Hilfe! Spam Mafia! 300 mails/m!

carbon

New Member
Ich habe ein Problem!
Seit heute morgen bekomme ich ungefähr 300 mails in der Minute!
Sie kommen alle vom taiwanischen yahoo-mailserver (mx1.mail.tw.yahoo.com und mx2.mail.tw.yahoo.com) und beinhalten Taiwanische Werbung eines Handyanbieters (¨È¥Kºô¸ô¦æ¾P-¹q¤l³øEDM).

Anzeige bringt da wohl nicht viel und ich habe procmail und spamassassin eingerichtet aber bringen tut das nicht viel da irgendwie alles in der queue landet!

MOD: Bilder bitte immer als Anhang. Danke!

Ein Ausschnitt mit 7(?) mails (mailserver beendet da sonst schnell der speicher voll währe)
Komischerweise ist meine emailaddresse nicht im empfänger enthalten...

Bitte helft mir wie kann ich das abstellen oder blockieren lassen?
 

Attachments

  • aufzeichnen.png
    aufzeichnen.png
    73.8 KB · Views: 199
Last edited by a moderator:
spamassassin und procmail sind da definitiv die falsche Wahl bei so einer Art "DoS-Angriff". Spamassassin selbst braucht auch jede Menge Ressourcen zum prüfen der Mails, d.h. das macht die Situation nur schlimmer bzgl Ressourcenverbrauch. iptables sollte dein Werkzeug sein, mit dem du schnell jegliche Netzwerkverbindungen von dem taiwanesischen Provider unterbinden kannst. Guck dir am Besten per netstat an, welche IPs tatsächlich hinter dem Hostname sitzen und dann kannst du das effizient Blocken...

Ähm... nachdem ich mir dein Bild angeschaut habe, bin ich der Meinung, dass nicht du zugespammt wirst, sondern du versuchst andere zuzuspammen! D.h. du kriegst höchstens Bounces zugestellt.
 
Bis das alles geklärt ist und Du Deine Logfiles sorgfältig analysiert hast, stellst Du am besten sofort mit "postfix stop" den Mailserver ab.
 
MOD: Bitte keine Fullquotes! Danke

ACK. Und dann direkt an der FW oder über entsprechende Einträge in den Restriktionen blocken.
 
Last edited by a moderator:
DU bist der der spammt. Jemand schickt über deinen Server SPAM an den yahoo-Mailserver. Der verweigert diese, daher kriegst du alles zurück.
 
MOD: Bitte keine Fullquotes! Danke

Das kommt davon, wenn man Bilder statt Logfiles anhängt ;-)
LT. RBL-Check ist die IP noch nicht gelistet.
Ich würde die Kiste jedenfalls schnellstens vom Netz nehmen, bevor es richtig Ärger gibt.

Meine Abneigung gegen diese Klicki-Bunti-Admin-Interface-Seuche hat schon ihre Gründe.
 
Last edited by a moderator:
omg bin es also ich der spamt?
okay ich werde sofort überprüfen woran es liegt und danke für die warnung...

Also mit Postfächern(+SMTP user) in der db löschen war es nicht getahn...

meine main.cf:

Code:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version


# Debian specific:  Specifying a file name will cause the first
# line of that file to be used as the name.  The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
smtpd_sasl_authenticated_header = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes


# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = teamws.de
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = vs4815.vserver4free.de, localhost.vserver4free.de, localhost
mynetworks = 0.0.0.0/0
mailbox_size_limit = 10M
mailbox_command = /usr/bin/procmail.
recipient_delimiter = +

# All virtual mailboxes live somewhere in here ..
virtual_mailbox_base = /var/mail/vmail

# The (virtual) domains we accept mail for
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql/virtual-domains.cf

# Lookup mailbox location, uid and gid based on email address received.
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql/virtual-mailbox-maps.cf
virtual_uid_maps = static:101
virtual_gid_maps = static:101

virtual_alias_maps = proxy:mysql:/etc/postfix/mysql/virtual-alias-maps.cf

relay_domains = proxy:mysql:/etc/postfix/mysql/relay-domains.cf
local_transport = virtual
local_recipient_maps = $virtual_mailbox_maps
qmgr_message_active_limit = 20
qmgr_message_recipient_limit = 20

ich habe das gesamte authentifizierungs-zeuch über mysql laufen lassen...
Irgendwie schafft er es sich in smtp einzuloggen ohne user u. passwort etc einzugeben...
 
