Server verschickt Spam

[xwinge]

Hallo Zusammen

ich habe folgendes Problem.

Seit ein paar Tagen werden Mails "DHL Packstation" von
meinem Server versendet.

Offenes Relay -> nein
Postfix als Mailserver
Debian Linux

ich denke es gibt ein Script eines Kunden , das unsicher ist und über das Spam versendet wird. Leider kann ich in den Logfiles nicht sehen woher die Mails kommen, bzw welches Script das senden veranlasst. Könnte auch ein SMTP Konto sein, das geknackt wurde, aber auch das sehen ich nicht in den Logfiles.

ich habe dann mal für eine Stunde allways_bbc angeschaltet und geschaut was alles verschickt wird. In der Zeit habe ich keine Mails empfangen mit DHL Packstation. in der Mail.log sind allerdings Einträge drin.

Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9AFF76253B9: from=<info@packstation-service.de>, size=6517, nrcpt=50 (queue active)
Jul 13 17:31:47 h1323704 postfix/smtp[11344]: 55A6B625398: to=<xxxxxx>, relay=none, delay=62228, delays=62224/4.7/0.03/0, dsn=4.4.1, status=deferred (connect to xxxx.de[IP]: Connection refused)
Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9AFF76253B9: to=<xxxxx>, relay=none, delay=62079, delays=62079/0.06/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP:IP - A problem occurred. (Ask your postmaster for help or to contact [EMAIL="tosa@rx.t-online.de"]tosa@rx.t-online.de[/EMAIL] to clarify.) (BL))
Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9AFF76253B9: to=<fkaster@t-online.de>, relay=none, delay=62079, delays=62079/0.07/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP:IP - A problem occurred. (Ask your postmaster for help or to contact [EMAIL="tosa@rx.t-online.de"]tosa@rx.t-online.de[/EMAIL] to clarify.) (BL))
Jul 13 17:31:47 h1323704 postfix/smtp[11329]: 51DFC1BC00A4: to=<jyreu@free.fr>, relay=mx2.free.fr[212.27.42.58]:25, delay=61317, delays=61312/4.7/0.19/0, dsn=4.0.0, status=deferred (host mx2.free.fr[212.27.42.58] refused to talk to me: 421 Your IP (IP) is temporary blacklisted by an anti-troyan rule, retry later and/or visit [URL]http://postmaster.free.fr/[/URL])
Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9AFF76253B9: to=<xxx@xxx.de>, relay=none, delay=62079, delays=62079/0.08/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP:IP - A problem occurred. (Ask your postmaster for help or to contact [EMAIL="xxx@rx.t-online.de"]xxx@rx.t-online.de[/EMAIL] to clarify.) (BL))
Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9AFF76253B9: to=<xxxxr@t-online.de>, relay=none, delay=62079, delays=62079/0.09/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP:IP - A problem occurred. (Ask your postmaster for help or to contact [EMAIL="tosa@rx.t-online.de"]tosa@rx.t-online.de[/EMAIL] to clarify.) (BL))
Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9AFF76253B9: to=<fxxx@t-online.de>, relay=none, delay=62079, delays=62079/0.1/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx01.t-online.de[194.25.134.72] refused to talk to me: 554 IP:IP - A problem occurred. (Ask your postmaster for help or to contact [EMAIL="tosa@rx.t-online.de"]tosa@rx.t-online.de[/EMAIL] to clarify.) (BL))
Jul 13 17:31:47 h1323704 postfix/qmgr[5727]: 9A065625444: from=<info@packstation-service.de>, size=6517, nrcpt=50 (queue active)

ich kenne mich schon relatie gut aus, aber da weiß ich einfach nicht mehr weiter. Wie oder was sendet hier die Mails.

 

[xwinge]

Problem erkannt

so nach einigem hin und her
habe ich jetzt das Problem gefunden.

Die Ausschnitte aus der Logfiles zeigten nur die Mails aus der
Queue die zurückgehalten wurden und nochmal zum Versand
anstanden. Bin jetzt in der Logfile so weit zurückgegangen bis
die DHL Mails das erste mal auftauchten, und dort konnte ich auch
sehen welcher Benutzer versendet hat.

Mailaccount des Benutzer geknackt.
Neues Passwort und gut ist erstmal.

Noch schnell die Queue gelöscht

Gibt es Software die sowas entdeckt und mich benachrichtigt?
Was kann ich im Vorfeld tun, damit sowas nicht passieren kann?

 

[d4f]

Die Frage ist jetzt (nicht unbedingt fuer dich) _WIE_ wurde das Passwort geknackt.
In aller Regel wird kein Bruteforce verwendet sondern ein Trojaner auf dem Rechner des Kunden (oder auf einem Rechner von welchem er seine Emails gelesen hat) schickt das Passwort an seinen C&C Server.
Falls das Problem nicht behoben wurde dann kann es sein dass in Kuerzester Zeit der Spuk wieder neu anfaengt.
Eine Ueberpruefung des Accounts des Kunden (zB mit cxs) empfiehlt sich ebenfalls, einige Trojaner sind auch in der Lage FTP-Zugangsdaten (sowie SSH, ...) aus zu spaehen.


Einfacher haettest du uebrigens einfach eine Nachricht aus der Qeue lesen koennen. Die letzten (also in der Textdatei die ersten) Headerzeilen entsprechen deiner lokalen Machine und beschreiben wie die Email reinkam und ueblicherweise auch von wem und mit welcher IP. Alle Headerzeilen darunter sind uebrigens meist gefaelscht, also nicht verwirren lassen.

Jetzt solltest du dich noch aus den DNSBL austragen in welchen du sicher gelandet bist.

Software ist meist nicht in der Lage ein Missbrauch zu erkennen, auch wenn es verschiedene Methoden gibt es dennoch zu tun
- rate-limiting. Damit kann man den Schaden senken aber nicht verhindern
- Spamassassin+ClamAV auf ausgehende Emails. Senkt das Risiko dass Schaden entsteht, verhindert es aber nicht da es nicht alles erkennt.
- Absender-IP. Wenn diese nicht der ueblichen GeoIP-Gegend entspricht wird gesperrt. Verschiedene Trojaner schicken die Emails aber ueber den regulaeren Rechner, somit ist dies auch nicht 100% erfolgversprechend.
Zumal fuer Geschaeftsreisende sehr nervig da sie staendig sich authentifizieren muessen.

Fuer letzteres kenne ich keine Software, die anderen beiden sind einfach zu realisieren. Eine Kombination der 3 sollte das Risiko senken.