Spam Problem auf Server mit qmail

netsrac · Sep 29, 2007

Hallo,

also Leute ich bin am Ende mit meinem Latein. Irgendwer missbraucht meinen Server für Spam. Hier eine der vielen Mails (qmail ist übrigens schon gestopt):

Code:

MESSAGE NUMBER 6573667
 --------------
Received: (qmail 5853 invoked by uid 64020); 28 Sep 2007 20:29:15 +0200
Received: from 218.104.180.228 by h0000000 (envelope-from <xbfjnr@h0000000.serverkompetenz.net>, uid 64011) with qmail-scanner-1.25st
 (spamassassin: 3.0.3. perlscan: 1.25st.
 Clear:RC:0(218.104.180.228):SA:0(4.6/5.0):.
 Processed in 3.728689 secs); 28 Sep 2007 18:29:15 -0000
X-Spam-Status: No, hits=4.6 required=5.0
X-Envelope-From: [email]xbfjnr@h0000000.serverkompetenz.net[/email]
Received: from unknown (HELO autoinstall) (webmaster@218.104.180.228)
  by h0000000.serverkompetenz.net with SMTP; 28 Sep 2007 20:29:11 +0200
Message-ID:780245780134679023
Date: Sat, 29 Sep 2007 02:27:35 +0800
Reply-To: [email]xbfjnr@h0000000.serverkompetenz.net[/email]
From: "%CUSTOM_MAILFRONNAMEBIG" <xbfjnr@h0000000.serverkompetenz.net>
To: "wang.cj1017" <wang.cj1017@msa.hinet.net>
Subject: =?BIG5?B?rk1rwFw=?=
Content-Type: text/html;
        charset="Big5"
Content-Transfer-Encoding: base64
X-Qmail-Scanner-1.25st: added fake MIME-Version header
MIME-Version: 1.0
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on
        h0000000.serverkompetenz.net
X-Spam-Level: ****
X-Spam-Status: No, score=4.6 required=5.0 tests=FRONTPAGE,HTML_70_80,
        HTML_MESSAGE,INVALID_MSGID,MIME_BASE64_NO_NAME,MIME_BASE64_TEXT,
        MIME_HTML_ONLY autolearn=no version=3.0.3

Meine Systemdaten:
Debain Gnu/linux mit SA24 (Strato Powerserver)

Was habe ich bisher getan?

Erste Verdacht fiel auf ein fehlerhaftes script weshalb ich dieser Anleitung hier gefolgt bin: Über meinen Server werden Spam's verschickt! - huschi.net

Kein Erfolg.

Zweite Verdacht: Open Relay. Mehrmals über abuse.net test laufen gelassen. Hat auch angeblich was gefunden. Wie ich aber lesen konnte nimmt qmail häufig emails an und verwirft diese intern dann.

Hier mal einige Auszüge aus den Logs:

Code:

Syslog:
Sep 29 10:52:00 h1060012 qmail: 1191055920.756149 status: local 0/10 remote 0/20
Sep 29 10:52:01 h1060012 qmail: 1191055921.008552 starting delivery 1: msg 6573323 to remote [email]a2802236@yahoo.com.tw[/email]
Sep 29 10:52:01 h1060012 qmail: 1191055921.008774 status: local 0/10 remote 1/20
Sep 29 10:52:01 h1060012 qmail: 1191055921.197333 starting delivery 2: msg 6573323 to remote [email]kay131029@yahoo.com.tw[/email]
Sep 29 10:52:01 h1060012 qmail: 1191055921.197538 status: local 0/10 remote 2/20
Sep 29 10:52:01 h1060012 qmail: 1191055921.649404 starting delivery 3: msg 6573323 to remote [email]climing@yahoo.com.tw[/email]
Sep 29 10:52:01 h1060012 qmail: 1191055921.649615 status: local 0/10 remote 3/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.144519 starting delivery 4: msg 6573323 to remote [email]cifivly3@yahoo.com.tw[/email]
Sep 29 10:52:02 h1060012 qmail: 1191055922.144738 status: local 0/10 remote 4/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.146190 starting delivery 5: msg 6573323 to remote [email]boboma911@yahoo.com.hk[/email]
Sep 29 10:52:02 h1060012 qmail: 1191055922.146404 status: local 0/10 remote 5/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.417747 status: local 0/10 remote 4/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.418084 status: local 0/10 remote 3/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.418416 status: local 0/10 remote 2/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.529309 starting delivery 6: msg 6573340 to remote [email]bv3fq@yahoo.com.tw[/email]
Sep 29 10:52:02 h1060012 qmail: 1191055922.529531 status: local 0/10 remote 3/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.922231 status: local 0/10 remote 2/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.922401 starting delivery 7: msg 6573340 to remote [email]water.bit@yahoo.com.tw[/email]
Sep 29 10:52:02 h1060012 qmail: 1191055922.922591 status: local 0/10 remote 3/20
Sep 29 10:52:02 h1060012 qmail: 1191055922.924050 starting delivery 8: msg 6573340 to remote [email]babedogdodo@yahoo.com.tw[/email]
Sep 29 10:52:02 h1060012 qmail: 1191055922.924265 status: local 0/10 remote 4/20
Sep 29 10:52:03 h1060012 qmail: 1191055923.114911 starting delivery 9: msg 6573340 to remote [email]misfits@yahoo.com.tw[/email]
Sep 29 10:52:03 h1060012 qmail: 1191055923.115124 status: local 0/10 remote 5/20

Wie komme ich dem Übeltäter nun auf die Schliche ??

