hi

habe einen s4f (ich weiss ist nich der beste anbieter, soll aber jetzt hier egal sein - und ja ich könnte auch den s4f support per ticket system in anspruch nehmen, ich setz aber mehr erwartungen an euer können und wissen ;)).

gestern abend hab ich mir mal so die laufenden prozesse über webmin angeschaut und dabei festgestellt das sendmail ständig irgendwelche connections zu komischen ip's und spamhosts hat.

Auszug:

26747 root 14:39 sendmail: server [196.38.197.241] cmd read
26809 root 14:39 sendmail: server ensim.ultimatewebsitehost.com [64.246.34.56] cmd read
26861 root 14:40 sendmail: startup with 207.61.116.132
26862 root 14:40 sendmail: server cedant6.abac.com [66.175.0.7] cmd read
26863 root 14:40 sendmail: server smtp-relay.tamu.edu [165.91.143.199] cmd read
26868 root 14:40 sendmail: startup with 200.246.0.244
26862 root 14:40 sendmail: server cedant6.abac.com [66.175.0.7] cmd read
26863 root 14:40 sendmail: server smtp-relay.tamu.edu [165.91.143.199] cmd read
26875 root 14:40 sendmail: server mx.HSCG.net [80.73.128.55] cmd read
26903 root 14:40 sendmail: server hp.rz.uni-potsdam.de [141.89.64.1] cmd read

böse böse, jedesmal wenn ich die laufenden prozesse aktualisiere, hab ich neue hosts und ips da stehen.

auf dem server läuft suse9.0
hat jemand ne idee wie sowas möglich ist? und vor allem was ich für gegenmaßnahmen ergreifen kann? bin leider nicht unbedingt erfahren in sachen sendmail. hab mir die sendmail.cf mal angeschaut aber da durchzublicken ist mir unmöglich :p

ich danke für jede antwort

gegen anfragen an deinem sendmail wirst du nichts wirkliches machen können. sichere dein sendmail halt so ab das er nicht open relay ist und gut ist die sache.

wärs zuviel verlangt wenn mir jemand sagt wie ich open relay abschalte? :x

Tut mir leid hatte heute mittag noch was dadrüber gelesen habs aber leider wieder vergessen sry :-D , bin aber bei google darauf aufmerksam geworden. Musste mal kucken

also mit webmin geht es sehr einfach oder Du bearbeitest die Datei /etc/mail/access
unt trägst unten dein Netzwerk ein, stehen Beisspiele dran

bluesky666 ... hat Recht!
Trage dort als RELAY nur das lokale Netzwerk als IP ein und du hast Ruhe ... zB.: 192.168.100 => RELAY ... das wars dann auch schon ... und die Spammer schauen in die Tüte!

Grüße Blade :D

da stand bei mir:
-
127 RELAY
-



habs jetzt in:
-
127.0.0.1 RELAY
localhost RELAY
-
geändert und sendmail neu gestartet.

das problem besteht aber weiterhin.. schon ca. 20 sekunden nach dem start von sendmail folgende prozesse:

31780 root 20:48 sendmail: accepting connections
31831 root 20:49 sendmail: server smx1.sover.net [209.198.87.176] cmd read
31784 mail 20:48 sendmail: Queue control
31785 mail 20:48 sendmail: running queue: /var/spool/clientmqueue

2 minuten nach dem start:

31780 root 20:48 sendmail: accepting connections
31831 root 20:49 sendmail: server smx1.sover.net [209.198.87.176] cmd read
31907 root 20:49 sendmail: server barak.it.net.au [202.148.68.14] cmd read
31912 root 20:49 sendmail: server mxsf02.cluster1.charter.net [209.225.28.202] cmd read
31924 root 20:49 sendmail: server malek.mailrover.net [216.126.204.163] cmd read
31925 root 20:49 sendmail: server ns1.tuiasi.ro [193.231.15.152] cmd read
31938 root 20:49 sendmail: server usc.edu [128.125.253.136] cmd read
31942 root 20:50 sendmail: server nic.stolaf.edu [130.71.128.8] cmd read
31943 root 20:50 sendmail: server ldap0-0.apk.net [207.54.158.40] cmd read
31955 root 20:50 sendmail: server ns2.unisys.com.br [200.220.64.7] cmd read
31956 root 20:50 sendmail: server mailrelay.seabury-ins.com [167.245.244.252] cmd read
31961 root 20:50 sendmail: server gate2.ukrom.umusic.com [212.162.212.10] cmd read
31971 root 20:51 sendmail: server webmail.sprintsvc.net [205.244.202.20] cmd read
31975 root 20:51 sendmail: server episd18.episd.org [168.58.204.2] cmd read
31784 mail 20:48 sendmail: Queue control
31785 mail 20:48 sendmail: running queue: /var/spool/clientmqueue

