Eintausenfache Mailmenge

[choice]

Hallo,

ich hätte gerne mal Eure Einschätzung.
Ich betreue einen VServer auf dem eine Anwendung von mir läuft.
Der Kunde klagete über schleppende Mailabfertigung.
Das mail.err log spricht von 'too many open files'.
Grund: Anstelle der 80 ausgehenden und 200 eingehenden Mails
wurden am Vortag 6000 ausgehende Mails versandt bzw versucht zu versenden. Als das file Limit erreicht war gab es Probleme.
Der Kunde versendet diese Mails nicht. Das Mail log meldet ca 3800 als sent und
den Rest als deferred, weil die Empfänger nicht erreichbar ist.
Diese 'deferred' Empfängeradressen stinken, sie sehen nicht nur aus wie SPAM Adressen, der host lässt sich auch auflösen. Beispiel abcd110011@0451.com>.
Ich sehe zwei Möglichkeiten. Irgenteiner der Windows Clients hat einen Virus und versendet versteckt Mails mit den Mailkonten-Informationen die er aus dem Outlook hat oder der Server wird von jemandem benutzt.
Das access_log zeigt keinerlei Auffälligkeiten, die Firewal ist eingeschaltet, das root password kennen nur meine Kollegin und ich.
Wie kann ich eine Manipulation des servers überprüfen ?
Für meinen Kunden und seine Clients empfiehlt sich ein neues Virusprogramm, oder ?
Gibt es weitere Möglichkeiten ?

Grüsse
choice

 

[rene.s]

Hallo choice,

kannst du mal einen Auszug aus deinem Maillog posten? Ich vermute du hast postfix auf Debian?

Aus den Logfile geht klar hervor, woher die Mails kommen und ob es der Kunde ist.

Meine Vermutung: Du hast ein offenes Relay.

Gruß,

René

 

[djrick]

Meine Vermutung: Du hast ein offenes Relay.

Ganz einfach testen:
http://www.abuse.net/relay.html

 

[choice]

postfix auf suse 9.3

kannst du mal einen Auszug aus deinem Maillog posten? Ich vermute du hast postfix auf Debian?

Hi René,

es ist postfix auf Suse 9.3.
Auszug aus /var/log/mail vom 30.06 (Tag mit Massemails)

