QMAIL Problem | Server spamt

[Sven67]

Guten Abend und Hallo in die Runde,

Nachdem ich nun seit ewiger Zeit suche und suche und keine brauchbare Lösung finden konnte, frag ich jetzt einfach mal bei den Profi´s nach.

Vor 2 Tagen stellte ich fest, dass die Performance meines ROOT - Server´s spürbar in die Knie ging.
Also mal die Prozesse auflisten lassen und da war es schon zu sehen.....etliche qmail-smtp Prozesse und in der qmail-queue knapp 100000 Mails......

Also qmail gestoppt, mit qmHandle aufgeräumt und losgelegt mit der Suche.
Allerdings hab ich trotz allem bis jetzt noch nichts finden können außer einer uralten Joomla Installation eines User´s, die ich gelöscht habe und 2 Mailaccount´s, die missbraucht worden sind.
Diese Probleme behoben und qmail gestartet und innerhalb von 10 Minuten waren wieder 50 000 Mails in der queue.

Kann mir hier vielleicht jemand einen Lösungsansatz geben wie ich herausbekomme, woher diese Mals kommen ?
Ich weiß, das es ein php oder cgi Script sein kann, aber wie bekomme ich heraus, in welchem Account dieses herumspukt ? Ich kann doch nicht jeden einzelnen Account und damit jede einzelne Datei auf dem Server prüfen.

Über einen Tipp wäre ich sehr dankbar.

Sven

 

[mr_brain]

Alte Qmail-Versionen sind sehr anfällig für Backscatter. Schon mal darauf überprüft?

 

[Bierteufel]

Werden die Mails via SMTP (also EInlieferung durch "Mailclient") versendet oder via sendmail/PHP Mail. Im letzten Fall solltest Du das entsprechende Script ausfindig machen.

 

[Sven67]

Also ich halte den Server schon aktuell, Debian 6.0,7 läuft drauf, ebenso hab ich erst vor kurzem ein komplettes Update gefahren.Von älterem QMAIL kann eigentlich nicht die Rede sein.

Ich hab mir gestern auch schon huschis sendmail-wrapper installiert, allerdings bringt mir das keinerlei Hilfe, da die LOG leer bleibt.

Geh ich richtig in der Annahme, das ich doch auf die Suche nach einem PHP Script gehen muss ?
Oder gibt es noch andere Möglichkeiten, sowas zu finden - auf dem Server liegen knapp 80 Foren....

 

[s24!]

Ich hab mir gestern auch schon huschis sendmail-wrapper installiert, allerdings bringt mir das keinerlei Hilfe, da die LOG leer bleibt.

Dann solltest du zunächst mal prüfen, ob das Logfile leer bleibt, weil der Wrapper nicht funktioniert oder weil er nicht benutzt wird.

 

[Bierteufel]

Das ginge evtl. auch noch:

1. Apache stoppen
2. QMAIL QUEUE leeren
3. Apache starten (Uhrzeit in etwa merken)
4. Dann beobachten ob wieder Spam versendet wird,
5. Die access_log nach dem String Uhrzeit + POST durchsuchen lassen

 

[Sven67]

@s24!
Der Wrapper wird nicht benutzt - daher bleibt das Logfile leer.
Mails werden aber trotzdem versandt - die queue ist innerhalb weniger Minuten wieder mit mehreren Tausend Mails gefüllt.

@Bierteufel - Das werd ich dann gleich mal testen, Danke für den Tipp.

Kann mir vielleicht noch jemand sagen, wie die Konfiguration von qmail aussehen muss, um kein Open Relay zu erzeugen. Langsam glaub ich dran, das dies mein Problem ist.

 

[trik]

Kann mir vielleicht noch jemand sagen, wie die Konfiguration von qmail aussehen muss, um kein Open Relay zu erzeugen. Langsam glaub ich dran, das dies mein Problem ist.

Zu QMAIL kann ich nichts sagen, aber mit http://www.mailradar.com/openrelay/ kannst du testen, ob es eins ist. Falls es eins sein sollte, stoppe QMAIL und ändere dies.

 

[Sven67]

QMAIL ist schon seit 2 Tagen gestoppt, ich will ja ned "gelistet" werden.

 

[Mr.Check]

QMAIL ist schon seit 2 Tagen gestoppt, ich will ja ned "gelistet" werden.

wenn qmail gestoppt ist, wie füllt sich dann die queue...?

 

[Sven67]

wenn qmail gestoppt ist, wie füllt sich dann die queue...?

Ich suche ja nach Lösungen, und zu Testzwecken starte ich qmail-smtpd auch mal kurz.
Stelle ich jedoch fest, dass das Problem noch besteht, wird natürlich wieder gestoppt.

