pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » [erledigt] Mailserver wird als Spamschleuder missbraucht » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (2): [1] 2 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Mailserver wird als Spamschleuder missbraucht
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
ascTim
Mitglied


Dabei seit: 26.08.2015
Beiträge: 27

traurig Mailserver wird als Spamschleuder missbraucht Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hi, ich brauche dringend Ratschläge / Tipps / Hilfe für meinen Mailserver.

Seit ein paar Tagen werden über meinen Server Mails versendet. Hauptsächlich an zwei russische Domains.

Als Beispiel hier eine Mail die heute in der Warteschlange lag: https://justpaste.it/1c1qz

Nach ein paar Tests habe ich bemerkt, dass mein Server als Open Relay angesehen wird. Das erklärt auch die Spams. Jetzt möchte ich das natürlich unterbinden und das Relay zumindest nicht komplett offen lassen.

Nach meinem Wissen sollte ich in der rcpthosts die Domains drin stehen haben, für die Mails angenommen werden. Gesagt getan. Leider habe ich immer noch oben besagtes Problem. unglücklich


Was habe ich übersehen oder vergessen?
Danke für Eure Antworten!

PS: Verweise auf ähnliche Threads gerne gesehen, falls ich welche übersehen hab.

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von ascTim: 17.10.2017 09:56.

05.10.2017 23:09 ascTim ist offline E-Mail an ascTim senden Beiträge von ascTim suchen Nehme ascTim in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich rate eher davon ab selbst in der rcpthosts herum zu fummeln, da diese von pd-admin automatisiert verwaltet wird. Zudem ist das pd-admin Setup im Auslieferungszustand definitiv KEIN open relay, die Ursachen sind in der Regel anderwertig zu suchen.

In Deinem Fall fällt diese Zeile auf

code:
1:
Received: from unknown (HELO electrodeal24.de) (info@ECHTE-DOMAIN.DE@212.241.80.155)


Hieran lässt sich sehen, dass der User info@ECHTE-DOMAIN.DE sich erfolgreich authentifiziert hat. Ich würde als davon ausgehen, dass sein Kennwort geknackt oder durch einen Trojaner/Phising lokal auf seinem PC abgegriffen wurde. Also dem Account dringend ein neues starkes Kennwort geben, und den User informieren. Keinesfalls soll er einfach nur das Kennwort ändern und wieder in den Alltag gehen (sonst geht alles in ein paar Stunden wieder von vorne los). Er sollte unbedingt seine Rechner entsprechend virenscannen etc.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.10.2017 07:34 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.440

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich würde auch die Anzahl der eMails nach denen der Account gesperrt wird runtersetzen, damit Dein Server nicht auf Blacklisten landet.
06.10.2017 09:24 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
ascTim
Mitglied


Dabei seit: 26.08.2015
Beiträge: 27

Themenstarter Thema begonnen von ascTim
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Danke für die Antworten.

Das mit der erfolgreichen Authentifizierung dachte ich mir auch schon.
Nur gibt es für diesen Kunden kein Postfach, da er die Mails extern bei einem anderen Dienstleister liegen hat.
Ein anderer Kunde hat gelegentlich ebenfalls viele viele Spammails generiert, das Postfach "spam@domain.de" gab es zu diesem Zeitpunkt auch. Habe ich entfernt, dennoch ohne Erfolg.

Ein weiteres Beispiel von heute: https://justpaste.it/1c2ar

Zitat:
Original von Eisenherz
Ich würde auch die Anzahl der eMails nach denen der Account gesperrt wird runtersetzen, damit Dein Server nicht auf Blacklisten landet.


Wie ist das gemeint? Kann ich das in pd-admin einstellen oder in der Serverkonfiguration?

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von ascTim: 06.10.2017 09:50.

06.10.2017 09:45 ascTim ist offline E-Mail an ascTim senden Beiträge von ascTim suchen Nehme ascTim in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Kann sein dass auch das eine falsche Fährte ist, aber mich erinnert das hier an was
code:
1:
Received [....] by 0 with SMTP

Statt der Ziffer 0 sollte hier eigentlich Dein Hostname stehen.

Da war mal was, ist allerdings schon länger her, dass man aufgrund eines Fehlers bei der Verarbeitung des Hostnamens in /service/qmail-smtpd/run mit beliebiger Authentifizierung senden konnte. Das wurde allerdings schon vor langer Zeit identifiziert und behoben.

Kannst Du mal den Inhalt von Deiner /service/qmail-smtpd/run irgendwo posten? Keine Sorge, ist nur ein Skript und enthält keine sensinblen Informationen.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.10.2017 10:06 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
ascTim
Mitglied


Dabei seit: 26.08.2015
Beiträge: 27

Themenstarter Thema begonnen von ascTim
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hier meine /service/qmail-smtpd/run

code:
1:
2:
3:
4:
5:
6:
7:
#!/bin/bash

QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
HOSTNAME=`hostname -f`

exec /usr/local/bin/softlimit -m 30000000 /usr/local/bin/tcpserver -x /etc/tcp.smtp.cdb -H -P -R -u $QMAILDUID -g $NOFILESGID -c 40 -v 0 smtp relaylock /var/qmail/bin/qmail-smtpd $HOSTNAME /bin/checksmtppasswd /bin/true 2>&1 | /var/qmail/bin/splogger smtpd 3
06.10.2017 10:22 ascTim ist offline E-Mail an ascTim senden Beiträge von ascTim suchen Nehme ascTim in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ja, das erinnert mich massiv an das damalige Problem. Kann es sein dass der Server schon sehr lange läuft? Diese Datei wurde nämlich glaube ich leider nicht per regulärem Update auf Vordermann gebracht.

