Massenweise Mails?

A

Azurel

Member
Hallo,

Ich habe zwei kleine Domains aber meine Traffic Überwachung(MRTG) meint ich habe teilweise mehr eingehenden Traffic als ausgehend.

<MOD>Bilder immer als Anhang!</MOD>

Ich habe mich gewundert wie das sein kann und IFTOP installiert und mir mal das gebundelt ausgeben lassen:

<MOD>Bilder immer als Anhang!</MOD>

Ich kenne mich noch nicht mit IFTOP so aus, aber der erste Wert wird alle 2s errechnet. Der zweite steht für 10s und der dritte 40s. Wie kann es sein dass ich durchgehend Mails versende? Und wieso ist eingehende Mails größer als ausgehend?

/var/log/maillog ist bei mir "0 Byte". Wie kann ich mir in postfix anschauen wann ich zu wem mails sende bzw auch empfange? Die Werte können doch nicht richtig sein, oder?
 

Attachments

  • traffic-day.png
    traffic-day.png
    3.8 KB · Views: 113
  • mail.png
    mail.png
    8.6 KB · Views: 118
Last edited by a moderator:
Azurel said:
Ich habe mich gewundert wie das sein kann und IFTOP installiert und mir mal das gebundelt ausgeben lassen:

http://picload.org/image/oplddoa/mail.png
Click to expand...
Sorry, aber wenn du alles schwärzt, kann dir keiner helfen.

Azurel said:
Wie kann es sein dass ich durchgehend Mails versende?
Click to expand...
OpenRelay oder Server gehackt. Wenn du größere Mengen Mails schickst und nicht weißt, was es ist, dann spamt dein Server gerade im großen Stil! Wenn du nicht weiter weißt, dann ist JETZT der Moment gekommen, den Postfix runter zu fahren und erst wieder anzuschalten, wenn du sicher bist, dass du nicht mehr spammst.

Azurel said:
/var/log/maillog ist bei mir "0 Byte". Wie kann ich mir in postfix anschauen wann ich zu wem mails sende bzw auch empfange?
Click to expand...

Unter /var/log sollte Postfix irgendwo logs schreiben. Tut er das nicht und deine Mail-Logs sind tatsächlich leer, dann hat sich jemand ordentlich zu schaffen gemacht.

Standard-Frage: Regelmäßig um den Server gekümmert? Immer Updates eingespielt?
 
Azurel said:
Wie kann es sein dass ich durchgehend Mails versende? Und wieso ist eingehende Mails größer als ausgehend?
Click to expand...
Eingehende versuchte SPAM-Einlieferungen. Was Du siehst, ist Traffic aka Netzwerkkommunikation und nicht Mails direkt. Der Traffic wird durch das SMTP-Protokoll verursacht. Mail-Einlieferung ist ein Dialog-orientiertes Verfahren. Da über 90% der Mail-Einlieferungsanfragen SPAM sind, ist das durchaus plausibel, dass Du mehr eigehenden Mail-Traffic als ausgehend hast.

Edit meint: Oh ich vergaß, PapaBaer bestellt immer gleich den Exorzisten. Wenn das maillog leer ist, ist das zwar bedenklich aber mein erster Blick wäre in die Konfiguration, ob und wohin welche logs geschrieben werden.

P.S.: Bilder bitte immer direkt als Anhang hier. Verlinkungen zu irgendwelchen obskuren Bilderprotalen sind hier wohl nicht erwünscht und darauf wurdest Du wohl auch schon mal hingewiesen.
 
Last edited by a moderator:
Ah.. Plesk legt die Mails unter /usr/local/psa/var/log/maillog ab.

