Server sendet Spam

[BlackMBC]

Guten Tag,
wir haben zur Zeit das Problem dass über unseren Server Spammails gesendet werden (Ein Beispiel am Ende des Beitrages).
Ich habe folgende Schritte unternommen um das Problem einzugrenzen:
-Mailserver ausgestellt
-Relaying ausgeschaltet -> Keiner unserer Mail-Accountinhaber kann (eventuell virenverseucht) daran Schuld sein
-Den Gebrauch von PHP mail() geloggt und zu dem Schluss gekommen dass kein PHP-Script der Schuldige ist
-Open Relay Tests negativ (wobei Relaying eh zur Zeit aus ist und sich trotzdem Mails in der Queue einreihen)
-Rootkit-Scan mit rkhunter negativ

Unser Server läuft mit Ubuntu 8.04 LTS, verwendet qmail, Konfigurationsoberfläche ist Plesk 8.6.0, "Spamschutz auf Basis der DNS-Blackhole-Listen" ist aktiv.

Da ich absolut keine Ideen mehr habe wie ich dies unterbinden kann, bin ich für Rat sehr dankbar!

Eine der Mails, domain.de sind dabei "wir":

Received: (qmail 30693 invoked from network); 23 Aug 2008 11:10:24 +0200
Received: from unknown (HELO domain.de) (116.45.191.121)
by domain.de with SMTP; 23 Aug 2008 11:10:23 +0200
Received: from guqbkz.net ([203.94.49.230]) by domain.de; Sat, 23 Aug 2008 18:08:51 +0900
From: "ÀúÀÌÀ²´ëÃô" <webmaster@domain.de>
To: "liebehyuni" <liebehyuni@korea.com>
Subject: ÀúÀÌÀ²·Î ´çÀÏ ´ëÃôÇص帳´Ï´Ù[³â7ÇÁ·Î´ë]
Date: Sat, 23 Aug 2008 18:08:36 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary= "----=_NEXTPart_BG2_EHTS_2ZQEKYTO.0FPR0HZB"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000

------=_NEXTPart_BG2_EHTS_2ZQEKYTO.0FPR0HZB
Content-type: text/html; charset=euc-kr
Content-Transfer-Encoding: base64

PGEgaHJlZj0iaHR0cDovL2dmamZnLnd3dzU0LnJ1Ij4NCsDavLzH0SCzu7/rwLogv6mx4rimILSt
t6/B1ry8v+Q8L2E+DQo5NzQxMzA=
------=_NEXTPart_BG2_EHTS_2ZQEKYTO.0FPR0HZB--

-Mit freundlichen Grüßen und danke im Voraus,
BlackMBC

 

[charli]

Hallo,

die Beispielmail enthält zwei IPs: 203.94.49.230 und 116.45.191.121, ist eine davon die Server-IP? (vermutlich nicht, weil Australien bzw Korea)

Wie genau bist Du an die Beispielmail gekommen?

 

[HornOx]

Backscatter (e-mail - Wikipedia, the free encyclopedia)

 

[BlackMBC]

Hallo,

die Beispielmail enthält zwei IPs: 203.94.49.230 und 116.45.191.121, ist eine davon die Server-IP? (vermutlich nicht, weil Australien bzw Korea)

Wie genau bist Du an die Beispielmail gekommen?

Nein, keines davon ist unsere Server-IP. An die E-Mail bin ich gekommen indem ich den E-Mail-Dienst angehalten habe und dann in der Queue nach Auffälligkeiten gesucht habe.

Backscatter (e-mail - Wikipedia, the free encyclopedia)

Danke für den Link, habe wie dort vorgeschlagen SPF aktiviert und werde mal schauen ob sich in den nächsten Stunden wieder eine Spam-Mail sehen lässt.

-MfG, BlackMBC

 

[Roger Wilco]

Backscatter (e-mail - Wikipedia, the free encyclopedia)

Das trifft in diesem Fall aber nicht zu, wie die Mailheader und der Body zeigen.

Sollte die im ersten Beitrag zitierte E-Mail Teil einer DSN gewesen sein, sieht das natürlich wieder anders aus. Aber dazu soll der OP Stellung beziehen.

 

[BlackMBC]

Sollte die im ersten Beitrag zitierte E-Mail Teil einer DSN gewesen sein, sieht das natürlich wieder anders aus.

Nein, die von mir gepostete Mail ist komplett so, wie ich sie aus /var/qmail/queue/mess/ rausgefischt habe, also keine etwaigen DSN-Teile abgeschnitten.

