PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Postfix sendet mit all Konto, wie feststellen woher Spam kommt



pixel
07.11.16, 11:42
Hallo zusammen,

wir haben in der Zentrale einen Linux-Server als Mailserver mit Postfix, Cyrus-IMAP und Fetchmail am laufen. Fetchmail holt die Mails für alle einzelnen User aus getrennten Mailboxen bei 1&1 und stellt sie zu. Der Postfix hat den 1&1-SMTP als Relay eingetragen. Über die datei /etc/postfix/sasl_passwd bzw. die mit Postmap erzeugte DB kann postfix über den 1&1-Account "info@unseredomain.de" senden.
Sprich wenn user vorname.nachname@unseredomain.de von seinem Mailprogramm aus über unseren lokalen Mailserver sendet versendet der lokale postfix mit dem Account info@unseredomain.de

Jetzt haben wir das Problem das 1&1 den SMTP vegen Verdacht auf Spam-Versand gesperrt hat. Bereits am Freitag und Heute. 161 kan mir nun logischerweise nur mitteilen dass es um die Mailbox "info@unseredomain.de" geht. Logisch, der Server benutzt diese zum Versand.

Kann ich nun am lokalen Postfix herausfinden welcher lokale User wie viel Mails in Zeitraum X versendet hat? Oder welche Möglichkeiten habe ich um das verseuchte System zu finden?

Viele Grüße
pixel

fork
07.11.16, 11:59
Schau Dir mal pflogsumm an. Das wertet das Postfixlogfile aus. Das Tool kann so einiges.

So sieht die von mir konfigurierte Übersicht aus:



pflogsumm.pl /var/log/mail.log -d today -h 5 --bounce_detail=0 \
--deferral_detail=0 --reject_detail=0 --smtpd_warning_detail=0 --detail=5



Postfix log summaries for Nov 7

Grand Totals
------------
messages

1458 received
1849 delivered
0 forwarded
86 deferred (677 deferrals)
168 bounced
186254 rejected (99%)
0 reject warnings
0 held
0 discarded (0%)

294572k bytes received
334593k bytes delivered
650 senders
428 sending hosts/domains
813 recipients
337 recipient hosts/domains


Per-Hour Traffic Summary
------------------------
time received delivered deferred bounced rejected
--------------------------------------------------------------------
0000-0100 29 21 53 1 15553
0100-0200 36 38 57 4 15560
0200-0300 26 24 48 2 15290
0300-0400 51 51 55 4 15555
0400-0500 20 19 56 3 15551
0500-0600 42 41 51 5 15281
0600-0700 66 48 58 21 15566
0700-0800 110 102 57 27 15616
0800-0900 172 178 63 20 15620
0900-1000 263 427 59 30 15360
1000-1100 307 342 60 25 15622
1100-1200 336 558 60 26 15409
1200-1300 0 0 0 0 271
1300-1400 0 0 0 0 0
1400-1500 0 0 0 0 0
1500-1600 0 0 0 0 0
1600-1700 0 0 0 0 0
1700-1800 0 0 0 0 0
1800-1900 0 0 0 0 0
1900-2000 0 0 0 0 0
2000-2100 0 0 0 0 0
2100-2200 0 0 0 0 0
2200-2300 0 0 0 0 0
2300-2400 0 0 0 0 0

Host/Domain Summary: Message Delivery (top 5)
---------------------------------------------
sent cnt bytes defers avg dly max dly host/domain
-------- ------- ------- ------- ------- -----------
216 6245k 0 1,5 s 6,1 s blablub.de
143 11605k 0 0,4 s 13,0 s blub.de
111 22355k 0 0,1 s 1,5 s bla.de
61 10871k 0 6,0 s 43,0 s murps.com
61 5614k 0 0,1 s 1,1 s urgh.de

Host/Domain Summary: Messages Received (top 5)
----------------------------------------------
msg cnt bytes host/domain
-------- ------- -----------
154 70578k oops.de
107 51092k hallo.com
68 10721k mixmax.com
52 1222k 1.2.3.4
50 1542k mexiko.de

top 5 Senders by message count
------------------------------
117 from=<>
48 tester@metsdfs-online.com
34 jan@sdfflsdfsj13.com
31 rry@yasdfsdndex.com
26 Marxxxxxx@bbbbbbbbbahl.com

top 5 Recipients by message count
---------------------------------
103 jan@p1234ih.com
48 tester@mne.com
44 info@dav.de
25 gabriel@ssssssssahl.com
22 peck@sta.com

top 5 Senders by message size
-----------------------------
20263k wiqwasr@gmx.net
19538k Sabycdiler@sdfdsde
13921k M@ssdkfhsadkfhhhhhhhh.com
11911k ps@plssdfus.de
11861k tinder@studsdfjlsfjdsl.de

top 5 Recipients by message size
--------------------------------
21323k ...
21053k ...
11861k ...
11859k ...
9566k ...

smtp delivery failures: none

Fatal Errors: none

Panics: none

Master daemon messages: none

muell200
07.11.16, 11:59
hallo Pixel,



Kann ich nun am lokalen Postfix herausfinden welcher lokale User wie viel Mails in Zeitraum X versendet hat? Oder welche Möglichkeiten habe ich um das verseuchte System zu finden?


denke du kein "ueberwachungs/statistik-programm" installiert...

dann kannst du "nur" die /var/log/mail mit grep,... durchsuchen und filtern lassen.

hast du ein paar "spam-emails" in der quee?
wenn ja, dann suche mal nach dem empfaenger...

florian0285
07.11.16, 12:49
1&1 hat aber doch noch andere Kriterien um den Server als SPAM-Schleuder zu deklarieren?

So gesehen kann man da nicht nach der reinen Anzahl gehen. Die Angaben aus deren Filtern wäre für deine Filter/Suche interessant.

Wenn du als Person die Mails anfasst müsstest du datenschutzrechtlich ggf. eueren Datenschutzbeauftragten oder jeden Nutzer hinzuziehen. Da würde ich mich nochmal schlau machen bevor du mit grep o. ä. in ner Mailbox rumschnüffelst.

pixel
07.11.16, 13:02
ich warte noch auf Rückruf von 1&1 um mal zumindest eine IP zu bekommen von wo der Spam versendet wurde/wird.