Abuse meines SMTPs - was ist zu tun?

[Rene]

Ja, ich werde auf einen Managed Server migrieren. Jetzt gilt es aber erst einmal Abhilfe zu schaffen.

Ich habe ein Virtual Server Linux L 5.0 bei Host Europe und erhalte von Fremden per Mail eine Rückanwort, dass scheinbar eine Phishing- oder Spam-Mail über meinen SMTP geleitet wurde. Des Weiteren erhalten ich viele Bounces auf meine E-Mail Adresse von Empfängern, an die ich nie geschrieben habe - dies in der Form:

Hi. This is the qmail-send program at lvpsMEINE-IP.dedicated.hosteurope.de.
I tried to deliver a bounce message to this address, but the bounce bounced!
 
<EMPFÄNGER@gmail.com>:
173.194.65.26 failed after I sent the message.
Remote host said: 421-4.7.0 [MEINE-IP      15] Our system has detected an unusual rate of
421-4.7.0 unsolicited mail originating from your IP address. To protect our
421-4.7.0 users from spam, mail sent from your IP address has been temporarily
421-4.7.0 rate limited. Please visit
421-4.7.0 http://www.google.com/mail/help/bulk_mail.html to review our Bulk
421 4.7.0 Email Senders Guidelines. wl10si28546780wjb.18 - gsmtp
I'm not going to try again; this message has been in the queue too long.

Ein open relay test von smtp:MEINE-IP ergibt:
MOD: Bilder bitte immer als Anhang. Danke!

Was ist jetzt zu tun? Danke!

 

[Deleted member 14422]

Schau, wie die Mail eingeliefert wurde, vielleicht ist es "nur" ein geknacktes Passwort - diese Information findest du in deinem mail.log.

 

[Rene]

Schau, wie die Mail eingeliefert wurde, vielleicht ist es "nur" ein geknacktes Passwort - diese Information findest du in deinem mail.log.

Nach was genau soll ich Ausschau halten. In die mail.log scheint seit gut 2 Jahren nichts mehr hineingeschrieben worden zu sein....

Nur mail.warn und mail.info sowie mail.err werden beschrieben. Zumindest unter /var/log - Nutze qmail unter Plesk, habe ich am falschen Ort geschaut?

 

[Deleted member 14422]

Nach was genau soll ich Ausschau halten.

Nach Hinweisen, wie bzw. worüber die Mail in dein System gekommen ist.

Nutze qmail unter Plesk, habe ich am falschen Ort geschaut?

Wo deine Logfiles liegen, kann ich dir nicht beantworten - das solltest du, als Admin, wissen. Leider nutze ich auch kein Plesk...

 

[Rene]

Nach Hinweisen, wie bzw. worüber die Mail in dein System gekommen ist.

Anders gefragt: Woran erkenne ich, wie eine Mail eingeliefert wurde? Wie sähe eine entsprechende Zeile aus?

 

[Deleted member 14422]

Im Prinzip so oder so ähnlich:

Feb 10 16:26:03 mail postfix/smtpd[31762]: connect from localhost[127.0.0.1]

Diese Mail wurde z.B. über ein Webinterface (in diesem Fall roundcube) eingeliefert.

Vielleicht solltest du dir, in diesem Fall, auch professionelle Hilfe holen - du scheinst wirklich sehr wenig Ahnung von der Materie zu haben...

 

[Rene]

Moment, ich komme schon mit ;-)

Habe mein mail.log gefunden unter /usr/local/psa/var/log/maillog

Oha, was ich da sehe, ordne ich nicht als gut ein:

Feb 10 01:40:19 lvpsMEINE-IP qmail: 1423528819.478404 status: local 0/10 remote 1/20
Feb 10 01:40:19 lvpsMEINE-IP /var/qmail/bin/relaylock[18254]: /var/qmail/bin/relaylock: mail from 91.239.104.8:2645 (8-104-239-91.dyn.veles.cv.ua)
Feb 10 01:40:25 lvpsMEINE-IP /var/qmail/bin/relaylock[18255]: /var/qmail/bin/relaylock: mail from 113.163.173.211:3823 (dynamic.vdc.vn)
Feb 10 01:40:26 lvpsMEINE-IP smtp_auth: SMTP connect from dynamic.vdc.vn [113.163.173.211]
Feb 10 01:40:26 lvpsMEINE-IP smtp_auth: SMTP user info@MEINE-DOMAIN.de : logged in from dynamic.vdc.vn [113.163.173.211]
Feb 10 01:40:30 lvpsMEINE-IP qmail-queue-handlers[18262]: Handlers Filter before-queue for qmail started ...
Feb 10 01:40:31 lvpsMEINE-IP qmail-queue-handlers[18262]: from=info@MEINE-DOMAIN.de
Feb 10 01:40:31 lvpsMEINE-IP qmail-queue-handlers[18262]: to=studienberatung@uv.hu-berlin.de

Also das bin ich NICHT: 113.163.173.211:3823 (dynamic.vdc.vn)

Auch habe ich von meiner Domain keine Mail an uv.hu-berlin.de gesendet.

Entnehme dem auch, dass die Mail nicht via "local" kommt sonder von außen. Spricht das jetzt für ein gehacktes Passwort des E-Mail Kontos oder etwas anderem?

 

[Deleted member 14422]

Gibt es den User info@MEINE-DOMAIN.de denn und hat er einen entsprechenden Login auf der Kiste?

 

[Rene]

Gibt es den User info@MEINE-DOMAIN.de denn und hat er einen entsprechenden Login auf der Kiste?

Ja, das E-Mail Postfach gibt es und er kann sich via IMAP anmelden bzw. auch einen Webmailer nutzen, welcher über IMAP läuft. Auf Plesk oder dergleichen kann man damit nicht zugreifen.

 

[Deleted member 14422]

Ja, das E-Mail Postfach gibt es und er kann sich via IMAP anmelden bzw. auch einen Webmailer nutzen, welcher über IMAP läuft.

Dann ändere das Passwort dieses Zugangs, wenn du sicher bist, dass die Mail nicht gewollt war.

 

[Rene]

Dann ändere das Passwort dieses Zugangs, wenn du sicher bist, dass die Mail nicht gewollt war.

Ok, für diesen Mail-User geändert. Jetzt sollten keine Bounces mehr aufkommen, bzw. Mails über diese E-Mail Adresse en masse verschickt werden.

Wäre dies dennoch der Fall, dann liegt das Problem woanders
Wie könnte ich das "monitoren". Gibt es einen sinnvollen/übersichtlichen Log-Editor (der vll. etwas vor-filtert), statt immer den Texteditor heranzuziehen?

 

[chris4000]

Roundcube, PHP & Co. sind in der aktuellen Version auf dem Server?

 

[Deleted member 14422]

Gibt es einen sinnvollen/übersichtlichen Log-Editor (der vll. etwas vor-filtert), statt immer den Texteditor heranzuziehen?

Da gäbe es z.B. logwatch. Ich halte von solchen Tools aber nicht viel...

 

[Joe User]

Gibt es einen sinnvollen/übersichtlichen Log-Editor (der vll. etwas vor-filtert), statt immer den Texteditor heranzuziehen?

grep, dazu muss man allerdings genau wissen, wonach man exakt suchen muss/will.
Ansonsten sind more und less noch immer die Tools erster Wahl, da man mit ihnen auch unbekannte oder ungewöhnliche Zeilen sehen kann.

Mit Texteditoren geht man grundsätzlich nicht an Logfiles, schon allein um ungewollte Manipulationen oder gar Interpretationen zu vermeiden.