Hallo,

heute hatte ich folgende Einträge in der
/var/log/qmail/smtpd:



@400000003e787f5703b5fd44 tcpserver: end 10728 status 256
@400000003e787f5703b6a154 tcpserver: status: 1/20
@400000003e787f5707878744 tcpserver: status: 2/20
@400000003e787f57078c7ccc tcpserver: pid 10730 from 213.61.3.41
@400000003e787f57092ec2ec tcpserver: ok 10730 xy.de:10.0.0.4:25 drw-01.fra.de.colt-isc.net:213.61.3.41::7680


xy.de:10.0.0.4:25 ist mein Server samt IP ;)

Das ganze hat sich zigfach wiederholt und auch die älteren Logfiles waren / sind voll davon. In der /var/log/qmail/current allerdings ist kein besonderer Eintrag zu diesem "Thema" zu finden.

1. Frage: Was könnten die Log´s oben bedeuten? (Spammer?)

2. Frage: Was genau logt
/var/log/qmail/smtpd und was
/var/log/qmail/current ?

Danke
Thomas

Hi!

In /var/log/qmail/current wird der Mailverkehr geloggt.
In /var/qmail/smtpd/current loggt der tcpserver je nach Einstellung (paranoid, nicht paranoid usw.) die Zugriffe auf den smtpd.

Den Zeitstempel kannst Du übrigends mit tai64nlocal auflösen.
z.B tail -f /var/log/qmail/current |tai64nlocal

Grüße

Manx

Hi,

was bedeutet also ein permantenter Zugriff eines Hosts auf unseren SMTPD, wie in der letzten Stunde geschehen? Stimmt es, dass damit ein Scan der auf dem System befindlichen E-Mail Adressen durchgeführt werden kann?

Danke.
Gruss Thomas

Hi!

Wenn nur Zugriffe geloggt werden und kein Mailverkehr in /var/log/qmail/current ersichtlich ist, kann eigentlich nicht allzu viel passieren. Wer das ist kannst Du ja über WHOIS herausfinden.
Mailadressen scannen geht bei Qmail kaum, da das VRFY Kommando nicht funktioniert.

Grüße

Manx

... das ist aber auch ein Mailserver ;)

Manx

Hi,

tja irgendwie scheint aber trotzdem was nicht zu stimmen:

211.46 MB Mon Mar 10 2003
170.71 MB Tue Mar 11 2003
284.95 MB Wed Mar 12 2003
101.37 MB Thu Mar 13 2003
102.03 MB Fri Mar 14 2003
31.05 MB Sat Mar 15 2003
11.29 MB Sun Mar 16 2003
150.01 MB Mon Mar 17 2003
271.93 MB Tue Mar 18 2003
1060.54 MB Wed Mar 19 2003

Gestern also 1 Gig Traffic auf dem Mailserver, sonst "nur" wenige Hundert MB.

Was ist mit dem Formmail.pl Bug durch den Mails verschickt werden können? Probier grad mal aus, was da geloggt wird....

Gruss Thomas

Hi!

Du musst ja in den Logfiles sehen welche Mails verschickt werden (/var/log/qmail/current).
Solltest Du Opfer von X-Site-Scripting geworden sein, kann aber Qmail nix dafür.

Grüße

Manx

Nochmal was interessantes:



albwww:/var/qmail/control # netstat .a | grep smtp
tcp 0 8 xy.:smtp drw-01.fra.de.colt:7336 ESTABLISHED
tcp 0 0 xy.:smtp 210.83.5.4:61257 ESTABLISHED


Was zum Teufel machen die da???

Hi!

Lass einmal ein Echtzeitmonitoring über das Logfile laufen.
"tail -f /var/log/qmail/current |tai64nlocal" dann solltest Du sehen, wer an wen Emails schickt!

Grüße

Manx

Hm... Nix besonderes. Keine Aureisser oder Massenmails werden verschickt. Trotz allem sitzt dieser komische Server die ganze Zeit auf meinem SMTP Port.

Ausser diese hier manchmal:


2003-03-20 11:32:08.033595500 info msg 4866803: bytes 2320 from <> qp 16756 uid 611

oder


2003-03-20 11:32:10.634488500 info msg 4866800: bytes 2888 from <#@[]> qp 16760 uid 611
2003-03-20 11:32:10.635553500 starting delivery 9: msg 4866800 to remote postmaster@xy.de
2003-03-20 11:32:10.635561500 status: local 0/10 remote 1/20
2003-03-20 11:32:10.640647500 delivery 9: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host,/it_isn't_in_my_control/locals_file,_so_I_don't_treat_it_as_local._(#5.4.6 )/

Komisch hierbei ist eigentlich nur, dass im "From" Tag gar nichts oder "wilde" Sachen drin stehen...