ich meine ok, cmd read muss ja nicht gleich cmd send bedeuten oder? aber alleine die tatsache das die hosts lesen nervt mich...


nochwas:

hatte vorhin schonmal mit der access rumgespielt und hosts mit REJECT eingetragen.. danach war aber trotzdem eine connection vorhanden.

könnts evtl. dran liegen das die access nicht richtig verwendet wird bei mir?


-------------------

ich paste einfach mal weiter, irgendwie glaub ich hat sich da was eingenistet bei mir aufm server? :eek: :confused:

3007 root 00:42 sendmail: i1QNgd2s003007 localhost [127.0.0.1]: DATA
3008 root 00:42 sendmail: ./i1QNgd2o003007 from queue
3009 root 00:42 procmail -f root@***.server4free.de -a -d root
3028 root 00:42 sendmail: i1QNgo2o003028 mailbox1.ucsd.edu [132.239.1.53]: RCPT To:<fwilkins_gc@ ...
3035 root 00:42 sendmail: i1QNgo2o003035 cliff.kota.net [208.34.91.12]: RCPT TO:<robertevanslj@a ...
3006 mail 00:42 sendmail: ./i1QJuMu4032058 [127.0.0.1]: client DATA status

oder nur unnötige paranoia?

Hi knarz,

nee, denke net, dass du paranoid bist. Würde mir auch Gedanken machen. Hast du eine FireWall am Laufen, was ist mit deinen Ports, sind die dicht?

Such mal in der Log-Datei ... /var/log/mail ... nach dem Begriff ... denied ... oder eben in deiner zitierten Log-Datei und poste mal den Eintrag. Bei mir steht da immer, dass ein xyz-server versuchte Mails über meinen server zu verschicken, aber mein server ganz einfach ... denied meldete etc. und dann ist Schluss mit dem Unfug!

Grüße Blade :rolleyes:

also in dem Fall mach halt einfach Port 25 auf deinem externen Device zu per iptables, dann ist Ruhe im Karton...

Original geschrieben von bluesky666
also in dem Fall mach halt einfach Port 25 auf deinem externen Device zu per iptables, dann ist Ruhe im Karton... So etwas macht man nicht per iptables zu, sondern indem man den Dienst richtig konfiguriert.

also mein sendmail hier nimmt auch nur mails an, man kann keine drüber verschicken ausser vom internen Netzwerk, ist schon klar, aber wenn er ihn von außen nicht braucht kann er auch den Port schließen oder sendmail halt auf das interne Device binden

sendmail.mc -> DAEMON_OPTIONS dann loopback eintragen 127.0.0.1 oder dein Netz mit Subnetmask...

mit dem M4 Makro die cf neu generien und dann ist ruhe im Kasten

greez
adme

ich habe das oben genannte problem ebenfalls. da ich aber noch recht neu im linux bereich bin und mir entsprechendes wissen fehlt:

- mein sendmail empfängt auf nem port über 30000 connecis von aussen
- versendet emails an mich und andere (spam)
- dnsbl listen sind eingeschaltet, habe auch einzelne versender-ips bei den listen manuell gecheckt und normalerweise müsste der zugriff unterbunden werden
- per ps -ef | grep sendmail sehe ich aber immer noch zugriffe von aussen

zu dem tipp von adme kann ich nur sagen: ich finde weder eine sendmail.mc noch irgendwo eine eintrag von wegen DAEMON_OPTIONS.




hat jemand ne idee, tipp, vorschlag für nen anfänger? wie kann ich sendmail für äußere zugriffe sperren, und inwiefern wird dadurch mein SMTP dienst für meine adressen beeinflusst?