Jun 30 00:14:06 vs162151 postfix/qmgr[3623]: 2F1D33EAC483: from=<>, size=4637, nrcpt=1 (queue active)
Jun 30 00:14:09 vs162151 postfix/qmgr[3623]: 8D3013EAC482: from=<>, size=4530, nrcpt=1 (queue active)
Jun 30 00:14:09 vs162151 postfix/qmgr[3623]: 9289B3EAC481: from=<>, size=4346, nrcpt=1 (queue active)
Jun 30 00:14:09 vs162151 postfix/qmgr[3623]: C649A3EAC485: from=<>, size=4714, nrcpt=1 (queue active)
Jun 30 00:14:10 vs162151 postfix/qmgr[3623]: D63FC3EAC484: from=<>, size=4545, nrcpt=1 (queue active)
Jun 30 00:14:11 vs162151 postfix/smtp[27688]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jun 30 00:14:12 vs162151 postfix/smtp[27712]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jun 30 00:14:41 vs162151 postfix/smtp[27696]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jun 30 00:14:41 vs162151 postfix/smtp[27708]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jun 30 00:14:41 vs162151 postfix/smtp[27688]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jun 30 00:14:41 vs162151 postfix/smtp[27710]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jun 30 00:14:42 vs162151 postfix/smtp[27696]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jun 30 00:14:42 vs162151 postfix/smtp[27708]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jun 30 00:14:42 vs162151 postfix/smtp[27712]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jun 30 00:14:42 vs162151 postfix/smtp[27710]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jun 30 00:14:42 vs162151 postfix/smtp[27688]: 2F1D33EAC483: to=<bailouisq@0451.com>, relay=none, delay=311362, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)
Jun 30 00:14:42 vs162151 postfix/smtp[27708]: 9289B3EAC481: to=<awaken@0451.com>, relay=none, delay=398171, status=deferred (connect to mail.0451.com[202.97.230.80]: Connection refused)
Jun 30 00:14:42 vs162151 postfix/smtp[27710]: C649A3EAC485: to=<abcd110011@0451.com>, relay=none, delay=277732, status=deferred (connect to mail.0451.com[202.97.230.80]: Connection refused)
Jun 30 00:14:42 vs162151 postfix/smtp[27696]: 8D3013EAC482: to=<abcch@0451.com>, relay=none, delay=362268, status=deferred (connect to mail.0451.com[202.97.230.80]: Connection refused)
Jun 30 00:14:42 vs162151 postfix/smtp[27712]: D63FC3EAC484: to=<abc888@0451.com>, relay=none, delay=306060, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)
Jun 30 00:48:00 vs162151 postfix/smtpd[1343]: connect from dslb-084-063-037-230.pools.arcor-ip.net[84.63.37.230]
Jun 30 00:48:04 vs162151 postfix/smtpd[1343]: 5FC063EAC03D: client=dslb-084-063-037-230.pools.arcor-ip.net[84.63.37.230]
Jun 30 00:48:06 vs162151 postfix/cleanup[1442]: 5FC063EAC03D: message-id=<DELI-SERVERFgdWykGn00000017@deli-server.delicassa.azurit.local>
Jun 30 00:48:11 vs162151 postfix/smtpd[1343]: disconnect from dslb-084-063-037-230.pools.arcor-ip.net[84.63.37.230]
Jun 30 00:48:11 vs162151 postfix/qmgr[3623]: 5FC063EAC03D: from=<>, size=95106, nrcpt=1 (queue active)
Jun 30 00:48:12 vs162151 clamd[3693]: SelfCheck: Database status OK. 
Jun 30 00:48:19 vs162151 postfix/smtpd[1569]: connect from localhost[127.0.0.1]
Jun 30 00:48:19 vs162151 postfix/smtpd[1569]: 365AA3EAC03E: client=localhost[127.0.0.1]
Jun 30 00:48:19 vs162151 postfix/cleanup[1442]: 365AA3EAC03E: message-id=<DELI-SERVERFgdWykGn00000017@deli-server.delicassa.azurit.local>
Jun 30 00:48:19 vs162151 postfix/qmgr[3623]: 365AA3EAC03E: from=<>, size=95747, nrcpt=1 (queue active)
Jun 30 00:48:19 vs162151 postfix/smtpd[1569]: disconnect from localhost[127.0.0.1]
