Mailrückläufer

[darkcallen]

Hi Zusammen,

wir haben eine Rootserver mit ‪Debian 8.11 und Plesk Onyx Version 17.8.11 Update #42. Mailserver ist ein Postfix.
Seit ein paar tagen kommen viele Mailrückläufer. Es wurden keine Emails von uns verschickt.
Wie können wir das unterbinden?

Mailrückläufer:
> -----Ursprüngliche Nachricht-----
> Von: Mail Delivery System <MAILER-DAEMON@mail.xxx.de>
> Gesendet: Donnerstag, 28. Februar 2019 08:28
> An: admin@2-xxx.de
> Betreff: Undelivered Mail Returned to Sender
>
> This is the mail system at host mail.design2enjoy.de.
>
> I'm sorry to have to inform you that your message could not be
> delivered to one or more recipients. It's attached below.
>
> For further assistance, please send mail to postmaster.
>
> If you do so, please include this problem report. You can delete your
> own text from the attached returned message.
>
> The mail system
>
> <noreply@gantry-framework.org>: delivery temporarily suspended:
> connect to
> gantry-framework.org[104.131.28.232]:25: Connection timed out

Mailprotokoll:
Feb 23 08:12:34 mail postfix/error[20223]: B6522518ED40: to=<noreply@gantry-framework.org>, relay=none, delay=0.36, delays=0.32/0/0/0.04, dsn=4.4.1, status=deferred (delivery temporarily suspended: connect to gantry-framework.org[104.131.28.232]:25: Connection timed out)

LG Darkcallen

 

[danton]

Die Mails scheinen ja über euren Server zu laufen. Also wird es wohl mindestens einer der folgenden Gründe sein:
1. Das Passwort mindestens eines Mail-Accounts auf eurem Server wurde erraten/abgephischt/anderweitig bekannt
2. Der Server hat eine Sicherheitslücke, z.B. durch fehlende Updates
3. Ein unsichereres Script auf einer Webseite (z.B. Kontaktformular o.ä.)
Als erstes gilt jetzt: Mailserver stoppen, damit keine weiteren Spams versendet werden. Dann die Ursache ermittlen. Entsprechend der Ursache sind dann weitere Massnahmen zu treffen. Außerdem solltest du davon ausgehen, dass deine IP auf mehrere Blacklists gelandet ist.
Auf Grund der Formulierung der Fragestellung würde ich vermuten, dass bei dir nur rudimentäre Kenntnisse der Server-Administration vorhanden sind, daher professionelle Hilfe in Anspruch nehmen.

 

[Utituti]

Guck mal in die Maillogs wer sich ein und ausloggt.
Wenn dort etwas komisch erscheint prüf es nochmal genauer Fail2Ban nutzen z.B wäre eine möglichkeit

 

[danton]

Wenn dort etwas komisch erscheint prüf es nochmal genauer Fail2Ban nutzen z.B wäre eine möglichkeit

Fail2ban bringt nur bei Brute-Force-Attacken einen gewissen Schutz. Und falls hier die Zugangsdaten eines Accounts bekannt wurden, dann hilft fail2ban gar nicht mehr weiter. Danke diverser Passwort-Leaks ist es relativ leicht, an gültige zugangsdaten zu kommen - viele User machen halt Passwort-Recycling.

 

[Utituti]

Fail2ban bringt nur bei Brute-Force-Attacken einen gewissen Schutz. Und falls hier die Zugangsdaten eines Accounts bekannt wurden, dann hilft fail2ban gar nicht mehr weiter. Danke diverser Passwort-Leaks ist es relativ leicht, an gültige zugangsdaten zu kommen - viele User machen halt Passwort-Recycling.

Das ist natürlich richtig aber ich gehe davon aus das das Kennwort einfach durch Brute-Force rausbekommen wurde soll er es mal ändern und Fail2Ban aktievieren das hilft dann meistens schon

 

[danton]

Aus persönlicher Erfahrung kann ich sagen, dass fail2ban da sehr überschätzt wird. Die Fälle mit gekaperten Accounts, die ich beobachtet habe, sind vorher in fail2ban nicht auffällig geworden, sondern erst, nachdem das Kennwort auf dem Server geändert wurde.
Der Schaden blieb übrigens gering, da die Spammer sehr schnell das Rate-Limit erreicht und somit Alarm ausgelöst haben.

 

[Utituti]

Aus persönlicher Erfahrung kann ich sagen, dass fail2ban da sehr überschätzt wird. Die Fälle mit gekaperten Accounts, die ich beobachtet habe, sind vorher in fail2ban nicht auffällig geworden, sondern erst, nachdem das Kennwort auf dem Server geändert wurde.
Der Schaden blieb übrigens gering, da die Spammer sehr schnell das Rate-Limit erreicht und somit Alarm ausgelöst haben.

du bist auch was erfahrener Kanns einem Otto verbraucher net das abverlangen das der sein server trackt

 

[danton]

Doch. Wenn Otto-Normalverbraucher meint, einen Server mieten zu müssen, den er selber administriert, dann kann ich das erwarten. Als Server-Admin ist man für alles verantwortlich, was auf dem Server passiert und hat damit gewissen Sorgfaltspflichten. Das kann sowohl straf- als auch zivilrechtliche Folgen haben.

 

[Lord Gurke]

Die Mails scheinen ja über euren Server zu laufen. Also wird es wohl mindestens einer der folgenden Gründe sein:

+ der Grund: Aus einem Grund nimmt der Server Mails an, die er nicht zustellen kann und versucht dann selbst Bounces zu generieren.
Kann z.B. auch bei Mailweiterleitungen der Fall sein oder falsch konfigurierten Spamfiltern die an der falschen Stelle der Queue noch einen Reject machen möchten.

 

[danton]

Stimmt, wäre auch eine Möglichkeit. Da es aber anscheinend plötzlich und wohl in größerem Stil aufgetreten ist, halte ich das aber für unwahrscheinlich. Genaueres kann man ohnehin nur mit mehr Informationen sagen (Logs, sind andere Bounces identisch, für was für Mails wurden die Bounces generiert, die bouncen, etc.)