..das ist nun schon der zigste Tread über den Mißbrauch eines Mailservers. Irgendwann sollte man mal einen Führerschein für das Betreiben einrichten. Und diese Problematik wird ab nächstes Jahr noch schlimmer, wenn große Provider Ihre System öffnen müssen. Da freut man sich immer über ein offenes Relay

was meinst du damit, wenn große provider ihre systeme öffnen müssen?

nunja, ich denke die problematik ist, dass die server gerad durch die ganzen sicherheitslücken so komliziert sind, das man sich da erstmal sehr gut auskennen muss. Und das halt möglichst in allen Bereichen, die beim Server eine Rolle spielen. Wenn man die ganzen Themen die man dafür beherrschen muss auflistet, geht der Thread drei Seiten lang.

Aber ich denke es ist auch Aufgabe des Anbieters eines Servers, dem Mieter Informationen an die Hand zu geben. Und das ist bei vielen Anbietern nicht so.

Man bekommt einen Server, und der steht dann da. Vorkonfiguriert, fertig zum einbrechen oder missbrauchen.

Ich denke wenn man schon als seriöse Firma Server vermietet, sollte man auch dafür sorgen, dass das Ding sicher ist. Auch wenn es nicht managed ist.

Immerhin werden mit der Werbung von z.B. S4F und Strato ja Neulinge und Amateure geködert - dann muss denen auch entsprechend mit Informationen und Absicherungen entgegengekommen werden.

Warum wird nicht einfach eine ordentliche Firewall installiert? Es ist wohl besser einen Port freigeben zu müssen, als eine Firewall zu installieren, als Anfänger.

Eine Firma die sich an Profis richtet, sollte davon ausgehen können, dass der Kunde informiert ist, professionell und verantwortungsvoll. Einige Firmen wissen aber, das ein Großteil ihrer Kunden nicht dazu gehört.

Ich gehe aber davon aus, wenn ich einen Server vermiete, das der Kunde sich damit auskennt, oder das Ding von jemandem betreuen lässt der sich damit auskennt.

was meinst du damit, wenn große provider ihre systeme öffnen müssen?
http://www.heise.de/newsticker/meldung/52954


Ich gehe aber davon aus, wenn ich einen Server vermiete, das der Kunde sich damit auskennt, oder das Ding von jemandem betreuen lässt der sich damit auskennt. ..
denk ich auch, bzw. der service zur pflege wird angeboten und das kostet halt...geiz ist somit überhaupt nicht geil

wie schon in einem vorigen tread wirst du es nicht unterbinden können das anfragen an deinem sendmail gemacht werden. was du machen kannst und das solltest du auf jeden fall machen, dein sendmail gegen open relay abzusichern. wie das am besten geht ? trage deine IP als relay und nicht mehr. also nicht die 127.0.0.1 sondern ehe die du von deinem provider bekommen hast.

zurück zum thema:

also du kannst sendmail so einrichten dass es smtp-auth beim empfang will
bei neueren suses findest du das unter /etc/sysconfig/sendmail

ansonsten muss das auch in der linux.mc machbar sein



dnl define(`confAUTH_OPTIONS', `Apy')dnl
dnl TRUST_AUTH_MECH(`place_here_your_auth_mechanism')d nl
dnl define(`confAUTH_MECHANISMS', `place_here_your_auth_mechanism')dnl
dnl


musst aber auch cyrus ggf nachinstallieren

ansonsten wuerd ich auch per firewall mall die source ip des spammers blocken (falls es immer die gleiche is)

ich hoff ich lieg net falsch


gruessla
rasi

-> neomc, mach den Port 25 dicht und alle, auch die Spammer bleiben draußen!

neomc, als erstes würde ich empfehlen, dass du mehr Informationen herausgibst, meine Glaskugel ist bekanntlich defekt. Glaubensbekenntnisse ala "dnsbl aktiviert uns sollten funktionieren" reissen mich nicht unbedingt vom Hocker und amchen ein helfen unmöglich.

- Distribution? (wäre schonmal sehr hilfreich gewesen).
- konfigfiles?
- logfiles?
- was willst du mit "ps -ef" erreichen? man ps
- wie hast du sendmail konfiguriert?



nunja, ich denke die problematik ist, dass die server gerad durch die ganzen sicherheitslücken so komliziert sind, das man sich da erstmal sehr gut auskennen muss.Völlig daneben. Server/Serverdienste sind kompliziert, weil sie viele Funktionen haben und davon abhängig Einstellungen getroffen werden können und müssen.