 

[Sven67]

Zu QMAIL kann ich nichts sagen, aber mit http://www.mailradar.com/openrelay/ kannst du testen, ob es eins ist. Falls es eins sein sollte, stoppe QMAIL und ändere dies.

Okay, ich habe den Test durchlaufen lassen und bekam leider 7 Mal "[TEST NOT PASSED]".

Also Open Relay.
Da ich kein gelernter Informatiker bin und auch keine Informationen dazu finden konnte, kann mir hier jemand behilflich sein ? Wie behebe ich dies ?

 

[Mr.Check]

Okay, ich habe den Test durchlaufen lassen und bekam leider 7 Mal "[TEST NOT PASSED]".

Also Open Relay.
Da ich kein gelernter Informatiker bin und auch keine Informationen dazu finden konnte, kann mir hier jemand behilflich sein ? Wie behebe ich dies ?

Ne das muss noch nichts heißen. Das bekomme ich bei solchen Tests auch hin und wieder, einfach weil die Fehlermeldung, die der getestete Server auswirft, dem Testsystem nicht reicht, um den Test als "PASSED" zu markieren.

Poste mal bitte die (anonymisierten) Ausgaben der Tests, bei denen das Testsystem der Meinung ist, dass was nicht in Ordnung ist.

 

[Sven67]

[Method 5]
 <<< 220 meinserver.anbieter.de ESMTP
 >>> HELO mailradar.com
 <<< 250 meinserver.anbieter.de 
 >>> MAIL FROM: <antispam@[mei.ne.i.p]>
 <<< 250 ok
 >>> RCPT TO: <relaytest%mailradar.com@[mei.ne.i.p]>
 <<< 250 ok
 >>> QUIT
 <<< 221 meinserver.anbieter.de 
 [TEST NOT PASSED]

+++++++++++++++++++++++++++++++++++++
[Method 8]
 <<< 220 meinserver.meinanbieter.de ESMTP
 >>> HELO mailradar.com
 <<< 250 meinserver.meinanbieter.de
 >>> MAIL FROM: <antispam@[mei.ne.i.p]>
 <<< 250 ok
 >>> RCPT TO: <"relaytest%mailradar.com">
 <<< 250 ok
 >>> QUIT
 <<< 221 meinserver.meinanbieter.de
 [TEST NOT PASSED]

++++++++++++++++++++++++++++++++++++++++++++++

[Method 9]
 <<< 220 server.anbieter.de ESMTP
 >>> HELO mailradar.com
 <<< 250 server.anbieter.de
 >>> MAIL FROM: <antispam@[me.in.e.ip]>
 <<< 250 ok
 >>> RCPT TO: <relaytest@mailradar.com@[me.in.e.ip]>
 <<< 250 ok
 >>> QUIT
 <<< 221 server.anbieter.de
 [TEST NOT PASSED]

Die sehen alle 7 so aus.

Und in der kurzen Zeit des Test´s hat der qmail-smtpd wieder etliche Mails versandt. Ich werd langsam irre.

 

[Mr.Check]

Hast du irgendein ControlPanel auf deinem Server?

 

[Sven67]

Ja, ich nutze seit ewiger Zeit pdadmin - erst im März das letzte Update gefahren.

Der Server läuft nun schon seit 6 Jahren - aber sowas hatte ich bisher noch nicht.

 

[Mr.Check]

Ja, ich nutze seit ewiger Zeit pdadmin - erst im März das letzte Update gefahren.

Der Server läuft nun schon seit 6 Jahren - aber sowas hatte ich bisher noch nicht.

Schau mal bitte, ob es bei dir die folgende Datei gibt:

/var/qmail/control/rcpthosts

Diese Datei müsste auf deinem Server existieren und die Domains beinhalten, für die dein Server Mails ohne Authentifizierung entgegennimmt, also deine lokal eingerichteten Domains.

 

[Sven67]

Ja, die Datei ist vorhanden und es stehen auch alle Domains drin.

 

[s24!]

@s24!
Der Wrapper wird nicht benutzt - daher bleibt das Logfile leer.

Dann solltest du ihn benutzen. =)

Da ich kein gelernter Informatiker bin

Die können nicht zwangsläufig gut mit Servern.

Ja, die Datei ist vorhanden und es stehen auch alle Domains drin.

Wird sie in der Haupt-Config auch eingebunden? Bei Postfix ist das notwendig.

 

[Mr.Check]

Ich habe vom TE noch ein paar detaillierte Infos per PM bekommen und der Server macht schonmal kein offenes Relay. Er nimmt zwar Mails an User%example.com entgegen aber nicht an User@example.com. Das ist zwar nicht schön, dürfte aber nicht ursächlich für das aktuelle Problem sein.

Nach dem, was ich bisher so gesehen habe, scheinen die Spammails über ein lokales Script eingeschleust zu werden.