iptables: Block port 25, src=my_vserver.stratoserver.net

R

reinerotto

New Member
Hi,

der Support von STRATO war so nett, mir zuzugestehen, daß deren Routing ohne weiteres Packets "von draußen" auf meinen server routed, auch wenn sie meine eigene(gespoofte) source-IP beinhalten.
Das ist wohl der Grund, daß mein VServer eine Zeit lang als Open Relay SPAMS weitergeschickt hat, denn durch (gespoofte ?) source-IP=my_Vserver.stratoserver.net (localhost) wurden einige Sicherheitsprüfungen umgangen.
Meiner Meinung nach wäre also das sinnvollste, mit Hilfe von iptables "von draußen" auf port 25 reinkommende Packets mit src=my_Vserver.stratoserver.net zu DROPpen.
Leider kenne ich mich mit iptables nicht aus.
Kann mir jemand bitte helfen ?


ifconfig:
Code: 
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8098 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8098 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:664655 (649.0 Kb)  TX bytes:664655 (649.0 Kb)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:15689 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19757 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1041833 (1017.4 Kb)  TX bytes:16619859 (15.8 Mb)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:12.34.56.78  P-t-P:12.34.56.78  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
 
/sbin/iptables -A INPUT -p tcp --dport 25 -s deineip -j REJECT
Click to expand...

Die Frage ist ob das sinnvoll ist, vielleicht solltest du lieber deinen Mailserver so einstellen dass er E-Mails nur von localhost (127.0.0.1) ungefragt relayed anstatt auch von deiner externen IP was eh keinen Sinn für mich ergibt.
 
CentY said:
Die Frage ist ob das sinnvoll ist, vielleicht solltest du lieber deinen Mailserver so einstellen dass er E-Mails nur von localhost (127.0.0.1) ungefragt relayed anstatt auch von deiner externen IP was eh keinen Sinn für mich ergibt.
Click to expand...

Der Geist hierzu war willig, aber das Fleisch schwach, d.h. ich wußte nicht, wie.
Obwohl ich nur mail von 127.0.0.1 ungeprüft relayen wollte, wurde auch SPAM von src=_my_VServer.... relayed.
Hm,
muss mir mal /etc/hosts anschauen ... Danke für den Tip.
Vielleicht klappt ja der 2. Versuch.
 
WIrd nix nutzen.

Mein akt. Stand:
mynetworks = 127.0.0.1/32
mynetworks_style = host

Und dies kommt von draussen rein:
Feb 20 23:21:07 hxxxxxxx postfix/smtpd[11826]: connect from localhost[127.0.0.1]
Feb 20 23:21:10 hxxxx postfix/smtpd[11826]: warning: numeric domain name in resource data of MX record for carry.com: 0.0.0.0
Feb 20 23:21:10 hxxx postfix/smtpd[11826]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 <oyang@carry.com>: Recipient address rejected: Access denied; from=<sung_pien@gmail.com> to=<oyang@carry.com> proto=SMTP helo=<ppp-12-345-45.xyz.net>
Feb 20 23:21:11 hxxxxxx postfix/smtpd[11826]: disconnect from localhost[127.0.0.1]

Offensichtlich haben die "Bad Guys" meine IP gespooft,
und versuchen, SPAMS zu versenden.

Keine gute Werbung für STRATO, dass das möglich ist.
Aber die wollen eben nix dagegen machen.

Und darum wäre
permit_mynetworks
in main.cf fatal :-)
 
Kann es nicht auch einfach sein, dass du einen falsch konfigurierten Postfix am laufen hast? Ich hatte auch Jahre lang Server bei Strato und nie solche Probleme ;)
 
reinerotto said:
Und dies kommt von draussen rein:
Feb 20 23:21:07 hxxxxxxx postfix/smtpd[11826]: connect from localhost[127.0.0.1]
Click to expand...

Du glaubst also ernsthaft jemand spooft "127.0.0.1"?
Schon mal dran gedacht, dass die Mails tatsächlich von localhost eingeliefert werden?
Ich tippe eher auf einen Open Proxy auf der Maschine. :rolleyes:
 
Dann müsstes aber schon ein sehr unsicheres PHP Script sein, wenn es sogar den HELO des Spammers mit an den lokalen MTA transportiert. ;)
 
CentY said:
Kann es nicht auch einfach sein, dass du einen falsch konfigurierten Postfix am laufen hast? Ich hatte auch Jahre lang Server bei Strato und nie solche Probleme ;)
Click to expand...

Leider nicht so einfach. Habe anderen root-server, mit praktisch identischer Konfiguration, da gibt es das Problem nicht.
 
Firewire2002 said:
Du glaubst also ernsthaft jemand spooft "127.0.0.1"?
Schon mal dran gedacht, dass die Mails tatsächlich von localhost eingeliefert werden?
Ich tippe eher auf einen Open Proxy auf der Maschine. :rolleyes:
Click to expand...