Wenn man davon keine Ahnung, muss man entweder die Finger davon lassen oder sich das notwendige Wissen verschaffen



Aber ich denke es ist auch Aufgabe des Anbieters eines Servers, dem Mieter Informationen an die Hand zu geben. Und das ist bei vielen Anbietern nicht so. Pff, wo leben wir denn? Es ist Sache das Kunden(!) sich das notwendige Wissen zu beschaffen bevor man etwas anfängt. Ich würde es bevorzugen, dass Anbieter keine Kunden annehmen, die nicht über das notwendige Wissen verfügen einen Server zu konfigurieren (ja, ich will nen Computerführerschein, oder Strafe für Fehlkonfigurierte Server!)


Man bekommt einen Server, und der steht dann da. Vorkonfiguriert, fertig zum einbrechen oder missbrauchen.In der Regel sind die Server im Moment der Auslieferung relativ aktuell und damit nur schlecht zum Einbrechen/Misbruachen geeignet. Das erledigt Hanswurst Kunde dann shcon von alleine.

Ich denke wenn man schon als seriöse Firma Server vermietet, sollte man auch dafür sorgen, dass das Ding sicher ist. Auch wenn es nicht managed ist. I.d.R. sind sie das zum Zeitpunkt der Übergabe auch. Wenn der Kunde nicht im Stande ist, es auf diesem Niveau zu halten, soll er sich einen managed Server bestellen oder die Finger davon lassen oder im Falle eines Falles dafür bluten (sprich tief in die Tasche greifen, Schaden macht bekanntlich klug)


Warum wird nicht einfach eine ordentliche Firewall installiert? Es ist wohl besser einen Port freigeben zu müssen, als eine Firewall zu installieren, als Anfänger. Vielleicht weil eine Firewall kein Paketfilter ist? Egal, was du in der Computerbild gelesen haben magst, ich stimme dir jedoch zu, dass es kein Fehler wäre alles auf so nem Server bis auf ssh abzuschalten. (Wobei mich die Gesichter dieser Kunden dann doch interessieren würde


Eine Firma die sich an Profis richtet, sollte davon ausgehen können, dass der Kunde informiert ist, professionell und verantwortungsvoll. Einige Firmen wissen aber, das ein Großteil ihrer Kunden nicht dazu gehört.Ist es die Schuld des Ferrari verkäufers, wenn der Junge zu doof ist selbigen zu fahren und am Baum endet?

Ich frage mich immer wieder, wenn ich solche Thread lese, warum die Leute immer mehr meinen einen root-Server zu mieten und ohne Ahnung von der Materie und ohne sich in die Sachlage einzuarbeiten Mail-, Internet-, Spiele-,... Server dem WWW zur Verfügung stellen zu müssen.
Und wenn ihr System plötzlich gehackt und als Spam- oder Wurmschleuder fungiert heulend angerannt kommen.

Ich kann da nur sagen: RTFM bevor ihr online geht!


Es ist doch ganz einfach: Wer keine Ahnung bzw. keinen Bock hat sich richtig um seine Internet-Angebote zu kümmern, der soll sich gefälligst einen managed-Server mieten, den dafür sind diese Angebote der Provider da. Sicher, sie sind etwas teuerer aber dafür hat der Mieter auch weniger Aufwand.
Die root-Server sind für Profis, die wissen was sie tun und ihr System aktuell und sicher halten. Die können sich den Preisvorteil zu nutzte machen bzw. das gesparte Geld in ihre Administrationstätigkeit investieren.

ansonsten wuerd ich auch per firewall mall die source ip des spammers blocken (falls es immer die gleiche is)

ich hoff ich lieg net falsch
Doch tust du. Besser du setzt auf Schwarze Listen (ähnlicher Effekt, aber die werden wenigstens regelmässig aktualisiert, d. h. auch mal ein temporär falsch konfigurierter Server/Skript kann Unschuldsbekennung, wieder Mail zustellen).

