Spam CBL - Aber wo?

P

pk-dragon

New Member
Moin :)

ich hab seit 3 Tagen ein Problem mit meinem Server. Unzwar werde ich derzeit immer auf CBL als Spammer gelistet :/ Und ich habe keine Ahnung warum :(

Folgendes gecheckt:
- No relays accepted
- mail-wrapper -> abfangen der Mails aus mail() -> keine Seltsamen einträge

http://cbl.abuseat.org/lookup.cgi?ip=93.92.40.90

hab ne vermutung von einer bestimmten mail-addy
Auszug mail.info
Code: 
Oct 30 18:33:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:33:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/983
Oct 30 18:34:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:34:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/1006
Oct 30 18:35:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:35:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/983
Oct 30 18:36:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:36:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/1006
Oct 30 18:37:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:37:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/1006
Oct 30 18:38:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:38:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/983
Oct 30 18:39:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
Oct 30 18:39:24 eug01 dovecot: IMAP(info@domain.tld): Disconnected: Logged out bytes=71/983
Oct 30 18:40:24 eug01 dovecot: imap-login: Login: user=<info@domain.tld>, method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured

access-log
Code: 
domain-zu-webmail.domain.tld:80 XXX.XXX.XXX.XXX - - [30/Oct/2012:18:33:24 +0100] "GET /?_task=mail&_action=check-recent&_t=1351618406733&_list=1&_quota=1&_remote=1&_=1351618406733&_unlock=1 HTTP/1.1" 200 142 "http://domain-zu-webmail.domain.tld/?_refresh=1&_mbox=INBOX&_task=mail" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
93.92.40.90:80 ::1 - - [30/Oct/2012:18:33:47 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze8 with Suhosin-Patch mod_python/3.3.1 Python/2.5.5 mod_ssl/2.2.9 OpenSSL/0.9.8o (internal dummy connection)"
domain-zu-webmail.domain.tld:80 XXX.XXX.XXX.XXX - - [30/Oct/2012:18:34:24 +0100] "GET /?_task=mail&_action=check-recent&_t=1351618466744&_list=1&_quota=1&_remote=1&_=1351618466745&_unlock=1 HTTP/1.1" 200 142 "http://domain-zu-webmail.domain.tld/?_refresh=1&_mbox=INBOX&_task=mail" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
93.92.40.90:80 ::1 - - [30/Oct/2012:18:34:38 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze8 with Suhosin-Patch mod_python/3.3.1 Python/2.5.5 mod_ssl/2.2.9 OpenSSL/0.9.8o (internal dummy connection)"
domain-zu-webmail.domain.tld:80 XXX.XXX.XXX.XXX - - [30/Oct/2012:18:35:24 +0100] "GET /?_task=mail&_action=check-recent&_t=1351618526740&_list=1&_quota=1&_remote=1&_=1351618526740&_unlock=1 HTTP/1.1" 200 142 "http://domain-zu-webmail.domain.tld/?_refresh=1&_mbox=INBOX&_task=mail" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"
93.92.40.90:80 ::1 - - [30/Oct/2012:18:35:59 +0100] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) DAV/2 SVN/1.5.1 mod_fcgid/2.3.6 PHP/5.3.3-7+squeeze8 with Suhosin-Patch mod_python/3.3.1 Python/2.5.5 mod_ssl/2.2.9 OpenSSL/0.9.8o (internal dummy connection)"
domain-zu-webmail.domain.tld:80 XXX.XXX.XXX.XXX - - [30/Oct/2012:18:36:24 +0100] "GET /?_task=mail&_action=check-recent&_t=1351618586736&_list=1&_quota=1&_remote=1&_=1351618586736&_unlock=1 HTTP/1.1" 200 142 "http://domain-zu-webmail.domain.tld/?_refresh=1&_mbox=INBOX&_task=mail" "Mozilla/5.0 (Windows NT 5.1; rv:16.0) Gecko/20100101 Firefox/16.0"

XXX.XXX.XXX.XXX = Feste-IP eines Freundes der seine Seite bei mir hat.-> zeigt auf Router

Postfix
Code: 
# Postfix programs paths settings
command_directory = /usr/sbin
daemon_directory = /usr/lib/postfix
program_directory = /usr/lib/postfix
sendmail_path = /usr/sbin/sendmail

