postfix / sasl - Problem (Spammer)

[ISSchuster]

Hallo,

ich habe ein relativ großes Problem auf meinem Server:

SuSE 9.1 mit postfix und saslauthd 2.1.18

Die Authentifizierung funktioniert soweit einwandfrei (d.h. der Client [z.B. Outlook / Express] muss sich am Postausgangsserver anmelden um Mails verschicken zu können. So soll es ja auch sein.)

Allerdings verschickt seit gestern jemand unberechtigterweise Mails über den Server.

Folgende Zeile steht im Logfile:
Jan 5 14:01:23 poseidon postfix/smtpd[29853] 5F093244E1 client="ein Provider aus Brasilien" sasl_method=LOGIN, sasl_username=webmaster

Wenn ich mit sasldblistusers2 die angelegten User prüfe, gibt es aber keinen User "webmaster"....

Wie / warum kann sich jemand mit einem nicht existierenden User anmelden und Mails verschicken?

Und die wichtigste Frage: Wie kann ich das ganze verhindern?

Ich hoffe es hat jemand eine Idee - ich habe keine mehr....


Mfg

Stefan Schuster

 

[Thorsten]

Hallo!
Bist du wirklich sicher, dass es den Benutzer nicht gibt?
Hast du schon mal einen Relay-Test machen lassen (http://www.abuse.net/relay.html)?
Erstmaßnahme /etc/hosts.deny (Sofern es immer die selbe IP Adresse ist).

mfG
Thorsten

 

[ISSchuster]

Hallo Thorsten,

hier das Ergebnis des Relay-Tests:

Relay test result
All tests performed, no relays accepted.

Den User gibt es definitiv nicht (bei sasldblistusers2 müsste er ihn ja auflisten, oder?)

Die IP habe ich bereits gesperrt - nur dummerweise wechselt er die IP immer wieder. (Mal aus Argentinien, mal aus Brasilien, usw.)

Mfg

Stefan Schuster

PS: Gerade fängt er wieder mit der nächsten IP an... Habe ich auch gerade wieder geblockt...

 

[ISSchuster]

Problem gelöst....

Es gibt anscheinend eine gravierende Sicherheitslücke in postfix 2.0.19.

Seit dem Update auf postfix 2.1.5 ist das Problem gelöst (zumindest ist das Problem seit dem Update nicht mehr aufgetreten).

Mfg

Stefan Schuster

 

[Thorsten]

Hallo!
@Stefan:
Hast du diesen Server selbst installiert oder ist ein Mietserver?
Im Falle von Mietserver wäre der Anbieter von Interesse.

mfG
Thorsten

 

[ISSchuster]

Hallo Thorsten,

den Server habe ich komplett selbst installiert.

Der Fehler dürfte aber jeden betreffen, der SuSE 9.1 mit postfix und sasl2 nutzt.
Von SuSE ist übrigens bisher anscheinend noch keine neuere Version für 9.1 per yast Online-Update verfügbar.

Ich habe also postfix 2.1.5 per Hand neu kompiliert - und schon war der Server "dicht".

(Der absolute Hit an diesem Fehler war, dass der Spammer - laut Logfile - auch Mails verschickt hat, nachdem ich den saslauthd gestoppt hatte... Im Logfile stand - obwohl der saslauthd gar nicht verfügbar war - dass er sich immer noch per sasl mit dem user "webmaster" authentifiert hat... Einfach unglaublich...)

Mfg

Stefan Schuster

 

[society]

Ich sag ja Postfix 2.1.5 gibts als RPM für Suse 9.0 auf dem Mirror. Also Interessant für die Strato Leute

http://mirror.serversupportforum.de/rpms/Suse 9.0 Various/