Jun 30 00:48:19 vs162151 amavis[9816]: (09816-10) Passed CLEAN, [84.63.37.230] <> -> <confixx-du-7@vs162151.vserver.de>, Message-ID: <DELI-SERVERFgdWykGn00000017@deli-server.delicassa.azurit.local>, Hits: 2.765, 7534 ms
Jun 30 00:48:19 vs162151 postfix/smtp[1516]: 5FC063EAC03D: to=<confixx-du-7@vs162151.vserver.de>, orig_to=<info@magnus-culinarium.de>, relay=127.0.0.1[127.0.0.1], delay=17, status=sent (250 2.6.0 Ok, id=09816-10, from MTA: 250 Ok: queued as 365AA3EAC03E)
Jun 30 00:48:19 vs162151 postfix/qmgr[3623]: 5FC063EAC03D: removed
Jun 30 00:48:19 vs162151 postfix/local[1570]: 365AA3EAC03E: to=<web1p2@vs162151.vserver.de>, orig_to=<confixx-du-7@vs162151.vserver.de>, relay=local, delay=0, status=sent (delivered to mailbox)
Jun 30 00:48:19 vs162151 postfix/cleanup[1442]: C78613EAC03D: message-id=<DELI-SERVERFgdWykGn00000017@deli-server.delicassa.azurit.local>
Jun 30 00:48:19 vs162151 postfix/qmgr[3623]: C78613EAC03D: from=<>, size=95897, nrcpt=2 (queue active)
Jun 30 00:48:19 vs162151 postfix/local[1570]: 365AA3EAC03E: to=<confixx-du-7@vs162151.vserver.de>, relay=local, delay=0, status=sent (forwarded as C78613EAC03D)
Jun 30 00:48:19 vs162151 postfix/qmgr[3623]: 365AA3EAC03E: removed
Jun 30 00:48:21 vs162151 postfix/smtp[1516]: C78613EAC03D: to=<h.thoerner@azurit-catering.de>, orig_to=<confixx-du-7@vs162151.vserver.de>, relay=mx00.kundenserver.de[212.227.15.186], delay=2, status=sent (250 Message 0MKu60-1Fw5J91J2a-0000Jh accepted by mxeu10.kundenserver.de)
Jun 30 00:48:21 vs162151 postfix/smtp[1572]: C78613EAC03D: to=<s.krakhardt@azurit-rohr.de>, orig_to=<confixx-du-7@vs162151.vserver.de>, relay=mx0.azurit-rohr.de[80.237.128.199], delay=2, status=sent (250 OK id=1Fw5J8-0007Lb-Sh)
Jun 30 00:48:21 vs162151 postfix/qmgr[3623]: C78613EAC03D: removed
Jun 30 00:50:24 vs162151 postfix/smtpd[5164]: connect from dslb-084-063-037-230.pools.arcor-ip.net[84.63.37.230]
Jun 30 00:50:27 vs162151 postfix/smtpd[5164]: C44DE3EAC03D: client=dslb-084-063-037-230.pools.arcor-ip.net[84.63.37.230]
Jun 30 00:50:35 vs162151 postfix/cleanup[5200]: C44DE3EAC03D: message-id=<DELI-SERVERrBLSAQV600000018@deli-server.delicassa.azurit.local>
Jun 30 00:54:53 vs162151 postfix/qmgr[3623]: C44DE3EAC03D: from=<>, size=1631172, nrcpt=1 (queue active)
Jun 30 00:54:54 vs162151 postfix/smtpd[5164]: disconnect from dslb-084-063-037-230.pools.arcor-ip.net[84.63.37.230]
Jun 30 00:55:15 vs162151 postfix/smtpd[13558]: connect from localhost[127.0.0.1]
Jun 30 00:55:15 vs162151 postfix/smtpd[13558]: C80933EAC03E: client=localhost[127.0.0.1]
Jun 30 00:55:15 vs162151 postfix/cleanup[5200]: C80933EAC03E: message-id=<DELI-SERVERrBLSAQV600000018@deli-server.delicassa.azurit.local>
Jun 30 00:55:16 vs162151 postfix/qmgr[3623]: C80933EAC03E: from=<>, size=1631638, nrcpt=1 (queue active)
Jun 30 00:55:16 vs162151 postfix/smtpd[13558]: disconnect from localhost[127.0.0.1]
Jun 30 00:55:17 vs162151 postfix/local[13565]: C80933EAC03E: to=<web1p2@vs162151.vserver.de>, orig_to=<confixx-du-7@vs162151.vserver.de>, relay=local, delay=2, status=sent (delivered to mailbox)
Jun 30 00:55:17 vs162151 postfix/cleanup[5200]: 38C5F3EAC03F: message-id=<DELI-SERVERrBLSAQV600000018@deli-server.delicassa.azurit.local>
Jun 30 00:55:17 vs162151 postfix/qmgr[3623]: 38C5F3EAC03F: from=<>, size=1631788, nrcpt=2 (queue active)
Jun 30 00:55:17 vs162151 postfix/local[13565]: C80933EAC03E: to=<confixx-du-7@vs162151.vserver.de>, relay=local, delay=2, status=sent (forwarded as 38C5F3EAC03F)
Jun 30 00:55:17 vs162151 postfix/qmgr[3623]: C80933EAC03E: removed