Ursprung der SPAMS ist NICHT localhost. Es sieht aber so aus, als kämen sie SCHEINBAR von localhost. Und das hängt irgendwie mit den virtuellen Netzwerkinterfaces zusammen.
Leider kenne ich mich damit nicht aus.
Wie ich schon an anderer Stelle sagte: Das Problem habe ich NICHT auf echtem root-server, der fast identisch ist.
Die virtuellen Interface habe ich nicht selber konfiguriert; die waren von STRATO so im VServer-Image (SuSE 10.3) definiert.
 
Tut mir leid, aber das glaube ich dir nicht. Was macht dich so sicher, dass die Mails nicht von localhost kommen?
Poste uns doch mal bitte die Ausgaben von "ip a l", "ip r l", "netstat -lntp" und einen Log Auszug von einer "normalen" Mail ohne gespoofte IP.
 
Last edited by a moderator:
Bitteschön:
Code: 
h12345:~ # ifconfig
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1210635869 errors:0 dropped:0 overruns:0 frame:0
          TX packets:651568401 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1828651921 (1743.9 Mb)  TX bytes:1828651929 (1743.9 Mb)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:2969704 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3161605 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:598951747 (571.2 Mb)  TX bytes:592927383 (565.4 Mb)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:12.345.67.89  P-t-P:12.34.56.78  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1


h12345:~ # ip a l
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
3: venet0: <BROADCAST,POINTOPOINT,NOARP,UP> mtu 1500 qdisc noqueue
    link/void
    inet 127.0.0.1/32 scope host venet0
    inet 12.345.67.89/32 scope global venet0:0


h12345:~ # ip r l
191.255.255.0/24 dev venet0  scope link
127.0.0.0/8 dev lo  scope link
default via 191.255.255.1 dev venet0



h12345:~ # netstat -lntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN      31754/amavisd (mast
tcp        0      0 127.0.0.1:10025         0.0.0.0:*               LISTEN      32227/master
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      31827/dovecot
tcp        0      0 127.0.0.1:3310          0.0.0.0:*               LISTEN      31805/clamd
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN      31919/spamd.pid
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN      31961/java
tcp        0      0 127.0.0.1:8083          0.0.0.0:*               LISTEN      31931/(squid)
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      31772/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      32227/master
tcp        0      0 127.0.0.1:7999          0.0.0.0:*               LISTEN      31961/java
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      31827/dovecot
tcp        0      0 127.0.0.1:10023         0.0.0.0:*               LISTEN      31953/postgrey -d -



Feb 21 21:21:03 h123456 postfix/smtpd[9986]: connect from web27103.mail.ukl.yahoo.com[217.146.182.35]
Feb 21 21:21:03 h123456 postgrey[31953]: action=pass, reason=client whitelist, client_name=web27103.mail.ukl.yahoo.com, client_address=217.146.182.35, sender=augustus_meyer@yahoo.de, recipient=reiner@xxxxxxxx.com
Feb 21 21:21:03 h123456 postgrey[31953]: cleaning up old logs..
 
Last edited by a moderator:
Danke. Wenn man von der Strato typischen IP Konfiguration mal absieht, schaut das alles sauber aus. Meine Frage woher du weißt, dass sie definitiv nicht von localhost eingeliefert werden, hast du leider nicht beantwortet.

Ich gehe nach wie vor davon aus, dass sie von localhost kommen. Da deine Prozesse welche von extern erreichbar sind und dafür in Frage kämen recht überschaubar sind, bleibt da wohl nur dieser wundervolle Java Daemon. (Ich vermute ein Tomcat oder ähnliches, richtig?)
Schalt ihn ab und beobachte im Log ob weiterhin Mails von localhost aufschlagen.

Falls die Java Anwendungen Logfiles produzieren, sollte man die gegebenfalls auch mal kontrollieren. :)

Edit:
Mit meiner Open Proxy Idee lag ich da aber wohl auch nicht so weit weg. :eek:
Code: 
tcp 0 0 127.0.0.1:8083 0.0.0.0:* LISTEN 31931/(squid)
 
Last edited by a moderator:
Du hast einfach deinen Mailserver falsch eingestellt. Strato hostet hunderte von Vserver. Sollte wirklich eine solche Fehlkonfiguration vorliegen hätten sich schon bestimmt mehrere Kunden beschwert.
 
bibabu said:
Du hast einfach deinen Mailserver falsch eingestellt. Strato hostet hunderte von Vserver. Sollte wirklich eine solche Fehlkonfiguration vorliegen hätten sich schon bestimmt mehrere Kunden beschwert.
Click to expand...

Einer muss immer der Erste sein. Es scheint Mode geworden zu sein, SW-Bugs/Probleme erst einmal zu ignorieren. Oder zu warten, bis sich 1000 Andere ebenfalls gemeldet haben.
Dein "Argument" hörte ich übrigens auch vom STRATO Support.
 
You must log in or register to reply here.
Back
Top