-MfG, BlackMBC

 

[menki]

Antwort:

Es ist ja auch eindeutig nachzulesen das der versender der mail:

X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000

Microsoft Outlook Express Engine verwendet. Diese wird in der Version 6.0 in Vista beigepackt. Ich vermute es ist ein verseuchter Rechner der massenweise AUTHENTIFIZIERT mails sendet da ja OPEN RELAY TEST negativ ausgefallen ist.
Wenn kein OPEN RELAY vorliegt und PHPMAIL ausgeschlossen werden kann dann müssen die mails Authentifiziert rausgehen. Korrigiert mich wenn ich falsch liege....

MENKI

 

[charli]

Hallo,

Ich vermute es ist ein verseuchter Rechner der massenweise AUTHENTIFIZIERT mails sendet

die Mails werden von einem Rechner in (Süd-)Korea eingeliefert, wie soll der an die Zugangsdaten kommen?

X-Mailer: Microsoft Outlook Express 6.00.2462.0000

das sagt garnix aus, ich kann Dir gerne eine schicken die mit OE9 erstellt ist.

 

[Roger Wilco]

die Mails werden von einem Rechner in (Süd-)Korea eingeliefert, wie soll der an die Zugangsdaten kommen?

Dazu reicht die Kompromittierung des Rechners eines Benutzers. Entweder können die Zugangsdaten dann direkt abgegriffen werden oder ein Keylogger erledigt die Arbeit bei der nächsten Eingabe der Zugangsdaten.

 

[menki]

Re:

Wenn der über Outlook sendet dann muss er über SMTP (Server erfordert Authentifizierung) authentifizieren.
Ja! Zugangsdaten blocken. Ich vermute auch das du sehr wenige oder gar keine Besucher aus Korea hast. Man könnte mit IPTABLES eine Firewall Blockade auf alle Koreanischen IP´s setzen. So könntest du den Mailserver laufen lassen. Nach einer Woche kannst du den ban wieder entfernen. Bis dort hin hast du den übeltäter schon gefunden.

MENKI

 

[charli]

Hallo,

der OP schrieb:

ich habe folgende Schritte unternommen (...)
-Relaying ausgeschaltet -> Keiner unserer Mail-Accountinhaber kann (eventuell virenverseucht) daran Schuld sein

 

[menki]

Re:

Keiner unserer Mail-Accountinhaber kann (eventuell virenverseucht) daran Schuld sein

Also das passt mit dem Log file nicht überein. Die Spam schleuder engine läuft über Microsoft Outlook 6 Version.
Externe Mails clients können nur Authentifiziert senden, oder kann man etwa im Thunderbird oder Outlook ohne Benutzernamen and Passwort Emails senden?

Mit welcher ARGUMENTATION kann er sagen das keiner der Accountinhaber nicht daran Schuld ist? Wie soll ein Outlook Express User Emails über seinen Server senden wenn er nicht als brechtigter Email versender Authentifiziert wurde?
Wir schliessen auch Open Relay aus....hmmm

Korrigiert mich wenn ich mich täusche....

MENKI

 

[charli]

Hallo,

Received: from unknown (HELO domain.de) (116.45.191.121) by domain.de ...
Received: from guqbkz.net ([203.94.49.230]) by domain.de ...

die eine Mail wurde zweimal von verschiedenen IPs eingeliefert?
Natürlich nicht, der Header ist gefälscht, die obere Zeile ist korrekt (IP aus Korea), die untere soll ablenken (IP aus Australien). Wenn die Received-Zeilen gefälscht sind ist 99,9% auch der X-Mailer gefälscht.

 

[BlackMBC]

Ich wollte nur ausdrücken dass ich Relaying ausgeschaltet habe und daher meiner Meinung nach von außen nicht auf SMTP zugegriffen werden kann... Entschuldigung wenn diese Annahme nicht wasserdicht ist, bin leider kein Profi und versuche nur soviel Infos wie möglich zu liefern.
Was mir noch in den Sinn gekommen ist, dass vielleicht jemand auf den SMTP telnet-et. Das mit iptables zu unterbinden sollte so aussehen nehme ich an:
iptables -A INPUT -p tcp --dport 25 -j REJECT
Wieder ein bisschen auf neue Spammails warten...

-MfG, BlackMBC

 

[charli]

Hallo,

Was mir noch in den Sinn gekommen ist, dass vielleicht jemand auf den SMTP telnet-et.

Es ist egal, ob ein Mailclient (Outlook usw), ein Script oder ein Telnet-Client eingesetzt wird, das Protokoll ist immer das gleiche und man kann nicht darauf filtern.

Wenn Du Port 25 einghend sperrst bleibt Dir eingehender Spam zuverlässig erspart, andere Mails aber auch.