nicht verhindern. Du kannst ihn lediglich eindämmen, siehe die zigtausend Threads zu Spamassasin ;)

2rep
Posts: 23
Joined: 2003-04-09 20:57

Re: Probleme mit Spam

Post by 2rep » 2003-04-09 21:08

Hi,

der schickt direkt über meinen Server!
Also es steht auch meine Servername drinn.
Das soll angeblich dieser Sendmail Bug sein.... Denke ich.

Dazu habe ich folgendes gefunden bei Euch: http://www.rootforum.org/forum/viewtopic.php?t=9291

Ist es das, was ich brauche?
Dumme Frage ich weiss!

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: Probleme mit Spam

Post by floschi » 2003-04-09 21:12

2rep wrote:der schickt direkt über meinen Server!
An wen? Und woran siehst du das? Evtl. Logfileauszüge...
2rep wrote:Das soll angeblich dieser Sendmail Bug sein....
Hm, wieso? Hat der Angreifer denn mittlerweile Rootrechte auf deinem System :P Ich glaub du hast da den Link zu CERT nicht gelesen...

2rep
Posts: 23
Joined: 2003-04-09 20:57

Re: Probleme mit Spam

Post by 2rep » 2003-04-09 22:29

Nein! Er hat keine Rechte auf meinem Server.
Die Mail sieht im absender ungefähr so aus:

eine menge an komischenSonderzeichen@xxxxxxxxxx.Pureserver.info

Und das kann nur vom Sendmail kommen, denn mein Auth
funktioniert seit fast einem Jahr tadellos.

2rep
Posts: 23
Joined: 2003-04-09 20:57

Re: Probleme mit Spam

Post by 2rep » 2003-04-09 22:36

So,
ich habe mal eine neue Version von Sendmail eingespielt
und bin nun gespannt, was passiert.

Gruss
2rep

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Probleme mit Spam

Post by dodolin » 2003-04-10 00:03

Sorry, den Absender kann jeder fälschen. Wenn du uns keine Mail inklusive vollständiger Header oder entsprechende Logfileauszüge präsentierst, wirst du kaum sinnvolle Hilfe erhalten können...

mmichael29
Posts: 56
Joined: 2002-11-19 15:13

...

Post by mmichael29 » 2003-04-16 01:09

hab das gleiche problem auf meinem server :cry:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Probleme mit Spam

Post by dodolin » 2003-04-16 01:35

@mmichael29: Auch für dich gilt das mit den Logfiles und vollständigen Headern einer Beispielmail. Nichts verfälschen (ausser bei eigenen Adressen z.B. das @ in # umwandeln, wegen der Spambots). Sagen, welche Domains/Rechner dir gehören und wie die Beziehungen (Relay, Fremdrechner, Dein Rechner, ...) sind. Dann könnte man mal weitersehen...

mmichael29
Posts: 56
Joined: 2002-11-19 15:13

Re: Probleme mit Spam

Post by mmichael29 » 2003-04-16 10:38

ps xafuw bringt dieses zu tage:

root 14042 0.1 0.7 4208 1852 ? S 10:32 0:00 sendmail: accepting connections
root 14096 0.0 0.8 4276 2064 ? S 10:32 0:00 _ sendmail: server [61.189.139.50] cmd read
root 14120 0.0 0.8 4276 2064 ? S 10:33 0:00 _ sendmail: server [218.22.210.196] child wait
root 14134 0.0 0.8 4296 2140 ? S 10:33 0:00 | _ sendmail: server [218.22.210.196] cmd read
root 14172 0.1 0.8 4276 2044 ? S 10:33 0:00 _ sendmail: server [200.47.101.211] cmd read
root 14176 0.0 0.8 4276 2064 ? S 10:33 0:00 _ sendmail: server CM64-vina-38-88.cm.vtr.net [200.86.38.88] child
root 14177 0.0 0.8 4296 2128 ? S 10:33 0:00 _ sendmail: server CM64-vina-38-88.cm.vtr.net [200.86.38.88] cm

mmichael29
Posts: 56
Joined: 2002-11-19 15:13

mail log

Post by mmichael29 » 2003-04-16 10:43

und das sagt das mail .logfile

Apr 16 10:43:08 p15096985 sendmail[14793]: h3G8h5u14793: ruleset=check_rcpt, arg1=<reelbgfish@aol.com>, relay=ADSL235-99.advancedsl.com.ar [200.51.235.99], reject=550 5.7.1 <reelbgfish@aol.com>... Relaying denied
Apr 16 10:43:09 p15096985 sendmail[14795]: h3G8h7u14795: ruleset=check_rcpt, arg1=<qiu_lou@yahoo.com>, relay=[218.86.248.186], reject=550 5.7.1 <qiu_lou@yahoo.com>... Relaying denied. IP name lookup failed [218.86.248.186]
~
~
~

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Probleme mit Spam

Post by dodolin » 2003-04-16 11:10

reject=550 5.7.1 <reelbgfish@aol.com>... Relaying denied
Also ist doch alles in Ordnung. Dein Sendmail hat das Relaying verhindert.

Und dass ein MTA nunmal Kinder macht und Verbindungen von Aussen entgegennimmt, ist jetzt auch nicht wirklich ungewöhnlich... :wink:

mmichael29
Posts: 56
Joined: 2002-11-19 15:13

aha

Post by mmichael29 » 2003-04-16 11:12

jo, aber wenn das soviele sind, das der server abstürzt, also 8 mails pro sekunde? oder kann das ne andere ursache haben?

mmichael29
Posts: 56
Joined: 2002-11-19 15:13

neue mail log

Post by mmichael29 » 2003-04-16 11:21

da geht es aber wohl?

Apr 16 11:20:46 p15096985 sendmail[22997]: h3G9Kkw22997: from=<halima@7cash.be>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=host43-201.pool217223.interbusiness.it [217.223.201.43]
Apr 16 11:20:47 p15096985 sendmail[22998]: h3G9Klw22998: ruleset=check_mail, arg1=<halima@7cash.be>, relay=host43-201.pool217223.interbusiness.it [217.223.201.43], reject=501 5.1.8 <halima@7cash.be>... Domain of sender address halima@7cash.be does not exist
Apr 16 11:20:47 p15096985 sendmail[22998]: h3G9Klw22998: from=<halima@7cash.be>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=host43-201.pool217223.interbusiness.it [217.223.201.43]
Apr 16 11:20:49 p15096985 sendmail[23001]: h3G9Kmw23001: lost input channel from IP.net138-79.psi.net.pa [200.46.138.79] (may be forged) to MTA after mail
Apr 16 11:20:49 p15096985 sendmail[23001]: h3G9Kmw23001: from=<accounting@uymail.com^M>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=IP.net138-79.psi.net.pa [200.46.138.79] (may be forged)
Apr 16 11:20:49 p15096985 sendmail[22989]: h3G9Kiw22989: lost input channel from [65.121.161.20] to MTA after mail
Apr 16 11:20:49 p15096985 sendmail[22989]: h3G9Kiw22989: from=<untoldsecrets@jesusanswers.com^M>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=[65.121.161.20]
~

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Probleme mit Spam

Post by dodolin » 2003-04-16 13:52

da geht es aber wohl?
Nein, auch das sieht alles ok aus.

Ich kenne sendmail nicht so genau, aber ich glaube, mit relay= gibt er an, von welchem Host er das bekommen hat, nichts weiter. Solange reject= dortsteht, ist alles ok. Und wenn er "lost input channel" schreibt, dann hatte sich der Sender verabschiedet, bevor die Verbindung ordnungsgemäss mit Quit beendet wurde.