• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Spam über Plesk - Mailserver abschalten ?

Nicooo

Registered User
Hallo,

über meinen Server wird irgendwie immer wieder mal Spam verschickt.
Plötzlich ist die Email Warteschlange voll mit ein paar tausend email die dann langsam rausgehauen werden.

Hier ein Beispiel:
Code:
Hi. This is the qmail-send program at xxx.local.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<xx@gmail.com>:
74.xx.27 does not like recipient.
Remote host said: 550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at                             
550 5.1.1 http://mail.google.com/support/bin/answer.py?answer=6596 y11si12161480eeh.56 Giving up on 74.xx.27.

--- Below this line is a copy of the message.

Return-Path: <anonymous@xxx.local>
Received: (qmail 26001 invoked by uid 33); 20 Jun 2011 09:47:17 +0200
Date: 20 Jun 2011 09:47:17 +0200
Message-ID: <20110620074717.25999.qmail@xxx.local>
To: xx@gmail.com
Subject: Account Update Notification
From: ABSA <noreply@xx>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit


<div class="pageHeader "> <div class="pageWidthSetter"> <div class="lF"> <a href="" style="padding: 0pt;"><img src="http://rioperdidogold.com/logo...gif" border="0"></a> </div>  </div> </div><p>

<br>
Dear Customer,<br>
<br>

Protecting the security of your account and of the<br> ABSA network is our primary concern.<br> Our new security update shows that your internet banking account<br> has not been upgraded on our network server.<br> You are require to validate your Internet Banking Profile with us<br> using our safe SSL servers.<br>

<br>
<font color="#333333"><a href="http://kreatifweb.net/arr/e-update/o-n/e-service/profile.upgrades/cs.servers.php"
target="_blank"
onclick="onClickUnsafeLink(event);"><b>Click here to upgrade now</b></a></font><p> <br>
Note: This email was sent from ABSA secure server<br> and is done for your protection.<br> *You will also need to verify your Transaction Verification Number<br>
(TVN) upon request.<br>
<br>
<b>Thank You<br></b></p><p><b>

Meine Frage ist kann ich den Email Versand irgendwie stoppen ??
Dazu sei gesagt das ich den Email Server eigentlich auch garnicht brauche weil ich auch keine email Accounts auf dem Server eingerichtet habe und alles über Googlemail handle...

Oder braucht man den auch wenn Scripte emails versenden ??

Danke für Eure Hilfe !
 
Die wichtigste Frage ist; wie kommt er ueberhaupt rein!
Laut Header wurde die Email von uid33 versendet.

Abschalten tut man meist ueber upstart-Skripts (stop exim) oder init-Skripts (/etc/init.d/exim stop)

(Sicherer waere jedoch wenn du den Server selbst mit "shutdown -hfn now" abschaltest bis du deine Luecke geflickt hast oder entsprechendes Wissen angelernt/angelesen hast.)

Bei nicht-benoetigtem Mailserver solltest du noch Port25 eingehend/ausgehend ueber iptables blockieren.
 
Du solltest den Mailserver stoppen (/etc/init.d/qmail stop), dann das verursachende PHP-Skript finden und fixen, deinen Hostname fixen, die Mailqueue löschen und dann Qmail wieder starten.
 
Ok wo kann ich denn nachsehen wer uid 33 ist ??
und kann ich qmail nicht einfach aus lassen ?? ich brauch es doch nicht oder ?!
 
Ach hübsch, Versand von Phishing-Mails von Deinem Server aus? Das schafft Dir bestimmt neue Freunde ...

Was könntest du nun tun?

Erstmal ins Mail-Log schauen, von wo aus die Mails eingeliefert werden. Lokal? Maybe ein Script auf dem Webserver out of control sprich unsicher? Von Extern - maybe der Mailserver unsauber konfiguriert, dass es als Relay-Agent dient? (AFAIK, ist bei Plesk aber zumindest soweit vorkonfiguriert, dass das so einfach nicht möglich ist).

UID 33 ist mit Sicherheit ein Systemaccount - vermutlich der Webserver.

Wenn's ein Script ist, dann erstmal vom Server nehmen. Btw, den lokalen Mailserver wirst schon brauchen, soweit von einer Webanwendung auch planmäßig eMails verschickt werden sollen. Es sei denn Du stellst das Script so um, dass es googlemail benutzt.
 
puuu bin leider nicht so ein spezi auf dem gebiet bring es vielleicht was wenn ich SpamAssassin installiere und Server weit aktiviere ??

Ich wüsste nämlich nicht wie ich das script finden sollte was dafür verantwortlich ist ! :(
 
Nein, Spamassassin ist der falsche Ansatz. Du mußt das Script finden, welches den Spam zuläßt. Dazu hilft die ein Wrapper-Script, was sämtliche Mails, die von einem CGI-Script versandt werden, mitloggt. Huschi hat dazu mal ein Howto auf seiner Seite veröffentlicht: http://www.huschi.net/10_222_de.html - dieses lesen, verstehen und umsetzen!
 
puuu bin leider nicht so ein spezi auf dem gebiet bring es vielleicht was wenn ich SpamAssassin installiere und Server weit aktiviere ??

Ich wüsste nämlich nicht wie ich das script finden sollte was dafür verantwortlich ist ! :(

Hilfe?! Nein, das wird nicht helfen.

Tip 1: Hol' dir bitte professionelle Hilfe - ja das kostet Geld, aber du solltest es in die Hand nehmen. Der Support Deines Hosters wird Dir gegen entsprechende Gebühr sicher gern versuchen weiterzuhelfen.

Tip 2: Die üblichen Verdächtigen für solche Aktionen sind meistens äußerst unsauber programmierte Kontaktformulare o.ä. Sowas kannst Du in der Regel an Auffäligkeiten in den Webserver- und Mailserver-Logs sehen. Ohne nähere Angaben, was Du alles auf dem Server betreibst (Webanwendungen ...) sind uns allerdings nur Spekulationen möglich.
 
Back
Top