PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : seltsame Logeinträge



Ronny26
06.08.03, 15:13
Hi,

ich hab gerade mal den Relaytest bei abuse.net gemacht. Das Ergebnis war:

Relay test result
All tests performed, no relays accepted.
Das würde mich jetzt darauf schliessen lassen, das ich kein offenes Relay bin.
Wenn ich jedoch mein Maillogs durchschaue habe ich schon seit ca. 3 Tagen folgende Einträge:

postfix/smtpd[978]: connect from server.beyerste.org[217.172.183.173]
postfix/smtpd[1022]: connect from server.beyerste.org[217.172.183.173]
postfix/smtp[1021]: 4DE6420807F: to=<bmmassage@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<charper397@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<fsmata@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<jabole@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<jcatg@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<rougepa@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<smokie6685@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<tnkc17@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtp[1021]: 4DE6420807F: to=<vince296@aol.com>, relay=mailin-04.mx.aol.com[64.12.138.152], delay=8, status=sent (250 OK)
postfix/smtpd[1095]: connect from server.beyerste.org[217.172.183.173]
postfix/smtpd[978]: 92F0320807F: client=server.beyerste.org[217.172.183.173]
postfix/cleanup[1009]: 92F0320807F: message-id=<20030806054945.92F0320807F@linux.meinedomain.de>
postfix/qmgr[799]: 92F0320807F: from=<pjgerli@combinedweb.net>, size=3666, nrcpt=5 (queue active)
postfix/smtpd[978]: disconnect from server.beyerste.org[217.172.183.173]
postfix/smtpd[1022]: 0A3B2208085: client=server.beyerste.org[217.172.183.173]
postfix/cleanup[1009]: 0A3B2208085: message-id=<20030806054946.0A3B2208085@linux.meinedomain.de>
postfix/qmgr[799]: 0A3B2208085: from=<myrick@collectglobal.com>, size=3960, nrcpt=5 (queue active)
postfix/smtpd[1022]: disconnect from server.beyerste.org[217.172.183.173]
postfix/smtp[1021]: 92F0320807F: to=<caldito18@aol.com>, relay=mailin-04.mx.aol.com[64.12.137.152], delay=2, status=sent (250 OK)
postfix/smtp[1021]: 92F0320807F: to=<csuehunter@aol.com>, relay=mailin-04.mx.aol.com[64.12.137.152], delay=2, status=sent (250 OK)
postfix/smtp[1021]: 92F0320807F: to=<imgoofy13@aol.com>, relay=mailin-04.mx.aol.com[64.12.137.152], delay=2, status=sent (250 OK)
postfix/smtp[1021]: 92F0320807F: to=<plybats@aol.com>, relay=mailin-04.mx.aol.com[64.12.137.152], delay=2, status=sent (250 OK)
postfix/smtp[1021]: 92F0320807F: to=<scfmsu@aol.com>, relay=mailin-04.mx.aol.com[64.12.137.152], delay=2, status=sent (250 OK)
postfix/smtp[1098]: 0A3B2208085: to=<alpendirnd@aol.com>, relay=mailin-01.mx.aol.com[64.12.136.57], delay=1, status=sent (250 OK)
postfix/smtp[1098]: 0A3B2208085: to=<bke2507@aol.com>, relay=mailin-01.mx.aol.com[64.12.136.57], delay=1, status=sent (250 OK)
postfix/smtp[1098]: 0A3B2208085: to=<cbrown4129@aol.com>, relay=mailin-01.mx.aol.com[64.12.136.57], delay=1, status=sent (250 OK)
postfix/smtp[1098]: 0A3B2208085: to=<verducci2069@aol.com>, relay=mailin-01.mx.aol.com[64.12.136.57], delay=1, status=sent (250 OK)
postfix/smtp[1098]: 0A3B2208085: to=<woo275631823@aol.com>, relay=mailin-01.mx.aol.com[64.12.136.57], delay=1, status=sent (250 OK)
postfix/smtpd[978]: connect from server.beyerste.org[217.172.183.173]
postfix/smtpd[1095]: 02E6720807F: client=server.beyerste.org[217.172.183.173]
postfix/cleanup[1009]: 02E6720807F: message-id=<20030806054952.02E6720807F@linux.meinedomain.de>
postfix/qmgr[799]: 02E6720807F: from=<awry@bidforstart.com>, size=3421, nrcpt=10 (queue active)
postfix/smtpd[1095]: disconnect from server.beyerste.org[217.172.183.173]
Was mich in den logs besonders wundert ist: status=sent
Die Logs von abuse.net hingegen sehen so aus:

postfix/smtpd[1388]: connect from www.abuse.net[208.31.42.77]
postfix/smtpd[1388]: 5D5D420807F: client=www.abuse.net[208.31.42.77]
postfix/smtpd[1388]: 5D5D420807F: reject: RCPT from www.abuse.net[208.31.42.77]: 554 <relaytest@abuse.net>: Relay access denied; from=<spamtest@abuse.net> to=<relaytest@abuse.net> proto=SMTP helo=<www.abuse.net>
postfix/smtpd[1388]: B8F1A20807F: client=www.abuse.net[208.31.42.77]
postfix/smtpd[1388]: B8F1A20807F: reject: RCPT from www.abuse.net[208.31.42.77]: 554 <relaytest@abuse.net>: Relay access denied; from=<spamtest> to=<relaytest@abuse.net> proto=SMTP helo=<www.abuse.net>
postfix/smtpd[1388]: 217BC20807F: client=www.abuse.net[208.31.42.77]
Kann jemand was mit den Einträgen anfangen und wenn das kein Spam sein sollte, wie kann ich den server.beyerste.org gleich von vornherein blocken? Durch den verliere ich nähmlich den Überblick in meinen Logfiles.

