kein open-relay, keine php-scripte, trotzdem spam versand über meinen server

[GaToR]

hallo zusammen!

mich hats jetzt auch erwischt, bzw. schon länger: über meinen server werden spams verschickt.
es läuft postfix auf suse 10.
habe einen open-relay-test gemacht und es ist alles ok. ein php-script kann es auch nicht sein.
habe schon sämtliche beiträge im internet dazu gelesen, allerdings konnte mir keiner helfen.
den beitrag auf hushi.net kenne ich auch, hilft mir aber nicht, da ich ein php-script ausschließen kann.

hier ein auszug aus der log zu einem typischer versand (den connect und disconnect dazu habe ich auf die schnelle nicht gefunden):

Nov 27 17:27:46 www postfix/cleanup[21113]: 9588C15EAC1: message-id=<20071127162746.9588C15EAC1@www.xxxxxxxxx.de>
Nov 27 17:27:46 www postfix/qmgr[22189]: 9588C15EAC1: from=<>, size=2697, nrcpt=1 (queue active)
Nov 27 17:28:19 www postfix/smtp[21119]: 9588C15EAC1: to=<xxxxxxxxxxxxxx@xxxxxxx.com>, relay=atlmail3.turner.com[64.236.240.74], delay=33, status=bounced (host atlmail3.turner.com[64.236.240.74] said: 550 #5.1.0 Address rejected xxxxxxxxxxxxxxxxx@xxxxxxx.com (in reply to RCPT TO command))
Nov 27 17:28:19 www postfix/qmgr[22189]: 9588C15EAC1: removed

hier was postconf -n sagt:

alias_maps = hash:/etc/aliases
biff = no
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
default_destination_concurrency_limit = 10
defer_transports =
disable_dns_lookups = no
disable_mime_output_conversion = no
fallback_transport = cyrus
html_directory = /usr/share/doc/packages/postfix/html
inet_protocols = all
local_destination_concurrency_limit = 2
local_recipient_maps =
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport = cyrus
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains = $mydomain
masquerade_exceptions = root
message_size_limit = 10240000
mydestination = $myhostname, localhost.$mydomain, $mydomain
mydomain = xxxxxxxxx.de
myhostname = Xxxxxxx.de - Die besten Informationen zum Thema Xxx. Diese Website steht zum Verkauf!
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_auth_enable = no
smtp_use_tls = no
smtpd_client_restrictions =
smtpd_helo_required = yes
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions =
smtpd_use_tls = no
strict_8bitmime = no
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550


was kann man noch machen? kein open-relay, keine php-scripte....

jemand einen guten tip, oder einen guten link??

danke....

 

[djrick]

Ich würde fast sagen:
Jemand verschickt von anderen Servern Spam mit Domain Addressen die deinem Server zu geordnet sind.

Also zB könnte ich ja auch von meinem Rechner aus E-Mails verschicken mit:
Administrator@serversupportforum.de

Und die Fehler würden dann an den wirklichen Server der hinter serversupportforum.de steht gehen.

 

[LinuxAdmin]

In dem Log fehlt die wichtige Zeile

Nov 27 17:27:46 www postfix/smtpd[21687]: 9588C15EAC1: client=....

Ohne die ist es schwierig was zu sagen. Eine Mail ist nicht einfach irgendwie da -- sie hat einen Ursprung. Wenn sie eine Bouncemail (from=<>) ist, gibt es eine andere Mail, die den Bounce ausgelöst hat. Du solltest also den Kontext dieser Mail vollständig wiedergeben.

Viele Grüße,
LinuxAdmin

 

[GaToR]

LinuxAdmin hat recht. das sind bounce-mails, die der server auf grund von spam-mails verschickt.
danke für die hilfe!
hatte mich bis jetzt an das thema "mail-server" nicht rangewagt, mir aber jetzt vorgenommen die "black-box" mal auf zu machen.
kämpfe mich gerade durch die postfix-doku und wühle mich durch diverse foren.....demnächst werden bestimmt noch paar fragen kommen....

cu

 

[LinuxAdmin]

Dein Server sollte aber keine (unnötigen) Bounce-Mails versenden. Eine Mail, die Du angenommen hast, musst Du auch behalten, es sei denn es gibt technische Probleme.
Postfix macht daher alle Checks (z.B. ob ein Benutzer überhaupt existiert oder ob andere Regeln erfüllt sind), bevor die Mail angenommen wird (in diesem Fall ist es nämlich Aufgabe des Absenders, mit dem Problem umzugehen).
Du musst aufpassen, dass Du dieses Prinzip durch eine ungeschickte Konfiguration nicht aushebelst. Server, die den sogn. Back-Scatter erzeugen, landen auch gerne auf Blacklists.

Viele Grüße,
LinuxAdmin

 

[GaToR]

ok, danke für den hinweis.
wenn ich das aber richtig verstehe is es schon richtig, dass bei mir bounce-mails verschickt werden. er nimmt die mails ja auch nicht an. der server hat ja auch gar keine andere wahl als zu bouncen:
es kommt ne spam rein z.b. an xyz@meine-domain.de (da ich im moment keine spam-filter-software benutzte, weiß postfix ja nicht, dass es ne spam ist), findet kein entsprechendes postfach, auch keine aliase o.ä. und muss dann ja die mail an die absender-adresse bouncen.
das blöde ist bei mir nur im moment, dass die bounce-mails wegen time-outs, oder host-not-found nicht versendet werden können (klar...spam-absender) und in der queue landen. dementsprechend voll ist auch die queue. habe die lifetime schon von 5d auf 24h gesetzt, damit die nicht zu voll wird.
bin im moment auch nicht so weit, dass ich jetzt was gescheites machen kann. wie gesagt....arbeite mich gerade in die ganze geschichte ein.
die nächsten schritte wären dann natürlich sowas wie spamassassin installieren, oder paar sinnvolle regeln definieren......arbeite dran......

 

[Firewire2002]

Spamassassin nützt dir in diesem Fall auch nichts.
Ein Mail Server hat generell die Aufgabe Mails an ihn unbekannte Mail-Adressen abzuweisen. Bei Spamassassin kommt nur das an was der Mailserver ihm weiterreicht. Solche Mails also unter Garantie nicht.

Schalt das Bounce ab und schon ist ruhe.

Btw: Wäre nett wenn du Punkt 3.2 der Nutzungsbedingungen beachten könntest.

 

[GaToR]

Ahhh...ok, klingt logisch.
Das bouncen abzuschalten wäre natürlich eine Option.
Auf jeden Fall danke für die Hilfen. Werde mich bestimmt noch mal melden....

(Nutzungsbedingungen gelesen und akzeptiert