## General Postfix configuration
# should be the default domain from your provider eg. "server100.provider.tld"
mydomain = domain.tld

# should be different from $mydomain eg. "mail.$mydomain"
myhostname = mail.$mydomain

mydestination = $myhostname,
	$mydomain,
	localhost.$myhostname,
	localhost.$mydomain,
	localhost
mynetworks = 127.0.0.0/8
inet_interfaces = all
append_dot_mydomain = no
biff = no

# Postfix performance settings
default_destination_concurrency_limit = 20
local_destination_concurrency_limit = 2

# SMTPD Settings
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,
	permit_sasl_authenticated,
	check_client_access hash:/etc/postfix/whitelist
	reject_unauth_destination,
	reject_unauth_pipelining,
	reject_non_fqdn_recipient,
smtpd_sender_restrictions = check_client_access hash:/etc/postfix/whitelist,
	permit_mynetworks,
	permit_sasl_authenticated, 
	#reject_unknown_hostname, 
	reject_unknown_recipient_domain, 
	reject_unknown_sender_domain
smtpd_client_restrictions = permit_mynetworks,
	permit_sasl_authenticated,
	reject_unknown_client
# Maximum size of Message in bytes (50MB)
message_size_limit = 52428800

## SASL Auth Settings
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
## Dovecot Settings for deliver, SASL Auth and virtual transport
## uncomment those line to use Dovecot
#mailbox_command = /usr/lib/dovecot/deliver
#virtual_transport = dovecot
#dovecot_destination_recipient_limit = 1

# Virtual delivery settings
virtual_mailbox_base = /var/customers/mail/
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000

# Local delivery settings
local_transport = local
alias_database = hash:/etc/aliases
alias_maps = $alias_database

# Default Mailbox size, is set to 0 which means unlimited!
mailbox_size_limit = 0
virtual_mailbox_limit = 0

### TLS settings
###
## TLS for outgoing mails from the server to another server
#smtp_use_tls = yes
#smtp_tls_note_starttls_offer = yes
## TLS for email client
#smtpd_tls_cert_file = /etc/ssl/server/domain.tld.pem
#smtpd_tls_key_file = /etc/ssl/server/domain.tld.pem
#smtpd_tls_CAfile = /etc/ssl/cacert.class3.crt  # Just an example for CACert.org
#smtpd_tls_auth_only = no
#smtpd_tls_loglevel = 1
#smtpd_tls_received_header = yes
#smtpd_tls_session_cache_timeout = 3600s
#tls_random_source = dev:/dev/urandom

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

relayhost = 

debugger_command =
         PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
         ddd $daemon_directory/$process_name $process_id & sleep 5

Hoffe ihr habt ne Idee =/ Mir gehen die Ideen aus.

DANKE :)
Lg

P.S. Rechner des Freundes hat keine Viren (heute gecheckt.)
 
Die Seite zu dem Listing ist nun wirklich eindeutig und ausführlich, so dass ich nicht nachvollziehen kann, weshalb Du Deinen Freund als Ursache vermutest.

Kann es sein, dass Dir das nötige Grundlagenwissen zum Administrieren eines Servers fehlt und Du deshalb die Seite nicht verstehst?
 
Moin

also ich bin schon längere Zeit aus der Administration raus und hab letzter Zeit ein FIS die Administration überlassen. Der natürlich nicht mehr verfügbar is ...

Na dann muss ich doch wohl wieder ein wenig nacharbeiten und schauen was falsch läuft :/

wäre für ein Tipp sehr Glücklich :)
 
Auf der Seite zum Listing stehen genug Tipps die Du erstmal abzuarbeiten hast. Danach geht es dann hier weiter.
 
Moin pk-dragon,

Du musst nach einem Skript suchen welches auf deinem Webserver läuft und diese Mail erzeugt. Auf der CBL-Webseite ist sogar ein Perl-Skript welches Dich dabei unterstützt.

Davon abgesehen solltest Du dir wieder jemanden Suchen der dir die Administration abnimmt. Wenn ein Externer in Frage kommt freuen wir im Forum uns über entsprechende Anfragen in der 'Suche'-Rubrik.

schöne Grüße,
Nils
 
You must log in or register to reply here.
Back
Top