Also in der Datei steht fast ausschließlich entweder mein LOGIN/LOGOUT meines E-Mail Clients auf dem Laptop und alle 5min sowas:

Dec 5 16:39:34 mail courier-imapd: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-imapd: LOGOUT, ip=[::ffff:127.0.0.1], rcvd=12, sent=365
Dec 5 16:39:34 mail courier-imaps: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-imaps: LOGOUT, ip=[::ffff:127.0.0.1], rcvd=12, sent=356
Dec 5 16:39:34 mail courier-pop3d: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-pop3d: LOGOUT, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-pop3d: Disconnected, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-pop3s: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-pop3s: LOGOUT, ip=[::ffff:127.0.0.1]
Dec 5 16:39:34 mail courier-pop3s: Disconnected, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-imapd: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-imapd: LOGOUT, ip=[::ffff:127.0.0.1], rcvd=12, sent=365
Dec 5 16:44:36 mail courier-imaps: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-imaps: LOGOUT, ip=[::ffff:127.0.0.1], rcvd=12, sent=356
Dec 5 16:44:36 mail courier-pop3d: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-pop3d: LOGOUT, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-pop3d: Disconnected, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-pop3s: Connection, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-pop3s: LOGOUT, ip=[::ffff:127.0.0.1]
Dec 5 16:44:36 mail courier-pop3s: Disconnected, ip=[::ffff:127.0.0.1]
Click to expand...

Und alle 10min mal eine echte E-Mail die rein oder raus geht.


Wieso habe ich dann bei IFTOP für mail durchgängig Traffic?
Ah, vielleicht auch falsch. Ich nutze in postfix den RDNS Eintrag. Aber vielleicht nutzt ja auch was anderes diesen? Das ganze hat vermutlich mit Mails gar nichts zu tun.


@TerraX
Danke für den Hinweis. Ich kenne mehr Foren wo die Funktion gesperrt ist, dass man erstmal es lernen muss hier anders zu machen. :)
 
Last edited by a moderator:
Kontrollier mal mit "lsof -nP -i :25" woher der Traffic kommt.
In der Annahme dass dein Server tatsächlich Spamming betreibt besteht die Möglichkeit dass ein Skript direkt SMTP spricht und nicht erst deinen Mailserver verwendet. Dies kann man unterdrücken indem die Firewall Port-25 ausgehend für alle Benutzer ausser root und den Mail-Dienst blockiert.

Ansonsten wäre eine sehr einfach Methode mal tshark paar Minuten (oder bspw 100'000 Pakete lang) mitschneiden zu lassen. Dann kannst du dir direkt den Inhalt der Pakete ansehen - bei verschlüsselten -einkommende- Nachrichten ohne (EC)DHE kannst du diese mit deinem Server-Zertifikat auch entschlüsseln.
 
Danke für die Hilfe!

Habe es jetzt rausgefunden.

Die IP 2a01:7e00::f03c:91ff:feae:52e2 hat massenweise an mein Mini Forum sowas gesendet (aber über meine Mail RDNS):

2a01:7e00::f03c:91ff:feae:52e2 - - [05/Dec/2013:17:11:55 +0100] "POST /newthread.php?do=postthread&f=1 HTTP/1.0" 301 576 "http://www.xxx.com" "Mozilla/7.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/96"
2a01:7e00::f03c:91ff:feae:52e2 - - [05/Dec/2013:17:12:00 +0100] "POST /newthread.php?do=postthread&f=2 HTTP/1.0" 301 574 "http://www.xxx.com" "Mozilla/7.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/96"
2a01:7e00::f03c:91ff:feae:52e2 - - [05/Dec/2013:17:12:05 +0100] "POST /newthread.php?do=postthread&f=3 HTTP/1.0" 301 574 "http://www.xxx.com" "Mozilla/7.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/96"
2a01:7e00::f03c:91ff:feae:52e2 - - [05/Dec/2013:17:12:10 +0100] "POST /newthread.php?do=postthread&f=4 HTTP/1.0" 301 574 "http://www.xxx.com" "Mozilla/7.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/96"
Click to expand...

Nachdem ich die IP in die Firewall gepackt habe ist der Incoming Traffic weg. o/
 
You must log in or register to reply here.
Back
Top