qmail als Spammer mißbraucht

[Adam22]

Hallo,
über Google bin ich hier her gekommen. Ich hoffe, Ihr könnt mir weiterhelfen:

Ich habe schon viel hier im Forum gesucht, aber leider keine wirkliche Antwort erhalten.

Ich habe eine qmail-Installation gemäß qmailrocks.org, mit SMTP_AUTH und Curier-IMAP.
Seit gestern habe ich ein Problem, dass mein Server scheinbar als Spamschleuder dient.

Open-Relay kann ich außschließen, das habe ich bereits gecheckt. Apache ist auf
der Maschine auch nicht drauf, so dass es kein Mißbrauchtes Mailformular oder ähnliches ist. Auf der Maschine ist wirklich nur qmail + MySQL drauf.

Die Bounce und DoubleBounce Mails häufen sich mittlerweile.

Selbstverständlich habe ich den qmail erstmal gestoppt,aber ich will das Problem lösen
ohne die Kiste neu zu installieren falls es geht.

Was braucht ihr für Infos, damit ihr mir weiterhelfen könnt?

 

[Bierteufel]

Lass bitte nochmal den

Mail relay testing

drüber laufen und poste Dein Ergebniss !

 

[Adam22]

Hier die Ausgabe:

Relay test 1
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@abuse.net>
<<< 250 ok
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 2
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest>
<<< 250 ok
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 3
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<>
<<< 250 ok
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 4
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@MEINEDOMAIN.com>
<<< 250 ok
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 5
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@[1.2.3.4]>
<<< 250 ok
>>> RCPT TO:<securitytest@abuse.net>
<<< 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Relay test 6
>>> RSET
<<< 250 flushed
>>> MAIL FROM:<spamtest@MEINEDOMAIN.com>
<<< 250 ok
>>> RCPT TO:<securitytest%abuse.net@MEINEDOMAIN.com>
<<< 250 ok
Relay test result

 

[Bierteufel]

Sind das nicht aber 17 Test - wo dann am Ende stehen sollte:

Relay test result
All tests performed, no relays accepted.

 

[Adam22]

Sind das nicht aber 17 Test - wo dann am Ende stehen sollte:

Der hat nur die 6 Tests gemacht, unten drunter stand noch:

Relay test result
Hmmn, at first glance, host appeared to accept a message for relay.

THIS MAY OR MAY NOT MEAN THAT IT'S AN OPEN RELAY.

Some systems appear to accept relay mail, but then reject messages internally rather than delivering them, but you cannot tell at this point whether the message will be relayed or not.

If it is really an open relay, the test message will be delivered to you. If you do not receive the test message in your e-mail in the next few hours, it IS NOT an open relay.

 

[Adam22]

Hallo,

ich habe den tcpserver einmal auf -p gesetzt und mir die
/var/log/qmail/qmail-send/current angeschaut, dort passiert jetzt weniger aber
immernoch finde ich soetwas:

@4000000047f514092e3746a4 info msg 162081: bytes 2578 from [COLOR="Red"]<>[/COLOR] qp 22688 uid 1006
@4000000047f514092e880a6c starting delivery 12: msg 162081 to remote ewar-l-digest@sub.sonic.net
@4000000047f514092e88cdbc status: local 0/10 remote 1/30

Gehe ich richtig in der Annahme, dass das eine der Spammails ist ?
Wie kann ich herausfinden, woher diese komme?

 

[LinuxAdmin]

Dein Server erzeugt Bounce-Mails für Mails, die nicht zustellbar sind. Diese Konfiguration ist falsch! Mails die einmal angenommen wurden, müssen zugestellt werden.
Wenn es einen Benutzer nicht gibt, oder die Mail einen zu hohen SPAM-Score erhalten sollte, etc...., muss sie abgelehnt werden bevor der MTA eine 2xx-Meldung auf das Ende des DATA-Blocks liefert. Die meisten vernünftigen MTAs haben dieses Verhalten fest verdrahtet eingebaut, bei qmail muss man es leider erst konfigurieren (>>90% des Back-Scatters, der bei meinen Mailservern ankommt wurde durch qmail-Server verarbeitet....).