also nochma fuer jinto:
wenn smtp_auth eingerichtet (s.o.) is das problem geloest
solange bis smtp_auth eingerichtet is mit iptables die ip blocken
danach wieder freigeben..:eek: - das war evtl etwas zu knapp beschrieben

btw:
sachma wo hast du hier irgendwas konstruktives geschrieben
(habe auch nur die info die du hast)
aber sicher hast du ne bessere idee

brauchst net sauer sein soll nur positive/konstruktive kritik sein ;P
guessla & nen guten rutsch
rasi

also nochma fuer jinto:
wenn smtp_auth eingerichtet (s.o.) is das problem geloest
solange bis smtp_auth eingerichtet is mit iptables die ip blocken
danach wieder freigeben..:eek: - das war evtl etwas zu knapp beschriebenIch wuerd das anders machen, sendmail stoppen, konfigurieren, online schalten. Ist aber wohl zu einfach :p


btw:
sachma wo hast du hier irgendwas konstruktives geschrieben
(habe auch nur die info die du hast).Wie hier soll man konstruktive Beiträge schreiben, warum hat mir das niemand vorher gesagt. ;)

Ne aber mal Spass ohne, es _ist_ konstruktiv zu sagen, nenn die Distribution, zeig die Konfigfiles und die Logfiles (natürlich nur wenn sie nicht gepostet wurden). Alles andere ist sinnloses raten.
Du _vermutest_, dass smtp-auth sein problem lösen wird, aber ist das richtig? smtp-after-pop? evtl. will er gar keine Mails von ausserhalb des Server verschicken? Es gibt bestimmt och x dutzend andere Möglichkeiten die alle zutreffend sein könnten, oder eben auch nicht. Wenn ich Raten will, würd ich lieber Lotto spielen, dabei kann ich wenigstens was gewinnen.

Auf Vermutungen, vom Problemverursacher kann ich auch verzichten, denn wenn seine Vermutungen richtig wären, hätte er kein Problem.

Wer es nichtmal schafft, notwendige Info´s zur Problemlösung des eigenen Problems bereitzustellen ist IMO nicht qualifiziert einen Server zu betreiben (derjenige kann allem anschein weder die FAQ, noch den "wichtig" Beitrag des Forums lesen, vom Handbuch will ich erstmal nicht anfangen).

aber sicher hast du ne bessere idee
Wie ich bereits sagte, meine Glaskugel ist defekt, ich will nicht raten zumal es nichtmal mein Problem ist. Entweder er bringt die notwendigen Infos, oder er lässts bleiben. <- Punkt!

brauchst net sauer sein soll nur positive/konstruktive kritik sein ;P
guessla & nen guten rutsch
rasiKritik per se ist nicht negativ. Teile deine Meinung aber trotzdem nicht. :)

Gruss & Guten Rutsch

logo muss ma raten welches problem/system usw er hat
aber ich geb doch lieber ei paar tips die auch klappen selbst wenn er 'keine Mails von ausserhalb des Server verschicken will' :P

das du meine meinung net teilst ist völlig i.o. aber wenigstens
respektierst du sie

wust ich ja - bist doch ger net so ein 'boehser onkel'

deshalb: FEIER SCHEEE NEI


gruessla
rasi

nana na nun mal langsamm jungs. jder hat mal klein angefangen und wenn man ein problemm hat und man weis ned wo man anfangen soll, dann kann man dem jenigen mal ein tip geben, ob das nun zum erfolg führt ist was anderes. aber nicht gleich, root server ist nur für könner und managed nur für daus.
jedem bleibt überlassen was er will, die frage muss sich derjenige stellen ist das überhaupt was für mich. ich will nicht weiter diskutieren hier sondern jetzt mal nochmal schreiben was zu machen ist.

1. schaue mal nach open relay
2. smtp_auth mit reinpacken

hier ist ein teil der lösung und zwar das zu smtp_auth

dnl define(`confAUTH_OPTIONS', `Apy')dnl
dnl TRUST_AUTH_MECH(`place_here_your_auth_mechanism')d nl
dnl define(`confAUTH_MECHANISMS', `place_here_your_auth_mechanism')dnl
dnl

bei open relay tragst du deine IP die du vom Provider bekommen hast

/etc/mail/access öffnen

127.0.0.1 RELAY das hier ist ein beispiel, so kannst du es mit der andere IP auch machen. wenn du die IP nicht angibst must du jeder host angeben die auf die ip zeigt, damit das mit allen hosts funktioniert.