Postfix Server sendet Spam

[roman06]

Hallo,
habe ein massives Problem mit postfix. Über einen Debian 5.0 Server werden sporadisch, noch nicht massiv, Spammails versendet. Ich soll mich darum kümmern, da der Betreiber natürlich keine Ahnung hat. Ich kenne aber leider postfix auch nicht so toll. Und ich WEISS, dass das Sch... ist!!! (Alle Flames sind willkommen, aber ich suche wirklich nach einer Lösung, die nicht kill postfix heisst)

Habe versucht, alles "von aussen" zu unterbinden, postfix läuft zusammen mit policyd-weight, postfwd und postgrey. Die Anfragen von aussen werden auch schön gedroppt. Allerdings gibt es ein Problem mit localhost und ich habe keine Ahnung wie ich das lösen kann.

Auszug aus der mail.log:

Jun 21 19:17:12 xps postfix/smtpd[4195]: connect from xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/smtpd[4195]: 26B5A3E07E: client=xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/cleanup[4321]: 26B5A3E07E: message-id=<8FSFnC-7HSTBD-40@standok.xps.server.de>
Jun 21 19:17:13 xps postfix/qmgr[24704]: 26B5A3E07E: from=<ralphgareyi@geoparent.com>, size=786, nrcpt=1 (queue active)
Jun 21 19:17:13 xps postfix/smtpd[4195]: disconnect from xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/smtp[4323]: 26B5A3E07E: to=<contact@breedinginsulation.com>, relay=none, delay=0.45, delays=0.34/0/0.1/0, dsn=5.4.6, status=bounced (mail for breedinginsulation.com loops back to myself)
Jun 21 19:17:13 xps postfix/cleanup[4321]: 483573E083: message-id=<20110621171713.483573E083@xps.server.de>
Jun 21 19:17:13 xps postfix/bounce[4329]: 26B5A3E07E: sender non-delivery notification: 483573E083
Jun 21 19:17:13 xps postfix/qmgr[24704]: 483573E083: from=<>, size=2686, nrcpt=1 (queue active)
Jun 21 19:17:13 xps postfix/qmgr[24704]: 26B5A3E07E: removed

keine der Adressen liegt in der domain des Servers und der bounce produziert natürlich eine Spammail. Ich habe diese Mail noch in der queue, es ist definitiv Spam. Habt ihr irgendeinen Tipp wie ich rausfinden kann, wer oder was sich da verbindet. Auf dem Server läuft Apache mit mehreren Joomla Websites.
Die Sicherheitslücke in Joomla wie unter http://www.exploit-db.com/exploits/15979/ beschrieben habe ich schon gecheckt, ist "latürnich" offen wie ein Scheunentor. Aber der Spam sieht halt dann anders aus und wenn ich das teste kommt auch kein "connect from localhost" im log. Würde das eventuell anders aussehen, wenn ein Bot das ausnutzt? Das Thema "Backscatter" habe ich mir auch schon angesehen aber ich finde keine Lösung.

Bin für alle Tipps und Anregungen dankbar!

 

[Ben.]

Finde heraus von wo der Spam kommt. xps.server.local (127.0.0.1) ist dein Server.

Daher: Kommt er per Joomla (wie du vermutest), dann musst du diese Lücke schliessen. Kannst du das nicht, musst du Postfix abschalten und warten bis ein entsprechendes Update bereitgestellt wurde.

Ansonsten kannst du mal auf http://huschi.net/10_222_de.html?highlight=wrapper durchlesen was du tun kannst um die Ursache einzugrenzen.

 

[roman06]

Könnte eine komplette Spammail helfen

Habe den sendmail-wrapper installiert. Momentan "nix böses" in der log. Könnte irgendein Postfix Profi mit einer kompletten Mail was anfangen? Ich habe noch 4 Stück in der queue, die Gegenstellen "refusen" mittlerweile, wahrscheinlich weil der Server mittlerweile auf mindestens 2 BL gelandet ist (sorbs und barracuda). Ich bin leider kein postfix chef

 

[wstuermer]

Crosspost: http://www.unixboard.de/vb3/showthread.php?48132-postfix-spam-problem

 

[s24!]

Darf ich hier mal kurz fragen, warum Crossposts so tierisch unerwünscht sind?

Grüße

 

[Roger Wilco]

Multiposting - Was ist das und warum mag die keiner?