Hi!

Jetzt bräucht ich Infos:
Wie heißt Dein Mailserver (FQDN)?
Welche Domain(s) betreut dieser?
Was steht in /var/qmail/control/me?
Was steht in /var/qmail/control/locals?
Hast Du virtuelle Domains (z.B mit vpopmail)?

Manx

Nochmal dies hier vorab:

habe nun die
/var/qmail/control/timeoutsmtp mit 10 Sekunden erstellt.

Dann qmail stop und start und siehe da: Der "böse" Host erscheint nicht mehr. Vielleicht lags nur daran?

Die Daten:

Mailservername: albmail.dettingen.cmo.de

Der Server betreut ca. 150 e-Mail Domains.

me: albmail.dettingen.cmo.de
locals: locals

Es ist vpopmail 5.2.1 im Einsatz.

Das SMTP StartScript lautet:


#!/bin/sh
QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl" export QMAILQUEUE
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
MAXSMTPD=`cat /var/qmail/control/concurrencyincoming`
exec /usr/local/bin/softlimit -m 8000000 \
/usr/local/bin/envdir /etc/relay-ctrl \
/usr/local/bin/tcpserver -v -p -c "$MAXSMTPD" \
-u "$QMAILDUID" -g "$NOFILESGID" 0 smtp \
/usr/local/bin/rblsmtpd -b -r relays.ordb.org \
/usr/local/bin/relay-ctrl-check \
/var/qmail/bin/qmail-smtpd 2>&1


Danke schon mal!
Thomas

Zu früh gefreut:
Der Host erscheint wieder im Sekundentakt im /var/log/qmail/smtpd/current

2003-03-20 12:11:33.659250500 tcpserver: end 19292 status 256
2003-03-20 12:11:33.659262500 tcpserver: status: 0/20
2003-03-20 12:11:33.707823500 tcpserver: status: 1/20
2003-03-20 12:11:33.708039500 tcpserver: pid 19294 from 213.61.3.41
2003-03-20 12:11:33.731538500 tcpserver: ok 19294 albmail.dettingen.cmo.de:81.90.35.4:25 drw-01.fra.de.colt-isc.net:213.61.3.41::9234

usw...

Guten Morgen,

das wird ja immer schlimmer:

1060.54 MB Wed Mar 19 2003
1623.80 MB Thu Mar 20 2003

Schon wieder 600 MB mehr als gestern. Wenn das so weiter geht!!

Wie kann ich einer bestimmten IP Adresse generelles Hausverbot geben?? --> Iptables?

Was ich mich aber eher frage ist, wie schaffen die es, nahezu unbemerkt Traffic zu erzeugen? Ausser in den /var/log/qmail/smtpd/* Logfiles wird nichts aussergewöhnliches geloggt.

Danke.
Thomas

Hi!

Wo der Traffic herkommt, keine Ahnung.
Ist das ein reiner Mailserver?
Du könntest schon über den tcpserver eine Regel einbauen um eine bestimmte IPs zu sperren.
Würd mich aber eher mit dem Admin des verdächtigen Mailservers in Verbindung setzen.
http://www.die.net/doc/linux/man/man1/tcprules.1.html in der tcp.smtp
Wenn das ein reiner Mailserver ist, musst Du den Traffic auch in der /var/log/qmail/current sehen.
Open Relay wirst Du ja keines haben, obwohl mit der Config sicher was nicht stimmt.
"delivery 9: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host..."

Grüße

Manx

Der Traffic ist auf die IP Adresse bezogen auf die nur der Mailserver "hört". Auf dem Server sind auch www-Dienste am Laufen. Diese sind aber auf anderen IP Adressen konfiguriert. Nein, der Server ist / war relay-sicher. Zu sicher, denn er blockt sogar Mails per Relay, die von unserem Mailtool TWIG kommen ;)


"delivery 9: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host..."

Hast du das von meinem Server bekommen? Was kann denn an der Config nicht stimmen?
Hast du nen kleinen Tip wie ich den tcpserver am elegantesten dazu bringe, diese eine IP zu blocken?

Danke.

Hi!