Achte bitte darauf, dass Du mit Deiner pd-admin Version und der Version Deiner Serverumgebung aktuell bist. Nicht dass da Abhängigkeiten zu der aktuellen Version der Datei bestehen, die uns nicht klar sind.

Prüfe weiters ob die Eingabe von "hostname -f" auch wirklich Deinen Hostnamen ausgibt.

Dann würde ich die Datei anpassen. Die aktuelle Version dieser Datei sieht so aus, und ich meine zu wissen dass der relevante Teil die Abfrage ist ob der Hostname eh nicht leer ist.
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
#!/bin/bash

MAXCONN=$(cat /var/qmail/control/smtpmaxconn 2>/dev/null)
MAXCONNIP=$(cat /var/qmail/control/smtpmaxconnip 2>/dev/null)
MAXCONNC=$(cat /var/qmail/control/smtpmaxconnc 2>/dev/null)

export MAXCONN=${MAXCONN:-450}
export MAXCONNIP=${MAXCONNIP:-50}
export MAXCONNC=${MAXCONNC:-100}
export DIEMSG="421 TOO MANY CONNECTIONS FROM IP"
export DIEMSGL="421 TOO MANY CONNECTIONS"

QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
HOSTNAME=`hostname -f`

if [ "$HOSTNAME" == "" ]; then
   echo "Kein Hostname gesetzt."
   sleep 30
   exit 11
fi

exec /usr/local/bin/softlimit -m 50000000 \
     /usr/local/bin/tcpserver -j -x /etc/tcp.smtp.cdb -h -P -R -u $QMAILDUID \
     -g $NOFILESGID -c $MAXCONN -v 0 smtp \
     /var/qmail/bin/qmail-smtpd $HOSTNAME \
     /usr/local/pd-admin2/bin/checksmtppasswd /bin/true 2>&1

Danach smtpd neu starten mit
svc -d /service/qmail-smtpd
svc -u /service/qmail-smtpd

Leider muss ich Dir den Tip auf Deine eigene Gefahr geben. Ich bin mir zwar ziemlich sicher bei der Geschichte, aber letztendlich basiert es auf Erinnerungen zu denen ich keinen Beleg mehr finde. DASS die Datei aber mittlerweile anders aussieht, ist unbestritten.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.10.2017 10:33 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Okay, jetzt hab ich endlich eine Referenz zu meiner Erinnerung an die Geschichte gefunden

Herausfinden, wie eine eMail versandt wurde

Daraus ergibt sich die Ergänzung, dass Du Dir auch Deine /service/qmail-msa/run ansehen und den Dienst neu starten musst (die für den Versand über Port 587 zuständig ist). Eine aktuelle Version von dieser sieht momentan so aus:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
MAXSMTPD=`cat /var/qmail/control/concurrencyincoming`

HOSTNAME=`hostname -f`

if [ "$HOSTNAME" == "" ]; then
   echo "Kein Hostname gesetzt."
   exit 11
fi

exec /usr/local/bin/softlimit -m 128000000 \
    /usr/local/bin/tcpserver -v -H -R -l 0 \
    -x /etc/tcp.msa.cdb -c "$MAXSMTPD" \
    -u "$QMAILDUID" -g "$NOFILESGID" 0 587 \
    /var/qmail/bin/qmail-smtpd \
    $HOSTNAME /usr/local/pd-admin2/bin/checksmtppasswd \
    /bin/true 2>&1


__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
06.10.2017 10:38 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
ascTim
Mitglied


Dabei seit: 26.08.2015
Beiträge: 27

Themenstarter Thema begonnen von ascTim
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Danke für deine Beiträge. Habe nun beide run-Dateien aktualisiert und die Dienste neu gestartet.

Jetzt warte ich mal noch eine gewisse Zeit um zu sehen, ob die Spams trotzdem weiterlaufen oder nicht.
06.10.2017 10:59 ascTim ist offline E-Mail an ascTim senden Beiträge von ascTim suchen Nehme ascTim in Deine Freundesliste auf
Eisenherz
Moderator


Dabei seit: 29.04.2009
Beiträge: 1.440

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Die Mail-Submission limitieren kannst Du unter Angebote -> Angebot bearbeiten und dann findest Du beide Punkte unter "E-Mail".
06.10.2017 22:14 Eisenherz ist offline E-Mail an Eisenherz senden Beiträge von Eisenherz suchen Nehme Eisenherz in Deine Freundesliste auf
Seiten (2): [1] 2 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » [erledigt] Mailserver wird als Spamschleuder missbraucht

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de