Grüsse
choice

MOD : Code Tags gesetzt.

 

[Huschi]

Meine Vermutung: Du hast ein offenes Relay.

Laßt doch nicht immer gleich so eine Panik entstehen.
Meistens ist es ein ausgenutztes Mail-Script oder per Cross-Site-Scripting (XSS) eingeführtes Spam-Script.

2F1D33EAC483: to=<bailouisq@0451.com>, relay=none, delay=311362, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)
9289B3EAC481: to=<awaken@0451.com>, relay=none, delay=398171, status=deferred (connect to mail.0451.com[202.97.230.80]: Connection refused)
D63FC3EAC484: to=<abc888@0451.com>, relay=none, delay=306060, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)

Diese Emailadressen lassen auf jeden Fall auf Spam-Versand schließen.
Finde davon die ersten Einträge und suche dort nach dem einliefernden User. (Wahrscheinlich "wwwrun".)

huschi.

 

[choice]

Finde davon die ersten Einträge und suche dort nach dem einliefernden User. (Wahrscheinlich "wwwrun".)

Huschi, ich weiss nicht genau wie ich den einliefernden user erkenne.
Nach einem Neustart des postfix fängt 'das' sofort wieder an.
Wie kann ich 'es' stoppen ??

Jul  5 00:15:26 vs162151 postfix/postfix-script: starting the Postfix mail system
Jul  5 00:15:27 vs162151 postfix/master[32402]: daemon started -- version 2.2.1, configuration /etc/postfix
Jul  5 00:15:28 vs162151 postfix/qmgr[32429]: 3D87D3EAC03F: from=<>, size=4578, nrcpt=1 (queue active)
Jul  5 00:15:28 vs162151 postfix/qmgr[32429]: 6528E3EAC041: from=<>, size=4648, nrcpt=1 (queue active)
Jul  5 00:15:29 vs162151 postfix/qmgr[32429]: 71B773EAC045: from=<>, size=4569, nrcpt=1 (queue active)
Jul  5 00:15:29 vs162151 postfix/qmgr[32429]: 8B8683EAC03E: from=<>, size=4532, nrcpt=1 (queue active)
Jul  5 00:15:29 vs162151 postfix/qmgr[32429]: 904683EAC044: from=<>, size=4629, nrcpt=1 (queue active)
Jul  5 00:15:29 vs162151 postfix/qmgr[32429]: 9270D3EAC043: from=<>, size=4533, nrcpt=1 (queue active)
Jul  5 00:15:29 vs162151 postfix/qmgr[32429]: A77273EAC040: from=<info@magnus-culinarium.de>, size=14973, nrcpt=50 (queue active)
Jul  5 00:15:29 vs162151 postfix/qmgr[32429]: E84483EAC042: from=<>, size=4671, nrcpt=1 (queue active)
Jul  5 00:15:33 vs162151 postfix/smtp[32442]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jul  5 00:15:33 vs162151 postfix/smtp[32447]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jul  5 00:15:33 vs162151 postfix/smtp[32448]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jul  5 00:15:35 vs162151 postfix/smtp[32451]: A77273EAC040: host mx00.kundenserver.de[212.227.15.169] said: 451 Requested action aborted: local error in processing (code: 11) (in reply to RCPT TO command)
Jul  5 00:15:36 vs162151 postfix/smtp[32451]: A77273EAC040: to=<achim.buchholz@online.de>, relay=mx00.kundenserver.de[212.227.15.134], delay=387504, status=deferred (host mx00.kundenserver.de[212.227.15.134] said: 451 Requested action aborted: local error in processing (code: 11) (in reply to RCPT TO command))
Jul  5 00:16:02 vs162151 postfix/smtp[32445]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jul  5 00:16:02 vs162151 postfix/smtp[32449]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jul  5 00:16:03 vs162151 postfix/smtp[32442]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jul  5 00:16:03 vs162151 postfix/smtp[32447]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jul  5 00:16:03 vs162151 postfix/smtp[32448]: connect to mail.0451.com[202.97.230.81]: Connection timed out (port 25)
Jul  5 00:16:03 vs162151 postfix/smtp[32445]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jul  5 00:16:03 vs162151 postfix/smtp[32449]: connect to mail.0451.com[202.97.230.80]: Connection refused (port 25)
Jul  5 00:16:03 vs162151 postfix/smtp[32442]: 3D87D3EAC03F: to=<awds@0451.com>, relay=none, delay=59724, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)
Jul  5 00:16:04 vs162151 postfix/smtp[32445]: 6528E3EAC041: to=<awdx@0451.com>, relay=none, delay=51259, status=deferred (connect to mail.0451.com[202.97.230.80]: Connection refused)
Jul  5 00:16:04 vs162151 postfix/smtp[32449]: 904683EAC044: to=<allenjiang1@0451.com>, relay=none, delay=26207, status=deferred (connect to mail.0451.com[202.97.230.80]: Connection refused)
Jul  5 00:16:04 vs162151 postfix/smtp[32447]: 71B773EAC045: to=<auyj@0451.com>, relay=none, delay=17763, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)
Jul  5 00:16:04 vs162151 postfix/smtp[32448]: 8B8683EAC03E: to=<bailouisu@0451.com>, relay=none, delay=63091, status=deferred (connect to mail.0451.com[202.97.230.81]: Connection timed out)
Jul  5 00:16:04 vs162151 postfix/qmgr[32429]: 9270D3EAC043: to=<aloneboy007@0451.com>, relay=none, delay=42331, status=deferred (delivery temporarily suspended: connect to mail.0451.com[202.97.230.81]: Connection timed out)
Jul  5 00:16:05 vs162151 postfix/qmgr[32429]: E84483EAC042: to=<baillie@0451.com>, relay=none, delay=45658, status=deferred (delivery temporarily suspended: connect to mail.0451.com[202.97.230.81]: Connection timed out)

Grüsse
choice

P.S.
grep 'wwwrun' mail findet nichts

MOD : Code Tags gesetzt.

 

[HornOx]

ich weiss nicht genau wie ich den einliefernden user erkenne.

Such dir eine Spam eMail-ID(die Nummer in eckigen Klammern) aus deiner Logdatei und suche mit egrep danach in den Logfiles der letzten paar Tagen. Dann solltest du auch die Zeile die die Einlieferung dokumentiert zu sehen bekommen.

Nach einem Neustart des postfix fängt 'das' sofort wieder an.
Wie kann ich 'es' stoppen ??

http://www.google.de/search?q=postfix+delete+queue

 

[choice]

Schonmal Danke für die Tipps

@djrick: All tests performed, no relays accepted
Klare Sache, das.
@HornOx Danke für den dezenten Google Hinweis (leichtes Erröten ;-) ).
Habe die derzeit nervenden mails aus dem queue gelöscht.
Ausserdem in der mail.cf die smtpd_sender_restrictions um reject_non_fqdn_sender, reject_unknown_sender_domain
ergänzt.
Ausgestanden ist die Sache damit wohl noch nicht, aber wenigstens
versendet im Moment keiner ungefragt Mails über den Server.
Kleiner Trost - wie ein Spiel um den dritten Platz.

Grüsse
choice