Das kommt immer auf die Qmailinstallation an.
Du solltest eine Datei tcp.smtp und eine tcp.smtp.cdb haben. (bei mir in /home/vpopmail/etc)
Die erste ist eine Textdatei mit ca folgendem Inhalt:
127.0.0.:allow,RELAYCLIENT=""
...
Schreib in diese Datei die Zeile:
213.61.3.41:deny

Dann musst Du nur noch die tcp.smtp.cdb neu aufbauen.
Bei mir geht's über die init-scripts /etc/init.d/qmail cdb

[edit] ich sehe gerade Du verwendest nicht die tcp.smtp.cdb sondern relay-ctrl, das kenn ich nicht.

Grüße

Manx

PS: ich schau mich mal um, bzw. über eine iptables Zeile ging auch

;) Genau so ist es. Das relay-ctrl wird verwendet und ich warn dich gleich mal vor: Allzu viel nützliches findet man zu diesem Thema gar nicht. Es funktioniert auch grundlegend anders meine ich. Es legt für jeden akzeptierten Host / IP ne Datei in /var/log/spool/relay-ctrl an und dieses Verzeichnis bzw. dessen Inhalte werden per Crontab im 15-minuten Takt nach alten Einträgen geprüft. Diese werden dann gelöscht.

Allerdings gibt es wohl auch die Möglichkeit, Einträge permanent zu machen. Allerdings blieb mir die Konfiguration dazu ein einziges Rätsel.

http://untroubled.org/relay-ctrl/



If you want to have a fixup address (see the qmail FAQ) inserted into
the RELAYCLIENT setting, put it into the first line of
"RELAY_CTRL_RELAYCLIENT" in the configuration directory:
:allow,RELAYCLIENT='@fixup'


Hab ich schon versucht... klappt aber irgendwie nicht so richtig.

Vielleicht sollte ich ja doch wieder auf das altbewährte tcp.smtp.cdb umsteigen. ;)

Die Iptables Zeile in Ehren... Ich hab Angst davor mich auszusperren ;)

... die Syntax dürfte sich nicht von der des tcpservers unterscheiden.
Einen Versuch wäre es auf alle Fälle wert:
"213.61.3.41:deny" in /var/log/spool/relay-ctrl eintragen.
Kannst ja zum testen mit einer internen IP anfangen.

Grüße

Manx

Hi nochmal.

/etc/relay-ctrl/RELAY_CTRL_RELAYCLIENT:

:allow,RELAYCLIENT="81.90.35.4"
:deny,RELAYCLIENT="213.61.3.41"

Dann qmail stop und start

Aber TWIG "darf" immer noch nicht :(

Nach dem "stop" und "start" ist aber wenigstens mit dem unerwünschten Gast eine Zeit lang Ruhe ;)

"213.61.3.41:deny" in /var/log/spool/relay-ctrl eintragen.

Tut! Wenn ich unsere IP Adresse auf deny setze dann "darf" ich nicht mehr. Ähnlich verhält es sich ja auch mit dem TWIG. Wenn ich die local IP eintrage, dann funktioniert das Spielchen.

Allerdings sollte diese "Arbeit" ja das o.g. Config File für mich erledigen, in das ich ja den erwünschten und den unerwünschten Host eingetragen habe.

Aber dies scheint irgendwie nicht zu klappen :(

Hi!

IMHO ist die RELAYCLIENT Option nur eine Sonderfunktion des tcpservers.
Du musst unbedingt das relaying für den localhost, also 127.0.0.1 erlauben (aber vorsicht mit Webmaillösungen, die auf dem Host laufen, die auch über das loopback interface gehen)
Dein Eintrag für den bösen Host verbietet jetzt nur das Relaying.
Mail an den Host selber sind noch erlaubt (alle Domains, die Du selber hostest)
Ich würd's mal mit 213.61.3.41:deny statt deny,RELAYCLIENT="213.61.3.41" versuchen.
Dann solltet er sich überhaupt nicht mehr verbinden dürfen.
Und eine :allow,RELAYCLIENT="127.0.0.1" für den localhost eventuell.

Grüße

Manx

Ich würd's mal mit 213.61.3.41:deny statt deny,RELAYCLIENT="213.61.3.41" versuchen.

Hab ich drin. Aber es wird immer noch kräftig weitergelogt.

