Qmail queue Überlastet (Spam,Bounces?)

cyp

New Member
Hallo,

Ich habe seid einiger Zeit massive Probleme mit meinem VServer. Angefangen hat es mit vielen Bounce Nachrichten die auf meiner Systememail angekommen sind.
Nach einiger Zeit konnte ich plötzlich keine Emails mehr versenden. Nach einiger Recherge habe ich gesehen, dass meine Queue voll mit tausenden Mails ist die nicht versendet werden können. Scripte die die Queue leeren haben das Problem sofort beseitigt. Leider ist die Queue ab 24 Uhr wieder voll.

Im nächsten Schritt habe ich die Qmail Control Dateien angepasst.In den Dateien Bounceto und Doublebounceto habe eine Emailangegeben ohne Postfach so, dass die Nachrichten verworfen werden.

Dies hat super geklappt und ich bekomme keine Hinweise mehr, dass die Nachrichten nicht zugestellt werden können.

Leider musste ich heute feststellen, dass meine Queue wieder voll war und im Maillog massig Einträge waren.

Ich benutze Debian / Plesk / Qmail
Mailrelay habe ich getestet und es ist geschlossen

Wo kommen die Mails her? Versendet mein Server sie? Verstehe leider nicht ganz wo das Problem liegt :/

Wenn es nur Bounces sind könnte dieser Patch helfen?
http://www.qmail.org/doublebounce-trim.patch

Danke schonmal

Maillogauszug:
Code:
Jul  9 00:06:39 lvps92-**-***-*** qmail-queue-handlers[13700]: from=
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: hook_dir = '/var/qmail//handlers/before-queue'
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: recipient[3] = '[email protected]'
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13700]: starter: submitter[13701] exited normally
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.557416 bounce msg 112211784 qp 13700
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.557557 end msg 112211784
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.559707 delivery 14300: failure: 212.55.154.36_does_not_like_recipient./Remote_host_said:_550-The_account_does_not_exist/550_A_conta_do_destinatario_nao_ex$
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.559840 status: local 0/10 remote 18/20
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: Handlers Filter before-queue for qmail started ...
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13705]: Handlers Filter before-remote for qmail started ...
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13705]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13705]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: from=
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: hook_dir = '/var/qmail//handlers/before-queue'
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: recipient[3] = '[email protected]'
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Jul  9 00:06:40 lvps92-**-***-*** qmail-queue-handlers[13704]: starter: submitter[13707] exited normally
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.639462 bounce msg 112211780 qp 13704
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.639593 end msg 112211780
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.640768 starting delivery 14305: msg 112211800 to remote [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.640916 status: local 0/10 remote 19/20
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13709]: Handlers Filter before-remote for qmail started ...
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.655282 starting delivery 14306: msg 112211804 to remote [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13710]: Handlers Filter before-remote for qmail started ...
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.662207 status: local 0/10 remote 20/20
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13709]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13710]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.676546 new msg 112205856
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13710]: [email protected]
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.689914 info msg 112205856: bytes 2262 from <> qp 13701 uid 2522
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.694949 new msg 112205858
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.698361 info msg 112205858: bytes 2293 from <> qp 13707 uid 2522
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.698466 new msg 112205820
Jul  9 00:06:40 lvps92-**-***-*** qmail: 1247090800.698593 info msg 112205820: bytes 2256 from <> qp 13697 uid 2522
Jul  9 00:06:40 lvps92-**-***-*** qmail-remote-handlers[13709]: [email protected]
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.419089 delivery 14303: failure: 67.19.138.211_does_not_like_recipient./Remote_host_said:_550_sorry,_no_mailbox_here_by_that_name._(#5.7.17)/Giving_up_on_6$
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.419656 status: local 0/10 remote 19/20
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: Handlers Filter before-queue for qmail started ...
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: from=
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: [email protected]
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: hook_dir = '/var/qmail//handlers/before-queue'
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: recipient[3] = '[email protected]'
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: handlers dir = '/var/qmail//handlers/before-queue/recipient/[email protected]'
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13727]: starter: submitter[13728] exited normally
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.445703 bounce msg 112211792 qp 13727
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.445872 end msg 112211792
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.446157 delivery 14302: failure: 67.19.138.211_does_not_like_recipient./Remote_host_said:_550_sorry,_no_mailbox_here_by_that_name._(#5.7.17)/Giving_up_on_6$
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.446911 status: local 0/10 remote 18/20
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.447213 starting delivery 14307: msg 112211806 to remote [email protected]
Jul  9 00:06:41 lvps92-**-***-*** qmail: 1247090801.447322 status: local 0/10 remote 19/20
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13730]: Handlers Filter before-queue for qmail started ...
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13730]: from=
Jul  9 00:06:41 lvps92-**-***-*** qmail-queue-handlers[13730]: [email protected]

Doublebounce Systemnachricht:
Code:
Hi. This is the qmail-send program at ******.dedicated.hosteurope.de. 
I tried to deliver a bounce message to this address, but the bounce bounced! 
 
