Sicherheitsprobleme? Bitte um Hilfe

**Lett** · 05.07.05, 07:45

Hallo allerseits,
wir haben auf unseren Server in letzter Zeit Non-Delivery-Notifications-Attacken erhalten. Sprich einfach hunderte von Anfragen, woraufhin der Server relativ langsam wurde. Ich habe dann die main.cf von Postfix angepasst (http://www.heise.de/security/artikel/46496/3) und seither geht es wieder besser. Allerdings möchte ich dies gern permanent unterbinden. Wie gehe ich da bei Postfix vor?
Mir fallen komische Sachen auf (ein Auszug aus /var/log/mail/current):

Jul 5 08:29:49 [postfix/qmgr] 69E996BCA4: from=<>, size=4754, nrcpt=1 (queue active)
Jul 5 08:29:50 [postfix/smtp] 3D27171539: to=<aerosatan@hotmail.com>, relay=mx1.hotmail.com[65.54.252.99], delay=1254453, status=sent (250 <20050620180217$
Jul 5 08:29:50 [postfix/qmgr] 3D27171539: removed

Warum wird diese Nachricht verschickt? Und wieso akzeptiert der Server als Empfänger "<>"?

Zudem ist mir folgendes aufgefallen:

Jul 5 08:32:33 [postfix/smtpd] disconnect from unknown[80.146.207.210]

Wieso darf "unknown" überhaupt connecten?

Ich habe folgende Einstellungen in Postfix vorgenommen:

smtpd_sasl_auth_enable = yes
smtpd_sasl2_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, check_relay_domains, reject
smtpd_recipient_limit = 20
smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/newreq.pem
smtpd_tls_cert_file = /etc/postfix/newcert.pem
smtpd_tls_CAfile = /etc/postfix/cacert.pem
smtpd_tls_loglevel = 3
smtpd_tls_received_header = yes
bounce_size_limit = 5000
header_size_limit = 256
message_size_limit = 5000000

Um Rat wäre ich sehr froh.

Vielen Dank und mit freundlichen Grüssen

**Tomek** · 05.07.05, 08:14

Zitat von Lett

Warum wird diese Nachricht verschickt? Und wieso akzeptiert der Server als Empfänger "<>"?

Nicht der Empfänger ist "<>", sondern der Absender:

Code:

from=<>

Du kannst Postfix dazu konfigurieren, z.B. wie folgt:

Code:

smtpd_recipient_restrictions =
   [...],
   reject_non_fqdn_sender,
   reject_unknown_sender_domain,
   [...]

Siehe dazu auch: http://www.postfix.org/uce.html

Zitat von Lett

Zudem ist mir folgendes aufgefallen:

Jul 5 08:32:33 [postfix/smtpd] disconnect from unknown[80.146.207.210]

Wieso darf "unknown" überhaupt connecten?

unknown bezieht sich hierbei darauf, dass die sich die Client-IP nicht rückwärts auflösen lässt (Reverse-DNS).
Du kannst zwar konfigurieren, dass sich unknown-Clients, also Client-IPs die sich nicht rückwärts auflösen lassen, nicht verbinden dürfen, jedoch würde ich davon abraten. Wichtig ist einfach, dass du kein offenes Relay hast.

Überprüfen kannst du dies z.B. hier: http://www.abuse.net/relay.html

Du solltest aber in jedem Fall die Postfix-Dokumentation intensiv lesen, damit du den Mailserver verstehst und beherrschst: http://www.postfix.org/documentation.html

**Lett** · 05.07.05, 09:18

Hallo,
vielen Dank für Deine Antwort!
Also laut abuse.net schlagen alle relaying-tests fehl. Somit schliesse ich relaying aus. Mir kommen aber die Meldungen dennoch komisch vor:

Jul 5 10:14:43 [postfix/smtpd] watchdog_stop: 0x80aeb60
Jul 5 10:14:43 [postfix/smtpd] watchdog_start: 0x80aeb60
Jul 5 10:14:49 [postfix/smtpd] proxymap stream disconnect
Jul 5 10:14:49 [postfix/smtpd] watchdog_stop: 0x80aeb60
Jul 5 10:14:49 [postfix/smtpd] watchdog_start: 0x80aeb60
Jul 5 10:15:02 [postfix/smtp] connect to mx2.hotmail.com[65.54.190.50]: Connection timed out (port 25)
Jul 5 10:15:03 [postfix/smtp] 1F7A36FC71: to=<josepablo75@hotmail.com>, relay=mx1.hotmail.com[65.54.166.99], delay=1258589, status=sent (250 <200506201838$
Jul 5 10:15:03 [postfix/qmgr] 1F7A36FC71: removed
Jul 5 10:15:12 [postfix/smtp] connect to pop-2.dnv.wideopenwest.com[64.233.207.7]: Connection timed out (port 25)
Jul 5 10:15:12 [postfix/smtp] 766556EC15: to=<root@pop-2.dnv.wideopenwest.com>, relay=none, delay=25143, status=deferred (connect to pop-2.dnv.wideopenwest$
Jul 5 10:15:12 [postfix/smtp] connect to mx4.hotmail.com[65.54.167.230]: Connection timed out (port 25)
Jul 5 10:15:13 [postfix/smtp] 14E0E6DF49: to=<cummop@hotmail.com>, relay=mx2.hotmail.com[65.54.166.230], delay=1258122, status=sent (250 <20050620184631.1$
Jul 5 10:15:13 [postfix/qmgr] 14E0E6DF49: removed

Wieso geht dies über das hotmail-relay(relay=mx2.hotmail.com[65.54.166.230]) ?

Vielen Dank und Gruss