OSSEC HIDS schlägt minütlich wegen Qmail Alarm

Rene

New Member
Hallo,

Ich fahre auf Ubuntu Dapper Drake und Plesk 8.3.0 auf einem Virtual Server.
Auf dem System habe ich OSSEC (OSSEC - Open Source Security, Host-Based Intrusion Detection System) laufen, welches mir minütlich folgende Information per E-Mail zukommen lässt:

Code:
OSSEC HIDS Notification.
2008 Mar 26 10:02:24

Received From: MEINE-IP->/var/log/syslog
Rule: 1002 fired (level 2) -> "Unknown problem somewhere in the system."
Portion of the log(s):

Mar 26 10:02:22 MEINE-IP qmail: 1206522142.349929 delivery 1427: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host,/it_isn't_in_my_control/locals_file,_so_I_don't_treat_it_as_local._(#5.4.6)/

Da hier offensichtlich ein Problem bei der Zustellung einer odere mehrerer E-Mails via Qmail vorliegt, habe ich schon die Qmail Queque gecheckt. Local sowie Remote sind 0 vorgemerkt, trotzdem bekomme ich minütlich eine Warnung.

Auf dem System laufen weiterhin Spamassassin, Dr. Web Antivirus und Watchdog <- sind jedoch alle "ruhig".

Habt ihr eine Idee, woran dies hier liegen kann, wie es zu fixen ist?

Vielen Dank!
 
In der Queue wirst Du nichts finden, da qmail die ja Mail abgelehnt hat. Schau mal in den Logfiles (ein paar Zeilen vor der angegebenen Zeile), an welche Adresse/Domain die Mail eigentlich ging. Laut DNS ist Dein Server für diese Domain zuständig, aber qmail weiß nichts davon und kann daher die Mail nicht zustellen.
Also solltest Du entweder die Domain dem Mailer bekannt machen, oder die MX-Einträge im DNS entsprechend anpassen.
 
Aus der Log erhalte ich dreierlei Informationen:

1.
Code:
qmail: 1206522015.011593 delivery 1420: success: 213.165.64.100_accepted_message./Remote_host_said:_250_2.6.0_Message_accepted_{mx061}/
qmail: 1206522015.011685 status: local 2/10 remote 3/20
qmail: 1206522015.091623 delivery 1422: failure: 217.72.192.149_does_not_like_recipient./Remote_host_said:_550_<NAME@web.de>_Benutzer_hat_das_Speichervolumen_ueberschritten._/_User_has_exhausted_allowed_storage_space./Giving_up_on_217.72.192.149./
qmail: 1206522015.091685 status: local 2/10 remote 2/20

Auf dem Server tummeln sich dank Plesk auf diverse Kunden.
Es sieht so aus, als hat ein kunde eine E-Mail-Adresse in Plesk eingerichtet, lässt aber jegliche ankommende E-Mail auf einen Web.de-Account weiterleiten. Laut der Log scheint sein Postfach voll zu sein und lehnt die E-Mail ab.
Könnte dies eine Warnung seitens OSSEc auslösen?

2.
Code:
qmail: 1206522142.341839 new msg 420233224
qmail: 1206522142.341990 info msg 420233224: bytes 7630 from <hits4@caineresidential.com> qp 25965 uid 2020
qmail: 1206522142.348891 starting delivery 1428: msg 420233224 to local 21-kunde1@domain.de
qmail: 1206522142.348981 status: local 1/10 remote 2/20
qmail: 1206522142.349929 delivery 1427: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host,/it_isn't_in_my_control/locals_file,_so_I_don't_treat_it_as_local._(#5.4.6)/

Hier wird eine Mail (vermutlich Spam) an die E-Mail-Adresse eines Kundens geschickt, welcher in Plesk angelegt ist.
Für diesen Kunden und seine Domain sind alle DNS sowie MX-Record-Einträge in meinen Augen korrekt gesetzt.

3.
Code:
qmail-local-handlers[25967]: Handlers Filter before-local for qmail started ...
qmail-local-handlers[25967]: from=hits4@caineresidential.com
qmail-local-handlers[25967]: to=kunde@domain.de
qmail-queue[25968]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
qmail-queue[25968]: scan: the message(drweb.tmp.AiFNcy) sent by  to drweb-daemon@www.MEIN-HOSTNAME.de should be passed without checks, because contains uncheckable addresses
qmail-queue-handlers[25971]: Handlers Filter before-queue for qmail started ...
qmail-queue-handlers[25971]: from=
qmail-queue-handlers[25971]: to=drweb-daemon@www.MEIN-HOSTNAME.de
qmail-queue-handlers[25971]: hook_dir = '/var/qmail//handlers/before-queue'
qmail-queue-handlers[25971]: recipient[3] = 'drweb-daemon@www.MEIN-HOSTNAME'
qmail-queue-handlers[25971]: handlers dir = '/var/qmail//handlers/before-queue/recipient/drweb-daemon@www.MEIN-HOSTNAME.de'
qmail-queue-handlers[25971]: starter: submitter[25973] exited normally
qmail: 1206522142.379925 bounce msg 420233222 qp 25968
qmail: 1206522142.380008 end msg 420233222
qmail: 1206522142.382618 new msg 420233226
qmail: 1206522142.382740 info msg 420233226: bytes 2796 from <> qp 25973 uid 2522
qmail: 1206522142.387795 starting delivery 1429: msg 420233226 to remote drweb-daemon@www.MEIN-HOSTNAME.de
qmail: 1206522142.387883 status: local 1/10 remote 2/20

Hier wird die E-Mail aus Bsp. 2 vom Dr. Web-Deamon gechecked. Der check scheint positiv auszufallen, darum versucht der Dr. Web-Deamon eine Nachricht an mich via drweb-daemon@www.MEIN-HOSTNAME.de zu senden. www.MEIN-HOSTNAME.de ist hierbei die Domain, welche in Plesk als std. Hostnamen für den virtuellen Server gesetzt habe.
Wenn ich versuche eine E-Mail an drweb-daemon@www.MEIN-HOSTNAME.de zu schicken, so erhalte ich eine failure notice:

Code:
Hi. This is the qmail-send program at www.MEIN-HOSTNAME.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<drweb-daemon@www.MEIN-HOSTNAME.de>:
Sorry. Although I'm listed as a best-preference MX or A for that host,
it isn't in my control/locals file, so I don't treat it as local. (#5.4.6)

Danke!
 
Last edited by a moderator:
So, jetzt sind schon einige Tage ins Land gezogen und das Problem besteht weiterhin.
Sind meine Ausführungen zu detailreich? Jemand eine Idee?

Danke.
 
Last edited by a moderator:
Hm :o
Alle MX-Einträge sind korrekt gesetzt.
Wie könnte ich "domain.de" denn Qmail bekannt machen?
Domain existiert und ist mit einem E-Mail-Konto am System angelegt.

Oder könnte OSSEC diese Warnung ausgeben, wenn eine E-Mail an xx@domain.de zugestellt werden soll, es aber nur die E-Mail-Adresse yy@domain.de auf dem System gibt?
Also praktisch Spammer auf "domain.de" einkloppen.
Dann könnte ich diese Regel von OSSEC einfach ignorieren / ändern.

Danke.
 
Back
Top