Server Blacklisted - Versendet Spam

F

fmk

New Member
Hallo,

seit gestern steht mein Server auf allen Blacklists... Installiert ist ein Ubuntu 14.04 mit Plesk 12. Als Mailserver kommt Postfix zum Einsatz.

Folgende Zeile macht micht mich im Logfile stutzig:
Code: 
maillog.processed:Feb 21 06:20:51 system postfix/smtpd[27074]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 454 4.7.1 <olek.paweln@proeuropa.org.pl>: Relay access denied; from=<fyxnpbfayaxijn@gwx.gazeta.plt.com.pl> to=<olek.paweln@proeuropa.org.pl> proto=SMTP helo=<static.168.54.9.5.clients.your-server.de>
maillog.processed:Feb 21 06:20:51 system postfix/smtpd[27074]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 454 4.7.1 <olek.pawelnn@proeuropa.org.pl>: Relay access denied; from=<fyxnpbfayaxijn@gwx.gazeta.plt.com.pl> to=<olek.pawelnn@proeuropa.org.pl> proto=SMTP helo=<static.168.54.9.5.clients.your-server.de>
maillog.processed:Feb 21 06:20:51 system postfix/smtpd[27074]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 454 4.7.1 <omasz.wojak@proeuropa.org.pl>: Relay access denied; from=<fyxnpbfayaxijn@gwx.gazeta.plt.com.pl> to=<omasz.wojak@proeuropa.org.pl> proto=SMTP helo=<static.168.54.9.5.clients.your-server.de>
maillog.processed:Feb 21 06:20:51 system postfix/smtpd[27074]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 454 4.7.1 <omasz.wojakd@proeuropa.org.pl>: Relay access denied; from=<fyxnpbfayaxijn@gwx.gazeta.plt.com.pl> to=<omasz.wojakd@proeuropa.org.pl> proto=SMTP helo=<static.168.54.9.5.clients.your-server.de>

Hier frag ich mich schonmal, wie jemand sich per localhost mit meinem Postfix verbinden kann? Wenn ich das so richtig sehe, dann werden die Mails aber ja nicht versandt. Dennoch behaupten die BL Seiten, dass ich vor 30 Minuten noch Spam versendet hab. Neben diesen Zeilen ist im Log nichts auffälliges...

Kann ich Hosts (static.168.....) auch irgendwie blocken?
 
Durch ein erratenes (oder anderweitig in Erfahrung gebrachtes) FTP-Passwort oder eine Sicherheitslücke in einer Webapplication auf deinem Server kann der Spammer ein Script auf deinem Server abgelegt haben, welches die Spams versendet. Wenn das Script dann nicht deinen Mailserver verwendet, sondern direkt Verbindungen zu den Zielsystemen aufbaut, siehst du ja nicht mal unbedingt was in den Logs. DIe von dir genannten Logzeilen können durchaus ein Test gewesen sein, ob dein Server evtl. alles von der 127.0.0.1 annimmt, der aber wohl nicht erfolgreich war.
Der im Log auftauchende HELO-String paßt zu einem Server bei Hetzner - aber der steht zumindest laut mxtoolbox.com auf keiner Blacklist. Aber der HELO-String kann auch sehr gut gefälscht sein - wenn ich per SMTP Mails versende, kann ich den ja im Script selbst festlegen.
 
Auf dem Server im HELO läuft/lief ein offener SOCKS-Proxy, insofern ist Spam von der Kiste nicht ungewöhnlich.
 
Seit 2 Tagen habe ich erneut das Problem, dass der Server geblacklisted ist.

Ich bin mittlerweile mit meinem Latein am Ende.

Folgendes:
- Proofpoint sagt, ich habe erst vor wenigen Minuten SPAM Mails versendet.
- Wenn ich das Mail.log ansehe, dann ist aber GAR NIX auffälliges drin.
- Ich habe wie von Parallels empfohlen, ein wrapper gebastelt, der mir alle per PHP versuchten mail() Aufrufe mitprotokolliert. Auch hier ist nichts auffälliges.
- Nach wie vor erhalte ich folgendes im Log:
Code: 
Mar 23 11:52:16 system postfix/smtpd[29194]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 <static.71.34.63.178.clients.your-server.de>: Helo command rejected: Get lost - you're lying about who you are; from=<oagufnfdkdwb@bigdogusenet.net> to=<walinskidd@athene.co.uk> proto=SMTP helo=<static.71.34.63.178.clients.your-server.de>
Mar 23 11:52:16 system postfix/smtpd[29194]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 <static.71.34.63.178.clients.your-server.de>: Helo command rejected: Get lost - you're lying about who you are; from=<oagufnfdkdwb@bigdogusenet.net> to=<walinskin@athene.co.uk> proto=SMTP helo=<static.71.34.63.178.clients.your-server.de>
Mar 23 11:52:16 system postfix/smtpd[29194]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 <static.71.34.63.178.clients.your-server.de>: Helo command rejected: Get lost - you're lying about who you are; from=<oagufnfdkdwb@bigdogusenet.net> to=<walinskinn@athene.co.uk> proto=SMTP helo=<static.71.34.63.178.clients.your-server.de>
Mar 23 11:52:16 system postfix/smtpd[29194]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 554 5.7.1 <static.71.34.63.178.clients.your-server.de>: Helo command rejected: Get lost - you're lying about who you are; from=<oagufnfdkdwb@bigdogusenet.net> to=<walizer@athene.co.uk> proto=SMTP helo=<static.71.34.63.178.clients.your-server.de>

Ich verstehe nicht mehr, warum mein Server Spam versenden soll, es ist kein Open Relay und aus den Logs erschließt es sich mir auch nicht wirklich. Hat jemand noch ne Idee, was es sein könnte?
 
Der Wrapper bringt nichts, wenn die Spamschleuder die Mails direkt über den Port 25 einliefert - und das dürfte hier der Fall sein. Wenn sie dann auch noch Mails bei anderen Servern direkt auf Port 25 einliefert, dann gehen die an deinem Mail-Server vorbei und tauchen entsprechend auch nicht in deinen Logs auf. Also mußt du schauen, welche Prozesse auf deinem Server ausgehende Verbindungen zu anderen Mail-Servern aufbauen und kannst darüber dann den Übeltäter ermitteln (und mußt natürlich auch die Lücke, über die er auf dein System gekommen ist, feststellen und schließen)
 
ich habe gerade nochmal nachgesehen:
Die MX Records von
athene.co.uk lauten 127.0.0.1
sowie von
pangea.ca = localhost

Kann das der Grund sein, warum Spam versendet wird? Wie kann ich soetwas unterbinden?
 
fmk said:
kannst du mir einen tip geben, wie ich die potentiellen Prozesse am besten feststelle?
Click to expand...
Es gibt genau eine vernünftige Methode: Zugriff unbefugter User auf Port 25 unterbinden (iptables) und Port 587 (SMTP Submission) verwenden.
 
You must log in or register to reply here.
Back
Top