 

[Adam22]

Die meisten vernünftigen MTAs haben dieses Verhalten fest verdrahtet eingebaut, bei qmail muss man es leider erst konfigurieren

Ok, und wie? Ich finde dazu nichts ?

 

[Thunderbyte]

Ok, und wie? Ich finde dazu nichts ?

Gähn: qmail bounce - Google-Suche

führt unter anderem zu unserem Freund Huschi:
Plesk/Qmail: Bounce-Mails unterbinden - huschi.net

 

[Adam22]

Hallo,

wie schon gesagt, bin ich Neuling und wollte qmail mal testen. Tut mir leid,
dass ich manche Dinge noch nicht so verstehe.

Dein Server erzeugt Bounce-Mails für Mails, die nicht zustellbar sind. Diese Konfiguration ist falsch! Mails die einmal angenommen wurden, müssen zugestellt werden.

Mein Server erstellt MAILER-DAEMON Emails, wenn es keinen Mail-Benutzer gibt bzw. kein .qmail-File für Weiterleitungen oder sonstiges. Das ist doch soweit noch normal, oder?

Wann entstehen denn genau Bounce-Mails? Wann dürfen diese entstehen, und wann nicht?

Gähn: qmail bounce - Google-Suche

führt unter anderem zu unserem Freund Huschi:
Plesk/Qmail: Bounce-Mails unterbinden - huschi.net

Ich setze kein Plesk, Confixx oder ähnliches ein. Ich habe qmail gemäß qmailrocks.org
eingerichtet.
Die bei Huschi genannte Funktion kann ich also nicht nutzen.

In meinem .qmail-default der jeweiligen Domain steht:

| /home/vpopmail/bin/vdelivermail '' bounce-no-mailbox

Ist das schon falsch?

 

[LinuxAdmin]

Mein Server erstellt MAILER-DAEMON Emails, wenn es keinen Mail-Benutzer gibt bzw. kein .qmail-File für Weiterleitungen oder sonstiges. Das ist doch soweit noch normal, oder?

Leider nicht. Wenn Dein MTA nichts mit der Mail anfangen kann, muss er das dem einliefernden MTA durch einen Fehlercode 5xx mitteilen -- dazu gibt es im SMTP mehrere Möglichkeiten. Die erste wäre direkt nach dem RCPT TO:-Befehl, wenn es den Benutzer nicht gibt (was ich so gelesen habe, sagt qmail da aber trotzdem 2xx, alles OK). Die zweite Möglichkeit ist einen 5xx-Code zu liefern, nachdem der einliefernde MTA den DATA-Block mit der Mail abgeliefert hat. In beiden Fällen erkennt der einliefernde MTA, dass etwas schief gelaufen ist und dann ist es seine Aufgabe, den Benutzer zu benachrichtigen -- aber in keinem Fall die Aufgabe Deines MTAs.

Ich setze kein Plesk, Confixx oder ähnliches ein. Ich habe qmail gemäß qmailrocks.org
eingerichtet.
Die bei Huschi genannte Funktion kann ich also nicht nutzen.

Leider kann ich Dir auch nicht sagen, wie das genau geht, da ich nur den Plesk-Tipp von Huschi kenne; die Ergebnisse der Google-Suche lassen erahnen, dass einige Patches notwendig sind... Vermutlich hat Swsoft/Parallels diverse Patches in ihre Version von qmail eingebaut.
Wenn Du kein Plesk einsetzt, stellt sich natürlich die Frage, warum Du überhaupt qmail einsetzt. Es gibt zwar Seiten wie qmailrocks, aber es gibt noch mehr Seiten, die klar machen, dass qmail überhaupt nicht rockt, sondern einige Probleme hat. Eines davon hast Du bereits kennen gelernt.
Ein alternativer MTA der (ebenso wie qmail) mit einem besonderen Blick auf Sicherheit entwickelt wurde, ist Postfix. Du solltest Dir überlegen, ob Du nicht wechseln willst.