pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Open-Relay auf nicht vorhandenes E-Mail-Postfach » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (4): [1] 2 3 nächste » ... letzte » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Open-Relay auf nicht vorhandenes E-Mail-Postfach
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Open-Relay auf nicht vorhandenes E-Mail-Postfach Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

- Welche Version von pd-admin wird eingesetzt? v4.21
- Welche Version der Serverumgebung wird eingesetzt? 4-0.237
- ci-ssl-install.sh

Heute Nacht hatten wir ein sehr seltsames Open-Relay-Problem.
Auf dem PD-Admin haben wir mit einer früheren SE-Version einen Kunden angelegt mit einer Domain xy.de auf der das MX deaktiviert war und demnach auch kein E-Mail-Konto angelegt war.

Inzwischen hatten wir auf v4.21 geupdated und auf 4-0.236 und 4-0.237 die SE aktualisiert. Dazwischen immer auch per apt-get die Debian-Updates, gerade für openssl, etc. eingespielt.

Nun ist es passiert das über info@xy.de massenhaft Spam-Mails eingeliefert wurden. Warum - stellt sich hier die Frage, wie kann das passieren?

Zur Sicherheit habe ich den MX nochmal ein und wieder aus geschaltet und ein info@xy.de Postfach angelegt mit einem kryptischen Passwort.

Anbei ein Auszug aus dem Mail-Log dazu.

Sehr komisch und macht mich etwas unsicher, ob nicht doch irgendwo eine Lücke im System ist.

Dateianhang:
jpg mail-log-lacorona.jpg (105 KB, 225 mal heruntergeladen)
06.06.2014 07:14 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Bei uns ist es auf mehreren Servern auch jemandem gelungen, Mails ohne Authentifizierung abzusetzen. Ich habe disbezüglich auch Herrn Bradler schon informiert, allerdings ist momentan noch unklar wie das zustande kommt.

Mit ist aufgefallen, dass es dem Angreifer offenbar irgendwie gelungen ist, den smtp-after-pop mechanismus auszunutzen, obwohl ich von seiner IP keine pop3 Authentifizierung sehe. Dennoch war seine IP in der Datei /var/smtp-poplock/dbfile - somit konnte er senden.

Ich deaktiviere derzeit vorsichtshalber smtp-after-pop

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.06.2014 07:28 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
VeNoM
Mitglied


Dabei seit: 14.01.2008
Beiträge: 485

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi,
Pop before SMTP zu deaktivieren ist meiner Meinung nach unklug. Bei diesem Vorgang schaltet man die Sicherheitsmaßnahme der vorherigen Passwortabfrage beim angeforderten, erzwungenen Mailabruf ab.
Ich weis nicht ob es möglich ist in PDAdmin ein Postfach anzulegen ohne Passwort aber ein Open relay hat eigentlich einen Configfehler als Voraussetzung.

Ich würde zunaechst die Quelle des sendenden Mail accounts ausmachen und den Account checken. Nicht dass etwa eine alte Joomla-Installation dahinter steckt oder ähnliches.

Ich würde ich den Server mal auf ein echtes Open Relay checken. Google nach Open Relay befragen. Es finden sich genügend Checker dafür. Dann weiter suchen.

__________________
Gruß
/VeNoM
06.06.2014 07:48 VeNoM ist offline E-Mail an VeNoM senden Beiträge von VeNoM suchen Nehme VeNoM in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Themenstarter Thema begonnen von monderka
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Folgendes steht im Header meiner aus dem Spooler gelöschten Mails.
Das schaut mir aus wie ein Open-Relay ohne jegliche Authentifizierung auf den localhost.

Received: from unknown (HELO ?127.0.0.1?) (info@xy.de@5.39.222.163)

Seltsamer Weise habe ich erst ein paar Stunden davor einen Open-Relay Checker drüber laufen lassen und der meinte das es keines ist. ratlos!

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von monderka: 06.06.2014 07:59.

06.06.2014 07:58 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
VeNoM
Mitglied


Dabei seit: 14.01.2008
Beiträge: 485

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Nicht ratlos sein sondern schauen ob ein Kunde ein Script am laufen hat oder ähnliches. Da ich mit Handy schreibe sehe ich nix auf dem Screeni.

