RFC|Gul Dukat
27.10.08, 20:54
ich hoffe ist das richtige board fuer mein anliegen. wenn nicht, bitte verschieben. :)
es geht um folgendes.
seit einiger zeit wird mein root, welcher als web- und mailserver verwendet wird, in der cbl gelistet. grund ist das irgendwo, irgendwas oder irgendwer spam ueber den server versendet. die maillogs sind da nicht sehr ergiebig nach dem ueberltaeter und auch diverse aenderungen vorgenommen (courier gegen dovecot getauscht, sowie Selective Greylisting, Bogus MX Filter eingerichtet), jedoch ohne sichtlichen erfolg. :(
also hab ich mich mit spamhaus kurzgeschlossen um nach einen geeigneten tool zu fragen womit ich der sache auf den grund gehen kann.
die empfahlen mir dann wireshark. folgendes haben die mir freundlicherweise geschrieben:
Wireshark or some other network sniffer are good tools to track down
odd/unusual/suspicious HELO/EHLO emission.
Wireshark is free and can be obtained from: http://www.wireshark.org/
Some wireshark suggestions on how to track down what's going on.
Capture filter options - set to:
port 25
Display filter - set to:
smtp.req.command == "HELO" or smtp.req.command == "EHLO"
Alternately, if you know exactly what helo command parameter
string to look for, you can use something like:
{smtp.req.command == "HELO" or smtp.rec.command = "EHLO) and
(smtp.req.parameter contains "<string>")
You'll also want to adjust the above so it only applies to sessions that
are initiated FROM your IP - not TO your IP.
This may be suitable:
ip.src == <insert your IP address>
If you review the packets being captured, you should be able to
spot the "oddities", and identify where they're coming from.
hab das also auf dem server installiert.
nun versuche ich es seit ein paar tagen zum laufen zu bringen, jedoch hapert es zum einen daran das ich nicht schlau wie ich die option fuer den displayfilter angebe und ausserdem erhalte ich immer die fehlermeldung
Gtk-WARNING **: cannot open display:
probiert habe ich es mit folgenden kommando:
wireshark -f port 25 smtp.req.command == "HELO" or smtp.req.command == "EHLO" and ip.src ip.des.root.server
ich gehe mal von aus das mit
ip.src == <insert your IP address>
die ip des root gemeint ist und nicht meine eigene.
weis einer wie man das richtig angehen muss? steh da voellig im wald und --help bringt auch nicht so viel infos dazu.
hoffe mir kann jemand helfen. :)
es geht um folgendes.
seit einiger zeit wird mein root, welcher als web- und mailserver verwendet wird, in der cbl gelistet. grund ist das irgendwo, irgendwas oder irgendwer spam ueber den server versendet. die maillogs sind da nicht sehr ergiebig nach dem ueberltaeter und auch diverse aenderungen vorgenommen (courier gegen dovecot getauscht, sowie Selective Greylisting, Bogus MX Filter eingerichtet), jedoch ohne sichtlichen erfolg. :(
also hab ich mich mit spamhaus kurzgeschlossen um nach einen geeigneten tool zu fragen womit ich der sache auf den grund gehen kann.
die empfahlen mir dann wireshark. folgendes haben die mir freundlicherweise geschrieben:
Wireshark or some other network sniffer are good tools to track down
odd/unusual/suspicious HELO/EHLO emission.
Wireshark is free and can be obtained from: http://www.wireshark.org/
Some wireshark suggestions on how to track down what's going on.
Capture filter options - set to:
port 25
Display filter - set to:
smtp.req.command == "HELO" or smtp.req.command == "EHLO"
Alternately, if you know exactly what helo command parameter
string to look for, you can use something like:
{smtp.req.command == "HELO" or smtp.rec.command = "EHLO) and
(smtp.req.parameter contains "<string>")
You'll also want to adjust the above so it only applies to sessions that
are initiated FROM your IP - not TO your IP.
This may be suitable:
ip.src == <insert your IP address>
If you review the packets being captured, you should be able to
spot the "oddities", and identify where they're coming from.
hab das also auf dem server installiert.
nun versuche ich es seit ein paar tagen zum laufen zu bringen, jedoch hapert es zum einen daran das ich nicht schlau wie ich die option fuer den displayfilter angebe und ausserdem erhalte ich immer die fehlermeldung
Gtk-WARNING **: cannot open display:
probiert habe ich es mit folgenden kommando:
wireshark -f port 25 smtp.req.command == "HELO" or smtp.req.command == "EHLO" and ip.src ip.des.root.server
ich gehe mal von aus das mit
ip.src == <insert your IP address>
die ip des root gemeint ist und nicht meine eigene.
weis einer wie man das richtig angehen muss? steh da voellig im wald und --help bringt auch nicht so viel infos dazu.
hoffe mir kann jemand helfen. :)