MfG Ronny

Dewitt
06.08.03, 15:25
Was sagt denn "postconf -n"?

Ansonsten kannst du auch nochmal via "telnet relay-test.mail-abuse.org" testen

Ronny26
06.08.03, 15:58
Hi,

postconf -n:

broken_sasl_auth_clients = yes
command_directory = /usr/local/postfix/2.0.9/sbin
config_directory = /etc/postfix
daemon_directory = /usr/local/postfix/2.0.9/daemonbin
debug_peer_level = 2
default_privs = nobody
mail_owner = postfix
mailbox_transport = cyrus
mailq_path = /usr/local/postfix/2.0.9/bin/mailq
manpage_directory = /usr/local/postfix/2.0.9/man
mydestination = $myhostname, $mydomain, localhost.$mydomain, mysql:/etc/postfix/mysql-mydestination.cf
mydomain = meinedomain.de
myhostname = linux.meinedomain.de
myorigin = $myhostname
newaliases_path = /usr/local/postfix/2.0.9/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = no
relayhost =
sample_directory = /etc/postfix
sender_canonical_maps = mysql:/etc/postfix/mysql-canonical.cf
sendmail_path = /usr/local/postfix/2.0.9/sbin/sendmail
setgid_group = postdrop
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
unknown_local_recipient_reject_code = 450

"telnet relay-test.mail-abuse.org" sagt bei allen 17 Tests: 554 relay access denied >>> System appeared to reject relay attempts

Und doch scheint hier jemand Spam drüber zu schicken.

MfG Ronny

RapidMax
06.08.03, 15:59
Unter was für Bedinungen kann der SMTP-Server verwendet werden? Subnet, SMTP-after-POP oder SMTP-Auth? Ev. ist ein Spammer in Besitz eines Useraccount (Auth, SMTP-after-POP) oder hat einen Trojaner auf einer der User-Kisten.

Gruss, Andy

Ronny26
06.08.03, 16:31
Hi,

SMTP - AUTH mit Cyrus - SASL und pam_mysql!

Wie kann ich denn herausfinden ob da ein Trojaner drauf ist? Und was noch viel wichtiger ist, wie krieg ich den wieder runter?

MfG Ronny

RapidMax
06.08.03, 17:59
Das war nur eine Vermutung: Pick dir ein paar diese Mails raus um festzustellen, ob diese a) tatsächlich Spam sind b) auch versendet werden.

Wenn da tatsächlich Spammail verschickt werden, gibt es zwei Optionen: 1) der Server ist falsch konfiguriert 2) Ein User-Account wird missbraucht.

Da du den Server administrierst, sollte er dicht sein. Der Dienst den du verwendet hast, hat da auch festgestellt, ev. kannst du mit Nessus nochmals prüfen ob nicht doch eine Lücke ist. Selbstverständlich ist der Server auf dem neusten Stand. (Ich gehe auch davon aus, dass die Machine mit dem Mailserver dicht ist und dicht war).

Wenn das erfüllt ist, hast du deine Aufgaben erledigt und der Server an sich ist nicht für den Versand von Spam anfällig. Jetzt kann es nur ein Dummer User (sog. DAU) sein, der seine Accountdaten entweder frei im Internet veröffentlicht (;)), zu blöd ist um sich ein gutes Passwort zu merken oder sein Rechner wurde durch irgend eine Lücke (z.B. klick auf e-mail-Attachment und dessen Ausführung) durch einen Trojaner befallen (wobei dieser in diesem Fall irgendwie das Passwort sniffen musste).

Wenn du hier angelangt bist, dann suchen wir den Schuldigen....

Gruss, Andy

Jinto
06.08.03, 19:03
ich finde permit_mynetworks ohne setzen selbiger irgendwie komisch.

Dewitt
06.08.03, 19:20
Original geschrieben von Jinto
ich finde permit_mynetworks ohne setzen selbiger irgendwie komisch.

Ich glaube auch, dass es dadran liegt.

mynetworks = 127.0.0.0/8

Ronny26
06.08.03, 19:43
Hi,


mynetworks = 127.0.0.0/8

:) OhhOhh, danke. Habs eingetragen und siehe da:


reject: RCTP from server.beyerste.org.....Relay access denied

danke vielmals. Der belästigt zwar immernoch meine Logfiles im Sekundentakt, aber wird es wohl nicht mehr lange tun. :ugly:

MfG Ronny

RapidMax
06.08.03, 23:03
Und wenn du Glück hast, dann landest du nur kurz auf einer Blacklist und kannst in 3 Monaten wieder erste Mails verschicken, die nicht mehr rejected werden :ugly:

Gruss, Andy

Jinto
07.08.03, 00:29
Es reicht bei vielen Blacklists aus, sich einer erneuten Überprüfung zu unterziehen um aus der Liste entfernt zu werden.