Ich tippe laut den Schilderungen nicht auf ein Open Relay bei Dir.

__________________
Gruß
/VeNoM
06.06.2014 08:03 VeNoM ist offline E-Mail an VeNoM senden Beiträge von VeNoM suchen Nehme VeNoM in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich kann jetzt nicht sagen was bei monderka genau läuft, aber zumindest zu meinem Fall gibt es folgendes zu berichten:

Ich hab mich gestern lang genug beschäftigt um mir sicher zu sein das da irgendetwas im Busch ist, was sicher nichts mit einem Skript oder so zu tun hat.

Der Angreifer (übrigens immer die selbe IP) hat es auf mehreren Server die nichts miteinander zu tun haben geschafft, ein remote Mail VON AUSSEN einzuliefern, und zwar ohne das eine smtp-auth durchgeführt wurde. Auch keine erfolgreiche pop3 auth.
Die Headerzeilen der Mails enthalten KEINE smtp-auth Informationen und schauen so aus als würden sie von einer zum Relayen berechtigten IP kommen.

Der Connect kommt eindeutig von Aussen UND die IP des Angreifers befindet sich im dbfile des smtp-poplock Dienstes.

Dadurch das keine Authentifizierung zustande kommt, scheidet auch ein gehacktes Mailkonto aus. Meine einzig lebensfähige Theorie ist derzeit, das der Angreifer irgendwelche schrägen Pakete schickt, mit denen er es schafft das der smtp-after-pop Dienst ohne Authentifizierung seine IP berechtigt.

Die Empfehlung smtp-after-pop vorerst zu deaktivieren, stammt von Herrn Bradler selbst.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.06.2014 08:18 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
galaxy943
Mitglied


Dabei seit: 13.08.2013
Beiträge: 7

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Wir hatten das Problem auch auf 4 Servern und werden als Vorsichtsnaßnahme smtp-after-pop deaktivieren.
06.06.2014 10:18 galaxy943 ist offline E-Mail an galaxy943 senden Beiträge von galaxy943 suchen Nehme galaxy943 in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.441

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Also ich kann auf unseren Servern im Moment nichts festellen.
Betrifft es nur Server auf denen mit dem Script "ci-ssl-install.sh" umgestellt wurde?
06.06.2014 10:22 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Nein, ich habe dieses Skript nicht verwendet.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.06.2014 10:25 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
monderka
Mitglied


Dabei seit: 06.11.2006
Beiträge: 194
Herkunft: Ansbach

Themenstarter Thema begonnen von monderka
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo Zusammen,

ich bin mir jetzt ziemlich sicher das es, zumindest in der 64bit SE ein Problem mit einem OpenRelay geben muss. Wir hatten das gleiche jetzt wieder bei einem Kunden dessen MX für alle Domains und Co-Domains eigentlich ausgeschaltet ist und trotzdem wird massenhaft auf fiktive E-Mailkonten mit info@domain.xy Mail eingeliefert. Und das ganze regulär per SMTP ohne irgendwelche Scripte im Hostingplatz.

Bitte wirklich nochmal prüfen, denn wir haben drei Server so im Einsatz und auf zweien ist das jetzt schon passiert, auf unterschiedlichen Domains die aber immer MX ausgeschaltet hatten und KEIN E-mailpostfach angelegt war.

Die Einlieferung erfolgt über den Port 587 statt.
qmail-msa: 1402377562.148071 tcpserver ok 7527 0:::fff:78.46.186.33:587 :::ffff:86.57.182.5::3047

Ich habe jetzt den Mailthrottle für diesen Kunden auf 1 in 900 runter geschraubt, aber das kann nicht die Lösung des Problems sein.

viele Grüße
Manfred

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von monderka: 10.06.2014 07:22.

10.06.2014 07:10 monderka ist offline E-Mail an monderka senden Homepage von monderka Beiträge von monderka suchen Nehme monderka in Deine Freundesliste auf
Seiten (4): [1] 2 3 nächste » ... letzte » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Open-Relay auf nicht vorhandenes E-Mail-Postfach

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de