 

[roman06]

Cross/Multiposting

Hallo,
die Problematik habe ich verstanden, aber soll ich wirklich in einem komplett anderen Forum mit einem "Link" auf ein anderes Forum posten? Wenn nur ein User das andere Forum nicht kennt, oder sich dort nicht registrieren mag, oder oder oder... und mir helfen kann, ist für "mich" mein Problem, das ja besteht, sonst hätte ich nirgends(!) gepostet, gelöst. Tschuldigung da bin ein böser Egoist. Ferner wäre auch noch zu beachten, dass eventuell ein anderer User mit demselben Problem eventuell auch das ein oder andere Forum nicht kennt oder es gerade bei "seiner ach so dummen google Anfrage" an Stelle 131313 gelistet wird. Dass man natürlich die jeweils anderen Foren benachrichtigt, ist schon klar. Und 1. ich benutze in allen Foren "bewusst" denselben Nick. 2. In dem Thread sind zwei Posts (jetzt 3) von mir, eine hilfreiche Antwort von Ben und der Rest die "Crosspost Diskussion", speckt das die Foren wirklich ab?
LG,
Roman.

 

[Roger Wilco]

aber soll ich wirklich in einem komplett anderen Forum mit einem "Link" auf ein anderes Forum posten?

Ja, sofern der Inhalt des verlinkten Beitrags zugänglich ist. Einen Link in einem öffentlichen Forum auf eine geschlossene Community zu setzen, welche den Beitrag erst nach einer Regsitrierung anzeigt, ist natürlich sinnlos. Da zählt dann der hoffentlich vorhandene gesunde Menschenverstand.

Wenn nur ein User das andere Forum nicht kennt, oder sich dort nicht registrieren mag, oder oder oder... und mir helfen kann, ist für "mich" mein Problem, das ja besteht, sonst hätte ich nirgends(!) gepostet, gelöst.

Im Gegenzug verprellst du die "Poweruser". Ich bin in mehreren Foren/Mailinglisten/Newsgroups unterwegs. Warum sollte ich mir die Mühe machen auch nur einen einzigen Gedanken an dein Problem zu verschwenden, wenn du zu faul oder zu ignorant bist, eine simple URL an deinen Beitrag zu hängen?

Ferner wäre auch noch zu beachten, dass eventuell ein anderer User mit demselben Problem eventuell auch das ein oder andere Forum nicht kennt oder es gerade bei "seiner ach so dummen google Anfrage" an Stelle 131313 gelistet wird.

Ja, aber warum postest du dann nur in zwei verschiedenen Foren? Es gibt doch noch so viele andere, die sich mit einem ähnlichen Themenkomplex beschäftigen. Willst du deren Benutzer nicht auch noch "beglücken"?

Davon abgesehen ist mir deine Argumentation gegen das Setzen eines entsprechenden Links nicht so ganz klar. Warum bist du nochmal dagegen?

Dass man natürlich die jeweils anderen Foren benachrichtigt, ist schon klar.

Dir ja scheinbar nicht. Im Unixboard gibt es bis heute noch keinen entsprechenden Hinweis von dir.

In dem Thread sind zwei Posts (jetzt 3) von mir, eine hilfreiche Antwort von Ben und der Rest die "Crosspost Diskussion", speckt das die Foren wirklich ab?

Wenn man das jedem Benutzer vorkauen muss natürlich nicht, aber das ist ja nur ein einer kleinen Anzahl von Fällen notwendig. Davon abgesehen werden die Moderatoren die betreffenden Beiträge sicherlich gleich abtrennen und in einen eigenen Thread verschieben.

 

[roman06]

Bitte diesen Thread schließen/löschen

Diese Diskussion wollte ich nicht. Danke an alle, die sich damit beschäftigt haben.

 

[Huschi]

<Moderation>
Die Diskussion ist vom Thread-Ersteller aufgenommen worden und ist deshalb On-Topic.
Es wird also nichts abgetrennt.
</Moderation>

ein anderer User mit demselben Problem

Und stößt bei Google auf viele Threads ohne Lösung. Denn das Forum, welches das Problem gelöst hat, ist rein Zufällig erst auf Seite 3 bei Google zu finden.
Eine Querverlinkung der Threads wäre gerade in diesem Fall sehr Hilfreich für alle anderen User mit dem selben Problem.

Tschuldigung da bin ein böser Egoist.

Und genau deshalb sind Cross- und Multiposter so verpöhnt. Weil bereits das Handeln allein für einen Egomanen (Ich-Bezogen, Selbstzentriertheit) spricht. Und damit im vollen Gegensatz zum Community-Gedanken steht.

huschi.