Qmail Server verteilt Spam

[c-we]

Moin,

ich habe seit dem WE das Problem, dass mein Strato Server Spam verteilt hat. Mittlerweile konnte ich das versenden stopppen. Nichts desto trotz kommen haufenweise Mails rein.

Ein Fehler in einem Webskript kann ich ausschliessen. Denn auch ohne laufenden Apache kommen Mails rein. Und ja, die Queue habe ich geleert.

Open Relaying kann ich eigentlich auch ausschliessen. Alle Tests die ich gemacht habe, sind fehlgeschlagen.
Die rcpthost ist entsprechend meinem System konfiguriert und die tcp.smtp enthält:

127.0.0.1:allow,RELAYCLIENT="" 
:allow,QMAILQUEUE="/var/qmail/bin/qmail-scanner-queue.pl"

Ein Kumpel hat die Vermutung das irgend wie ein Auth des SMTP geknackt wurde. Allerdings hat er und ich zu wenig Erfahrung mit QMail.
Ich habe alle Popaccounts vorsichtshalber mit neuen Passwörtern versehen.

Meine Frage: Wie kann ich Qmail dazu bringen gescheit zu loggen?
Z.B. mir auszuspucken mit welcher Authentifizeirung die Mails verschickt werden? Um so einen Anhaltspunkt zu bekommen.
Oder was kann ich sonst tun um dem Problem Herr zu werden?

Eine Typische Mailanfrage sieht so aus:

Nov  6 12:59:47 h5xxx qmail: 1162814387.728681 info msg 8521644: bytes 4471 from <mphxiow@HOST.de> qp 3205 uid 64020 
Nov  6 12:59:47 h5xxx qmail: 1162814387.739058 starting delivery 43071: msg 8521644 to remote yellowmm8@PROVIDER.com 
Nov  6 12:59:47 h5xxx qmail: 1162814387.739390 status: local 1/10 remote 1/20 
Nov  6 12:59:47 h5xxx qmail: 1162814387.739904 delivery 43070: success: did_0+0+1/ 
Nov  6 12:59:47 h5xxx qmail: 1162814387.740342 status: local 0/10 remote 1/20 
Nov  6 12:59:47 h5xxx qmail: 1162814387.740647 end msg 8521630

System:
Debian 3.1
QMail 1.03-39
vpopmail-bin 5.4.4-1


Vielen Dank für jeden Tipp!

 

[Huschi]

Da steht es doch:

qmail: 1162814387.728681 info msg 8521644: bytes 4471 from <mphxiow@HOST.de> qp 3205 uid 64020

Ein "grep 64020 /etc/passwd" liefert Dir den einliefernden User.

huschi.

 

[c-we]

Danke schon mal für das entfernen meiner Tomaten auf den Augen!

Ich habe nun den entsprechenden usern neue Passwörter verpasst. Bringt aber leider nichts. Weiterhin trudeln Mails ein. Es sind übrigens die QMail User qmails und vpopmail.

Noch eine Idee?

 

[Huschi]

Weiterhin trudeln Mails ein.

Bitte spezifizieren. Woher kommen Mails, und an wen sind die gerichtet?
Ist Dein Server Empfänger oder Versender?

huschi.

 

[c-we]

Mein Server ist anscheinend nur Verteiler:

Nov  7 00:13:02 h5151 qmail: 1162854782.910722 new msg 8520131
Nov  7 00:13:02 h5151 qmail: 1162854782.911052 info msg 8520131: bytes 1449 from <tyus@MEIN_SERVER.de> qp 11008 uid 64020
Nov  7 00:13:02 h5151 qmail: 1162854782.912441 starting delivery 718: msg 8520131 to remote tinaandkishan@IRGENDEIN_PROVIDER.com
Nov  7 00:13:02 h5151 qmail: 1162854782.912727 status: local 0/10 remote 1/20
Nov  7 00:13:02 h5151 qmail: 1162854782.913319 new msg 8520129

Die Adresse @MEIN_SERVER scheint zufällig gewählt. Es ist fast immer eine andere die einen Schwung von 10 - 15 Mails einliefert.
Die Adresse @IRGENDEIN_PROVIDER sind mehr oder weniger alphabetisch ...

 

[c-we]

Wir konnten den Fehler finden!

Strato hat mir eine ungepachte Qmail Version vorinstalliert!
Es handelt sich dabei um einen 4 ! Jahren alten Bug im qmail-smtpd!

Ich empfehlen dringends allen Kunden mit einem Root Server von Strato auf dem QMail in der Version 1.03-39 installiert ist, folgenden Patch einzuspielen:

qmail-smtpd-auth

Das Problem ist, dass dazu Qmail neu kompiliert werden muss.
Aber dadurch sollte das Problem behoben sein.

Zur Info: Ich werde mich in den nächsten Tagen schriftlich bei Strato über diese Schlampigkeit beschweren. Falls sich jemand dieser Beschwerde anschliessen möchte, darf es sich gerne bei mir melden.