2003-03-21 11:00:18.103978500 tcpserver: end 3002 status 256
2003-03-21 11:00:18.104020500 tcpserver: status: 0/20
2003-03-21 11:00:18.161555500 tcpserver: status: 1/20
2003-03-21 11:00:18.161882500 tcpserver: pid 3004 from 213.61.3.41
2003-03-21 11:00:18.185807500 tcpserver: ok 3004 albmail.dettingen.cmo.de:81.90.35.4:25 drw-01.fra.de.colt-isc.net:213.61.3.41::5188

Ich kapiers nicht... Ich mach jetzt doch mit iptables zu ;) Nur wie mach ich das nur für den einen Host?

so in etwa:

iptables -A INPUT -i externesInterface(z.b eth0) -s IPdesbösenMailserver -p TCP --dport 25 -j DROP

Grüße

Manx

He He thx a lot ;)
Er iss jetzt "eliminiert".

Iptables sind was feines. Im übrigen hat das RELAY_CTRL_RELAYCLIENT schon gewirkt, nur leider wohl etwas fehlerhaft:

@400000003e7ad8100d87c0b4 starting delivery 26: msg 4866797 to remote xy@gmx.de:allow,RELAYCLIENT="81.90.35.4"
@400000003e7ad8100d87ef94 status: local 0/10 remote 1/20
@400000003e7ad810106c79b4 delivery 26: failure: Sorry,_I_couldn't_find_any_host_named_gmx.de:allow ,RELAYCLIENT="81.90.35.4"._(
#5.1.2)/

Da macht er doch offensichtlich was falsch. versuche es mal mit deinem Vorschlag.

Thx

Geht auch nicht:

@400000003e7ad8100d87c0b4 starting delivery 26: msg 4866797 to remote xy@gmx.de:allow,RELAYCLIENT="81.90.35.4"
@400000003e7ad8100d87ef94 status: local 0/10 remote 1/20
@400000003e7ad810106c79b4 delivery 26: failure: Sorry,_I_couldn't_find_any_host_named_gmx.de:allow ,RELAYCLIENT="81.90.35.4"._(
@400000003e7ad8100d87c0b4 starting delivery 26: msg 4866797 to remote xy@gmx.de:allow,RELAYCLIENT="81.90.35.4"
@400000003e7ad8100d87ef94 status: local 0/10 remote 1/20
@400000003e7ad810106c79b4 delivery 26: failure: Sorry,_I_couldn't_find_any_host_named_gmx.de:allow ,RELAYCLIENT="81.90.35.4"._(
#5.1.2)/


Irgendwas ist da syntaktisch im Eimer :confused:

Hi!

Ich würd das aber eher als kurzfristige Notlösung sehen.
Da es scheinbar ein Problem gibt.
Du hast ja definitiv kein Open Relay, hab's grad ausprobiert.
Du musst aber irgendeine Art des selektiven Relayings betreiben (smtp-after-pop mit relay-ctrl z.B).
Dies würde bedeuten, dass ein Benutzer, des sich über pop3 oder IMAP authentifizieren kann für den Traffic verantwortlich ist.
Ein weiteres Problem bei smtp-after-pop ist, dass nur die IP des entfernten Rechners in die Relay Datenbank kommt. Hast Du einen Benutzer in einem entfernten LAN (mit privaten IPs) mit Gateway sitzen, der sich via POP authentifiziert, kommt die IP des Gateway in die Datenbank. D.h für alle anderen Rechner (die über den gleichen Gateway ins Internet gehen) ist der Mailserver OpenRelay.
Abhilfe => SMTP-Auth
Würd aber weitersuchen.

Grüße

Manx

SMTP Auth kommt eh bald drauf ;)

Stichwort IMAP: Es würde sich vielleicht auch dort lohnen mal nachzusehen. Allerdings war der Bösewicht ja auf Port 25, nicht 143. Es sei denn, er authentifiziert sich per IMAP um dann zu Relayen.

Was mich aber nach wie vor wundert ist die Tatsache, dass es zwar erhöhten Traffic gab, die dazugehörigen Log Einträge in der /var/log/qmail/current fehlen. Fast so, wie wenn er sich auf den Server telneten würde, da kommt dann auch nur Schrott dabei raus.

Selbst wenn die CGI ´s ausgeführt werden logt der Server fein säuberlich. Bei PHP entsprechend. Also schliesse ich die Scripte insofern aus.

Was zum Geier also trieb der Host auf unserem SMTP um a) Traffic zu erzeugen ohne Spuren zu hinterlassen und b) sekündlich auf dem Port zu schalten?

Gruss Thomas

P.S.: "Supportest" du eigentlich hier hauptberuflich? ;) Finds auf jeden Fall stark hier so geholfen zu werden... Danke!

> P.S.: "Supportest" du eigentlich hier hauptberuflich?

LOL, Matrox G550 Dualhead, und am zweiten Monitor Linuxforen.de ;)
Bin heut aber auch zu Hause.

Grüße

Manx