Last edited by a moderator:
Also wenn mich meine Augen nicht täuschen fehlt da schonmal jegliche Art von Restriktionen. Nicht gut.

Reich bitte noch die Ausgabe von postconf -n nach.

Daneben wäre ein Auszug aus dem mail.log interessant.
Der Mist kann auch über ein löchriges Script, etc. eingeliefert worden sein.
 
mail.log = 160MB = nicht gut...
War etwas zu groß aber ich habe hier einen Auszug aus der mail.warn

Code:
Jul 16 13:18:14 vs4815 postfix/master[15167]: warning: service "smtp" (25) has reached its process limit "100": new clients may experience noticeable delays
Jul 16 13:18:14 vs4815 postfix/master[15167]: warning: to avoid this condition, increase the process count in master.cf or reduce the service time per client
Jul 16 13:20:27 vs4815 postfix/postsuper[17420]: warning: invalid mail queue id: --
Jul 16 13:21:40 vs4815 postfix/qmgr[15173]: warning: qmgr_active_corrupt: save corrupt file queue active id 4B44A284C4: No such file or directory
Jul 16 13:22:31 vs4815 postfix/smtpd[16925]: warning: 219.91.117.4: address not listed for hostname NK219-91-117-4.adsl.dynamic.apol.com.tw


Jul 16 14:57:26 vs4815 postfix/smtpd[6459]: warning: SASL authentication failure: Password verification failed
Jul 16 14:57:26 vs4815 postfix/smtpd[6459]: warning: g226194004.adsl.alicedsl.de[92.226.194.4]: SASL PLAIN authentication failed: authentication failure
Jul 16 14:57:31 vs4815 postfix/smtpd[6459]: warning: g226194004.adsl.alicedsl.de[92.226.194.4]: SASL LOGIN authentication failed: authentication failure

Jul 16 21:54:19 vs4815 postfix/smtpd[13018]: warning: not enough free space in mail queue: 14897152 bytes < 1.5*message size limit
Jul 16 21:54:20 vs4815 postfix/smtpd[13018]: warning: not enough free space in mail queue: 14827520 bytes < 1.5*message size limit

Code:
Ausgabe von postconf -n ..

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
config_directory = /etc/postfix
local_recipient_maps = $virtual_mailbox_maps
local_transport = virtual
mailbox_command = /usr/bin/procmail.
mailbox_size_limit = 10M
mydestination = vs4815.vserver4free.de, localhost.vserver4free.de, localhost
myhostname = teamws.de
mynetworks = 0.0.0.0/0
myorigin = /etc/mailname
qmgr_message_active_limit = 20
qmgr_message_recipient_limit = 20
recipient_delimiter = +
relay_domains = proxy:mysql:/etc/postfix/mysql/relay-domains.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql/virtual-alias-maps.cf
virtual_gid_maps = static:101
virtual_mailbox_base = /var/mail/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql/virtual-domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql/virtual-mailbox-maps.cf
virtual_uid_maps = static:101


dochnoch hinbekommen die mail.log:

Code:
Jul 16 20:09:58 vs4815 postfix/smtpd[32626]: disconnect from 118-168-97-39.dynamic.hinet.net[118.168.97.39]
Jul 16 20:09:58 vs4815 postfix/smtpd[32701]: EE76B28228: client=118-168-100-87.dynamic.hinet.net[118.168.100.87]
Jul 16 20:09:59 vs4815 postfix/smtpd[32626]: connect from 118-168-97-39.dynamic.hinet.net[118.168.97.39]
Jul 16 20:09:59 vs4815 postfix/smtp[32508]: 2BD0A2820C: host d.mx.mail.yahoo.com[209.191.88.247] refused to talk to me: 421 4.7.0 [TS01] Messages from 77.37.17.166 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html
Jul 16 20:09:59 vs4815 postfix/cleanup[32699]: A7FC828218: message-id=<[email protected]>
Jul 16 20:09:59 vs4815 postfix/smtpd[32706]: 31C7A28229: client=118-168-99-196.dynamic.hinet.net[118.168.99.196]
Jul 16 20:09:59 vs4815 postfix/cleanup[32616]: 9858F28217: message-id=<[email protected]>
Jul 16 20:09:59 vs4815 postfix/qmgr[32493]: A7FC828218: from=<[email protected]>, size=4325, nrcpt=6 (queue active)
Jul 16 20:09:59 vs4815 postfix/qmgr[32493]: A7FC828218: to=<[email protected]>, relay=none, delay=3.2, delays=3.2/0.02/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mx1.mail.tw.yahoo.com[203.188.197.9] refused to talk to me: 421 4.7.0 [TS01] Messages from 77.37.17.166 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Jul 16 20:09:59 vs4815 postfix/qmgr[32493]: A7FC828218: to=<[email protected]>, relay=none, delay=3.2, delays=3.2/0.03/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mx1.mail.tw.yahoo.com[203.188.197.9] refused to talk to me: 421 4.7.0 [TS01] Messages from 77.37.17.166 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
Jul 16 20:09:59 vs4815 postfix/qmgr[32493]: A7FC828218: to=<[email protected]>, relay=none, delay=3.2, delays=3.2/0.05/0/0, dsn=4.7.0, status=deferred (delivery temporarily suspended: host mx1.mail.tw.yahoo.com[203.188.197.9] refused to talk to me: 421 4.7.0 [TS01] Messages from 77.37.17.166 temporarily deferred due to user complaints - 4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html)
 
Last edited by a moderator:
Code:
smtpd_recipient_restrictions = reject_invalid_hostname,
         reject_non_fqdn_hostname,
         reject_non_fqdn_sender,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
         reject_unauth_pipelining,
         permit_sasl_authenticated,
         reject_unauth_destination,
         check_recipient_access

geht das so? Ist es zu viel?

die mail.log ist im letzten post von mir noch hinzugefügt worden
 
Für den Anfang passt das erstmal. Besser als nix ;-)
Nur "reject_unauth_pipelining" gehört nach "smtpd_data_restrictions".

Ich würde bei Gelegenheit noch folgendes ersetzen:
reject_non_fqdn_hostname --> reject_non_fqdn_helo_hostname
reject_invalid_hostname --> reject_invalid_helo_hostname

Dann würde ich mal ein "postsuper -d ALL" drüberschicken (notfalls vorher mal mit pfqueue gucken, ob noch erwünschte Mails in der Queue hängen).

Und dann mal schauen, was die Kiste spricht.
 
icvh habe es jetzt so:
Code:
smtpd_recipient_restrictions = reject_invalid_hostname,
         reject_non_fqdn_helo_hostname,
         reject_invalid_helo_hostname,
         reject_unknown_sender_domain,
         reject_unknown_recipient_domain,
         permit_sasl_authenticated,
         reject_unauth_destination

musste es noch ändern da ich einen fehler beim empfangen von mails bekommen habe... nun gehts... ist der wert so noch okay?
 
"reject_invalid_hostname" kannst du rauslassen.
Ich würde noch ein "permit_mynetworks" hinter "permit_sasl_authenticated" einfügen.
 
Hi,

Code:
mynetworks = 0.0.0.0/0
sorgt dafür, dass Postfix alle Emails, von jedem Rechner, an jeden Rechner, ohne jegliche Restriktionen zustellt.

Dringend ändern in:
Code:
mynetworks = 127.0.0.0/8
Postfix nimmt nämlich per default nur Mails von außerhalb der "mynetworks" an die eigene Maschine und die Relayhosts an.
 
Back
Top