You are not logged in.

Anzeigen

Postfix wird zum Spam Senden missbraucht

nslu2-info.de ist ein privates Projekt von mir, welches jeden Monat aus eigener Tasche finanziert wird. Mit einer freiwilligen Spende wird der Erhalt und der weitere Ausbau dieses Forums unterstützt. Um mich beim Erhalt des Forums zu unterstützen, kannst Du entweder via Flattr oder Paypal spenden. Ich bedanke mich schon jetzt bei allen Unterstützern.

Kaktus621

Beginner

  • "Kaktus621" started this thread

Posts: 28

  • Send private message

1

Tuesday, August 4th 2009, 10:14am

Postfix wird zum Spam Senden missbraucht

Hallo!

Ich habe ein Problem mit meinem Mailserver. Ich benutze eine Kombination aus dovecot/postfix und sie läuft bisher tadellos. Als ich letztens allerdings mal in die Logs geschaut habe, ist mir folgendes aufgefallen:

Source code

 
1
2
3
4
5
6
7
8
9

Aug  4 09:55:45 k621 postfix/qmgr[1996]: 6A033AA45: from=<www-data@k621.de>, size=4125, nrcpt=1 (queue active)
Aug  4 09:55:45 k621 postfix/qmgr[1996]: 6631FAA31: from=<www-data@k621.de>, size=4118, nrcpt=1 (queue active)
[... kommt noch mehrere male ...]

Aug  4 09:55:47 k621 postfix/smtp[2033]: 6631FAA31: to=<airton@karpinski.com.br>, relay=mail.arcor.de[151.189.21.116]:25, delay=112050, delays=112048/1.3/0.11/0.85, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as D5F79332AEE)
Aug  4 09:55:47 k621 postfix/qmgr[1996]: 6631FAA31: removed
Aug  4 09:55:48 k621 postfix/smtp[2032]: 6A033AA45: to=<airtonr@livrariasaraiva.com.br>, relay=mail.arcor.de[151.189.21.116]:25, delay=112047, delays=112044/1.1/0.27/1.4, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as C5E87332AE1)
Aug  4 09:55:48 k621 postfix/qmgr[1996]: 6A033AA45: removed
[... ebenfalls noch mehrere male ...]
Da ich die Mails nicht verschickt habe, die Empfängeradressen mir gänzlich unbekannt sind und auch der Absender Account eigentlich unbekannt ist, schätze ich mal, dass Spam-Bots meinen Server zum Senden ihres Mülls verwenden.
Der Account www-data existiert zwar auf meinem Server, wurde aber nicht von mir erstellt, er war bereits bei der Installation des Systems dar (DebianSlug).

Meine Fragen:

* Habe den SMTP Port jetzt vom Standardport auf einen anderen gestellt, reicht das, um SpamBots abzuwehren?
* Kann ich den Account "www-data" einfach vom System entfernen (könnte der Webserver ihn vielleicht benutzen? Verwende LigHTTPd)
* Kann ich den Account "www-data" einfach nur im Mail-System (dovecot/postfix) Sperren, ihm also die Berechtigung zum senden von Mails verweigern?

Vielen Dank im Vorraus.
Anzeigen

Kaktus621

Beginner

  • "Kaktus621" started this thread

Posts: 28

  • Send private message

2

Friday, August 7th 2009, 1:22pm

AW: Postfix wird zum Spam Senden missbraucht

Nachtrag:

Portwechsel hat scheinbar die Lösung gebracht, im Log taucht nun schon seit einiger Zeit kein Spam auf.

Trotzdem würde ich mich freuen, wenn jemand die anderen zwei Fragen beantworten könnte.
Anzeigen

caplink811

Forensupporter

Posts: 2,200

wcf.user.option.userOption68: 64X2/8GB/Ubuntu10.04LTS

wcf.user.option.userOption65: anderes

Location: Berlin

Occupation: TK/IT Consulting and Engineering

  • Send private message

3

Friday, August 7th 2009, 4:03pm

AW: Postfix wird zum Spam Senden missbraucht

Moin,

wäre es nicht einfacher, Postfix entsprechend zu konfigurieren, so das er nicht als Relay mißbraucht werden kann?
Wie das geht erfährst Du auf http://www.postfix.org

bye
JrB
"Supporting joe users worldwide" <- that's our motto

MentalFS

Trainee

Posts: 71

wcf.user.option.userOption68: NSLU2

wcf.user.option.userOption65: Debian

  • Send private message

4

Friday, August 7th 2009, 5:10pm

AW: Postfix wird zum Spam Senden missbraucht

Lighttpd läuft standardmäßig unter der Kennung www-data. Wenn du den User einfach löschst, so würde der Webserver nicht mehr starten. Ich vermute mal, solange du nicht mit einem Script über deinen Webserver eine Mail verschicken willst, kannst du gefahrlos die Rechte zum Mailversand entfernen.

Allerdings wäre die beste Lösung immer noch, wie caplink811 schon geschrieben hat, Postfix besser zu konfigurieren - z.B. dass es zum Senden einer Mail ein Passwort erwartet, oder keine Mails von außerhalb des lokalen Netzes zum Versenden annimmt.

Kaktus621

Beginner

  • "Kaktus621" started this thread

Posts: 28

  • Send private message

5

Saturday, August 8th 2009, 3:56pm

AW: Postfix wird zum Spam Senden missbraucht

Also:

Port Wechsel hat zwar die Spams verjagt, allerdings sind auch keine E-Mails mehr angekommen. Also _NICHT_ machen!

Aber ich habe jetzt ein wenig an der main.cf gearbeitet. Es müsste jetzt alles SpamBot-Sicher sein. Eine Diagnose von "mxtoolbox.com" ergab folgendes:

Quoted


RESULT: k621.de

Banner: 220 k621.de :: Mailserver
Connect Time: 0 seconds - Good
Transaction Time: 0.906 seconds - Good
Relay Check: OK - This server is not an open relay.
Rev DNS Check: OK - 92.72.1.144 resolves to dslb-092-072-001-144.pools.arcor-ip.net
GeoCode Info: Geocoding server is unavailable
Session Transcript: HELO please-read-policy.mxtoolbox.com
250 www.k621. [141 ms]
MAIL FROM: <test@mxtoolbox.com>
250 2.1.0 [297 ms]
RCPT TO: <test@mxtoolbox.com>
554 5.7.1 <test@mxtoolbox.com>: Relay access deni [312 ms]
QUIT
221 2.0.0 B [156 ms]



Sieht doch gut aus, oder? Also damit wurde doch getestet, ob man einfach so ohne Passwort Mails über meinen Server schicken kann, sehe ich das richtig?

Social bookmarks