RootForum Community

Hi,

seit kurzem bekomme ich immer über meinen Mailserver SPams
gesendet. Obwohl ich AUTH installiert habe und auch sonst
keinen "GAST" Account habe.

Kann ich das ganze irgendwie dicht machen?

Gruss

Wer wo wie was?

Sofern dein SMTP AUTH funktioniert, kann über deinen Server kein Spam gesendet werden.

Spam an die Domains auf deinem Server lässt sich nicht verhindern. Du kannst ihn lediglich eindämmen, siehe die zigtausend Threads zu Spamassasin ;)

Hi,

der schickt direkt über meinen Server!
Also es steht auch meine Servername drinn.
Das soll angeblich dieser Sendmail Bug sein.... Denke ich.

Dazu habe ich folgendes gefunden bei Euch: http://www.rootforum.org/forum/viewtopic.php?t=9291

Ist es das, was ich brauche?
Dumme Frage ich weiss!

2rep wrote:der schickt direkt über meinen Server!

An wen? Und woran siehst du das? Evtl. Logfileauszüge...

2rep wrote:Das soll angeblich dieser Sendmail Bug sein....

Hm, wieso? Hat der Angreifer denn mittlerweile Rootrechte auf deinem System :P Ich glaub du hast da den Link zu CERT nicht gelesen...

Nein! Er hat keine Rechte auf meinem Server.
Die Mail sieht im absender ungefähr so aus:

eine menge an komischenSonderzeichen@xxxxxxxxxx.Pureserver.info

Und das kann nur vom Sendmail kommen, denn mein Auth
funktioniert seit fast einem Jahr tadellos.

So,
ich habe mal eine neue Version von Sendmail eingespielt
und bin nun gespannt, was passiert.

Gruss
2rep

Sorry, den Absender kann jeder fälschen. Wenn du uns keine Mail inklusive vollständiger Header oder entsprechende Logfileauszüge präsentierst, wirst du kaum sinnvolle Hilfe erhalten können...

hab das gleiche problem auf meinem server

@mmichael29: Auch für dich gilt das mit den Logfiles und vollständigen Headern einer Beispielmail. Nichts verfälschen (ausser bei eigenen Adressen z.B. das @ in # umwandeln, wegen der Spambots). Sagen, welche Domains/Rechner dir gehören und wie die Beziehungen (Relay, Fremdrechner, Dein Rechner, ...) sind. Dann könnte man mal weitersehen...

ps xafuw bringt dieses zu tage:

root 14042 0.1 0.7 4208 1852 ? S 10:32 0:00 sendmail: accepting connections
root 14096 0.0 0.8 4276 2064 ? S 10:32 0:00 _ sendmail: server [61.189.139.50] cmd read
root 14120 0.0 0.8 4276 2064 ? S 10:33 0:00 _ sendmail: server [218.22.210.196] child wait
root 14134 0.0 0.8 4296 2140 ? S 10:33 0:00 | _ sendmail: server [218.22.210.196] cmd read
root 14172 0.1 0.8 4276 2044 ? S 10:33 0:00 _ sendmail: server [200.47.101.211] cmd read
root 14176 0.0 0.8 4276 2064 ? S 10:33 0:00 _ sendmail: server CM64-vina-38-88.cm.vtr.net [200.86.38.88] child
root 14177 0.0 0.8 4296 2128 ? S 10:33 0:00 _ sendmail: server CM64-vina-38-88.cm.vtr.net [200.86.38.88] cm

und das sagt das mail .logfile

Apr 16 10:43:08 p15096985 sendmail[14793]: h3G8h5u14793: ruleset=check_rcpt, arg1=<reelbgfish@aol.com>, relay=ADSL235-99.advancedsl.com.ar [200.51.235.99], reject=550 5.7.1 <reelbgfish@aol.com>... Relaying denied
Apr 16 10:43:09 p15096985 sendmail[14795]: h3G8h7u14795: ruleset=check_rcpt, arg1=<qiu_lou@yahoo.com>, relay=[218.86.248.186], reject=550 5.7.1 <qiu_lou@yahoo.com>... Relaying denied. IP name lookup failed [218.86.248.186]
~
~
~

reject=550 5.7.1 <reelbgfish@aol.com>... Relaying denied

Also ist doch alles in Ordnung. Dein Sendmail hat das Relaying verhindert.

Und dass ein MTA nunmal Kinder macht und Verbindungen von Aussen entgegennimmt, ist jetzt auch nicht wirklich ungewöhnlich...

jo, aber wenn das soviele sind, das der server abstürzt, also 8 mails pro sekunde? oder kann das ne andere ursache haben?

da geht es aber wohl?

Apr 16 11:20:46 p15096985 sendmail[22997]: h3G9Kkw22997: from=<halima@7cash.be>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=host43-201.pool217223.interbusiness.it [217.223.201.43]
Apr 16 11:20:47 p15096985 sendmail[22998]: h3G9Klw22998: ruleset=check_mail, arg1=<halima@7cash.be>, relay=host43-201.pool217223.interbusiness.it [217.223.201.43], reject=501 5.1.8 <halima@7cash.be>... Domain of sender address halima@7cash.be does not exist
Apr 16 11:20:47 p15096985 sendmail[22998]: h3G9Klw22998: from=<halima@7cash.be>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=host43-201.pool217223.interbusiness.it [217.223.201.43]
Apr 16 11:20:49 p15096985 sendmail[23001]: h3G9Kmw23001: lost input channel from IP.net138-79.psi.net.pa [200.46.138.79] (may be forged) to MTA after mail
Apr 16 11:20:49 p15096985 sendmail[23001]: h3G9Kmw23001: from=<accounting@uymail.com^M>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=IP.net138-79.psi.net.pa [200.46.138.79] (may be forged)
Apr 16 11:20:49 p15096985 sendmail[22989]: h3G9Kiw22989: lost input channel from [65.121.161.20] to MTA after mail
Apr 16 11:20:49 p15096985 sendmail[22989]: h3G9Kiw22989: from=<untoldsecrets@jesusanswers.com^M>, size=0, class=0, nrcpts=0, proto=SMTP, daemon=MTA, relay=[65.121.161.20]
~

da geht es aber wohl?

Nein, auch das sieht alles ok aus.

Ich kenne sendmail nicht so genau, aber ich glaube, mit relay= gibt er an, von welchem Host er das bekommen hat, nichts weiter. Solange reject= dortsteht, ist alles ok. Und wenn er "lost input channel" schreibt, dann hatte sich der Sender verabschiedet, bevor die Verbindung ordnungsgemäss mit Quit beendet wurde.