Huschi · Sep 30, 2007

Such im Logfile nach dem letzten "info msg 6573323" vor "Sep 29 10:52:01".

huschi.

netsrac · Oct 2, 2007

Hallo Huschi,

keine Logeinträge zu finden. Da der Spammer immer den gleichen Absender benutzte habe ich die Adresse in die Datei badmailfrom von Qmail eingefügt.

Jetzt erscheint das:

Code:

Oct  2 10:59:21 00000000 qmail: 1191315561.297374 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297675 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297709 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297732 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297755 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297777 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297797 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297817 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297836 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140
Oct  2 10:59:21 00000000 qmail: 1191315561.297855 qmail-smtpd: badmailfrom: <wbhntz@00000000.serverkompetenz.net> at 220.249.
189.140

qmail-smtpd: Der SMTP-Server. Er empfängt E-Mails über SMTP und übergibt sie an qmail-queue

Was gibt es noch für Möglichkeiten ohne openrelay emails über smtp einzuliefern? smtp-auth läuft.

Huschi · Oct 2, 2007

netsrac said:
keine Logeinträge zu finden.

Die gibt es aber bestimmt. Such mal in älteren Dateien.

Was gibt es noch für Möglichkeiten ohne openrelay emails über smtp einzuliefern?

Was konkret meinst Du?
Vielleicht hilft Dir das: Qmail: Flußdiagramm - huschi.net

huschi.

netsrac · Oct 2, 2007

Hallo,

ich habe nur ein Marktplatzscript (perl) auf dem Server laufen. Habe teilweise die Scripte deaktivert, logge jetzt aber deren aufruf mit. Bisher keinerlei übereinstimmung.

Nach dem Flussdiragramm muss doch die Spammail per smtp eingeliefert worden sein, oder nicht? Ansonsten würde doch qmail-smtpd wegen der badmailfrom nicht meckern?

Huschi · Oct 2, 2007

Darf ich mal raten: Du hast kein Plesk sondern Visas/ServerAdmin24, stimmts?

Anscheinend werden hier seltsame Emails von Extern eingeliefert und Dein Server verteilt sie ggf. weiter.
Hast Du Dir die Emails schon mal mit qmHandle angeschaut?
Oder, falls noch welche in der Queue stehen, gelöscht?

huschi.

netsrac · Oct 2, 2007

Huschi said:
Darf ich mal raten: Du hast kein Plesk sondern Visas/ServerAdmin24, stimmts?

korrekt.

Anscheinend werden hier seltsame Emails von Extern eingeliefert und Dein Server verteilt sie ggf. weiter.
Hast Du Dir die Emails schon mal mit qmHandle angeschaut?
Oder, falls noch welche in der Queue stehen, gelöscht?

Ja, ich schaue täglich mehrmals in die queue mit qmHandle ob wieder neue Mails auftauchen. Natürlich checke ich auch ständig die Logs. Heute war nichts mehr. Wenn welche drin standen habe ich diese natürlich auch gelöscht.

Achso, ich selber nutze smtp überhaupt nicht. Ich leite die Mails per forwarder an einen web.de Account weiter.

Deshalb wundert mich auch der dritte eintrag in der mail.warn:

Code:

Sep 30 10:53:35 h000000 imaplogin: DISCONNECTED, ip=[::ffff:127.0.0.1], time=60
Sep 30 12:00:42 h000000 imaplogin: DISCONNECTED, ip=[::ffff:127.0.0.1], time=60
Sep 30 12:49:36 h000000 imaplogin: DISCONNECTED, ip=[::ffff:80.239.197.35], time=0

netsrac · Oct 4, 2007

Hallo,

Problem vermutlich gelöst. Nach einem erneuten SMTP-AUTH Test mit User und Passwort Eingabe bekam ich die Fehlermeldung das er kein SMTP-AUTH könne.

Der Fehler lag daran das in der /etc/init.d/qmail die Pfadangabe zu der vchkpw falsch war. Die Lösung habe ich hier gefunden:

DADAbase.de » Qmail-Problem geloest

Jetzt kommen in den Logs folgende Einträge:

Code:

Oct  4 08:53:39 h000000 vpopmail[3368]: vchkpw-smtp: system user not found webmaster:220.249.189.140
Oct  4 08:54:32 h000000 vpopmail[3391]: vchkpw-smtp: system user not found webmaster:220.249.189.140

Trotzdem vielen Dank für die Hilfe!

Spam Problem auf Server mit qmail

netsrac

New Member

Huschi

Moderator

netsrac

New Member

Huschi

Moderator

netsrac

New Member

Huschi

Moderator

netsrac

New Member

netsrac

New Member

We value your privacy