<[email protected]>: 
200.221.29.128 does not like recipient. 
Remote host said: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in relay recipient table Giving up on 200.221.29.128. 
 
--- Below this line is the original bounce. 
 
Return-Path: <> 
Received: (qmail 3564 invoked by uid 33); 29 Jun 2009 17:48:39 +0200 
Date: 29 Jun 2009 17:48:39 +0200 
Message-ID: <20090629154839.3559.qmail@****.dedicated.hosteurope.de> 
To: [email protected] 
Subject: Procedimento de Segurança 
MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 From: Banco Bradesco <[email protected]> 
Reply-To: <[email protected]> 
 
 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> </

Nachricht aus der Queue (Verstehe nicht was die mit mir zutun hat):
Code:
Received: (qmail 13495 invoked by uid 33); 8 Jul 2009 21:27:12 +0200
Date: 8 Jul 2009 21:27:12 +0200
Message-ID: <20090708192712.13493.qmail@lvps92-**-***-***.dedicated.hosteurope.de>
To: [email protected]
Subject: Comprovante de Deposito
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Deposito <[email protected]>


<!DOCTYPE html PUBLIC \"-//W3C//DTD XHTML 1.0 Transitional//EN\" \"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd\">
<html xmlns=\"http://www.w3.org/1999/xhtml\">
<head>
<meta http-equiv=\"Content-Type\" content=\"text/html; charset=iso-8859-1\" />
<title>Deposito</title>
</head>
 
Last edited by a moderator:
Nachricht aus der Queue (Verstehe nicht was die mit mir zutun hat):
Received: (qmail 13495 invoked by uid 33); 8 Jul 2009 21:27:12 +0200

Wer hat bei Dir UID 33? Der Webserver?

Darf (soll) der diese Mail schicken?

Was ist sonst zu diesem Zeitstempel geloggt? Web-Zugriffe/CGIs?
 
Also UID 33 ist der www-data user. Ich nehme mal stark an, dass das also Apache ist.

Der Webserver darf Emails versenden weil bei Plesk Horde dabei ist (Also eher PHP was versendet).
Auf dem Server laufen ca. 5 Domains wobei in keinem der Logs auffällige Einträge sind. Lediglich Suchmaschinen greifen da nachts zu.

Und auch nur im Abstand von 5 Minuten. Aber das Maillog hat ja Sekundenweise Einträge. Ich hoffe, dass es keine Sicherheitslücke in Horde oder so ist :/

was kann ich nun noch tun? Gibt es noch mehr Logs außer die seperaten Logs der Vhosts?

Die Mails aus dem Log oben darf der Mailserver nicht versenden wenn du das meinst? Also es sind keine regulären Mails von mir. Das Logfile ist auch noch voll mit vielen weiteren solcher Einträge
 
Last edited by a moderator:
Als erste Lektüre:
Über meinen Server werden Spam's verschickt!

Es ist wahrscheinlicher, dass Du ein unsicheres Script in Deinem/irgendeinem Web hast. Darüber wird entweder direkt verschickt oder es wurde ein (PHP-)Script eingeschleust, welches nun munter die Spams raus haut.

Erste Schritte:
1. Schalte den Qmail ab!!!
Nicht nur, damit die Spammerei aufhört, sondern auch um die Reputation Deines Servers zu retten.
Danach lösche die Mailqueue.

2. Finde raus, wann es begonnen hat. (Siehe maillog)

3. Suche das fehlerhafte Script! Suche in allen access_log's nach seltsamen Einträgen. Meistens sind es POST-Requests oder GET mit angehängter URL.

4. Ein Restore aus eine Backup elementiert das Problem evtl. vorübergehend. Holt aber die Lücke in das System zurück. Einer hat die Lücke bereits ausgenutzt. Wie lange wird es dauern, bis ein Neuer kommt? Oder der Eine nochmal vorbei schaut?

5. Solltest Du damit nicht klar kommen, miete Dir ein Webspace und kündige den Server!


huschi.
 
danke, ich hoffe der spam bleibt weg :D mitlerweile bin ich 4 tage spamlos. Ich habe ein paar mail(... Aufrufe in einer PHP-Bildergalerie gefunden die ich benutzt habe.

Aus Verdacht habe ich die einfach mal gelöscht und nun ist der Spam weg...
 
Back
Top