Spam

[XXcD]

Hallo,
ich habe gerade ein großes Problem.
Auf meinen Mailserver finden sekündlich 100 Vebrindungen statt.

So ne Email habe ich von Postfix bekommen:

Transcript of session follows.

 Out: 220 ******.stratoserver.net ESMTP Postfix (Debian/GNU)
 In:  HELO 81.***.***.217
 Out: 250 h1363442.stratoserver.net
 In:  MAIL FROM: <andya1@hotmail.com>
 Out: 250 2.1.0 Ok
 In:  RCPT TO: <wm.yvonne@msa.hinet.net>
 Out: 451 4.3.0 <wm.yvonne@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.yw@msa.hinet.net>
 Out: 451 4.3.0 <wm.yw@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.yy@msa.hinet.net>
 Out: 451 4.3.0 <wm.yy@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zen@msa.hinet.net>
 Out: 451 4.3.0 <wm.zen@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zeng@msa.hinet.net>
 Out: 451 4.3.0 <wm.zeng@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zero@msa.hinet.net>
 Out: 451 4.3.0 <wm.zero@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zhan@msa.hinet.net>
 Out: 451 4.3.0 <wm.zhan@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zhang@msa.hinet.net>
 Out: 451 4.3.0 <wm.zhang@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zheng@msa.hinet.net>
 Out: 451 4.3.0 <wm.zheng@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zhi@msa.hinet.net>
 Out: 451 4.3.0 <wm.zhi@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zhong@msa.hinet.net>
 Out: 451 4.3.0 <wm.zhong@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zhou@msa.hinet.net>
 Out: 451 4.3.0 <wm.zhou@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm.zi@msa.hinet.net>
 Out: 451 4.3.0 <wm.zi@msa.hinet.net>: Temporary lookup failure
 In:  RSET
 Out: 250 2.0.0 Ok
 In:  MAIL FROM: <daveadam@cm1.hinet.net>
 Out: 250 2.1.0 Ok
 In:  RCPT TO: <wm.zoe@msa.hinet.net>
 Out: 451 4.3.0 <wm.zoe@msa.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm@manager.co.th>
 Out: 451 4.3.0 <wm@manager.co.th>: Temporary lookup failure
 In:  RCPT TO: <wm@migala.com>
 Out: 451 4.3.0 <wm@migala.com>: Temporary lookup failure
 In:  RCPT TO: <wm@ms10.hinet.net>
 Out: 451 4.3.0 <wm@ms10.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm@ms12.hinet.net>
 Out: 451 4.3.0 <wm@ms12.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm@ms13.hinet.net>
 Out: 451 4.3.0 <wm@ms13.hinet.net>: Temporary lookup failure
 In:  RCPT TO: <wm@ms14.hinet.net>
 Out: 451 4.3.0 <wm@ms14.hinet.net>: Temporary lookup failure
 Out: 421 4.7.0 *******.stratoserver.net Error: too many errors

Session aborted, reason: too many errors

Und in der Logdatei sind haufenweise solche einträge:

Aug 20 19:10:09 h1363442 postfix/qmgr[3669]: 8154B4FC860: to=<f570925@yahoo.com.tw>, relay=none, delay=3290, delays=3278/12/0/0, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mx2.mail.tw.yahoo.com[203.188.197.10] refused to talk to me: 453 Mail from 81.****.***.217 not allowed - [90])

Wie kann ich das Problem lösen.
Ich habe jetzt seid der Letzten Minute rund 3000 Einträge in die Logdatei bekommen.
Helft mir bitte schnell.

 

[XXcD]

Helft mir doch bitte, mein Logfile explodiert gleich.

 

[Mordor]

Ich denken mal, dass die jemand helfen wird, wenn er das nötige Know-How hat, und hier grad im Forum ist.

Auch ist es verständlich, dass du in ner misslichen Lage bist, aber das Pushen von Beiträgen ist eigentlich nicht erwünscht.

 

[charli]

Hallo,

host mx2.mail.tw.yahoo.com[203.188.197.10] refused to talk to me: 453 Mail from 81.****.***.217 not allowed

lauter solche Einträge von Yahoo, und bei allen hinten deine IP? Dann ist leider davon auszugehen, daß Dein Server Spam versendet, und Yahoo den korrekt erkennt und ablehnt.

Korrektes Vorgehen: MTA (Postfix) abschalten bis die Sache geklärt und die Mailqueue gelöscht ist.

Normalerweise vorher einen Schnelltest über http://abuse.net/relay.html, nur ist dieser Dienst leider momentan offline.

Hol mal ein paar Spammails aus der Queue und analysiere die Header.

 

[XXcD]

Ok abgeschaltet ist er jetzt schon seid gestern Abend.
Aber wie kann über meinen Server Spam versendet werden?
Ich habe doch SASL an und dann müsste sich der Sender doch eigentlich erst beim SMTP anmelden?

Hier mal die smtp sachen in der main.cf:

broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable=yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key

und meine Master.cf:

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_enforce_tls=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
	-o fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache	  unix	-	-	-	-	1	scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

Kann da vielleicht irgendwo der Fehler liegen?

 

[LinuxAdmin]

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
[/CODE]

Mails, die von Deinem Rechner aus verschickt werden, sind immer erlaubt (das solltest Du auch nicht ändern). Insofern solltest Du prüfen, ob die Mails nicht von "innen" kommen (daher ja auch die Aufforderung von Charli, die Header zu analysieren).
Es gibt viele Wege, über unsichere PHP-Scripte, etc. Code einzuschleusen, der dann SPAM versendet....

 

[XXcD]

Also in PHP dürfte ich nichts offenes haben.
Aber mir ist aufgefallen man kann, wenn man sich über Outlook anmeldet immer mails senden. Auch wenn man nicht authentifiziert ist.
Muss ich SASL irgendwie noch aktivieren?
Ich habe ja alles so eingestellt wie in dem Tutorial und jetzt müsste mich der SMTP Server eigentlich nach nem Passwort fragen wenn ich ne Mail senden will.

 

[Janny82]

Teste doch mal hier, ob du ein Openrelay hast:

Mail relay testing

Ansonsten mal dein Mailspool anschauen mit "mailq" und ggfs. löschen mit "postsuper -d ALL".

 

[XXcD]

Hmm ich glaube nicht, dass ich das noch testen muss. Wahrscheinlich habe ich ein Open Relay. Die seite ist ja momentan auch nicht ereichbar.
Hast du zufällig ein Tutorial wo alles erklärt wird?
Das muss dann auch alles funktionieren und nicht so wie jetzt.

 

[charli]

Hallo,

Also in PHP dürfte ich nichts offenes haben.

"dürfte" ist zu wenig, Mailheader (aus der Mailqueue) und Logfiles bitte.

wenn man sich über Outlook anmeldet immer mails senden. Auch wenn man nicht authentifiziert ist.

Mit welcher Zieladresse? Mails an Domains auf dem Server werden immer angenommen und zugestellt (sofern kein Spamfilter aktiv ist). Falls auch Mails an externe Domains ohne Auth angnommen werden hast Du sicher ein Openrelay.

Muss ich SASL irgendwie noch aktivieren?

Ist es doch:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Falls in der SASL-Konfiguration ein Fehler ist funktioniert der Mailversand an externe Domains meistens überhaupt nicht.

Bitte die komplette main.cf (möglichst ohne Kommentare) und die kompletten Header von ein paar Spammails aus der Mailqueue.

Am besten völlig unverändert - falls Du Deine Daten unbedingt verstecken willst ersetze bitte Deine Domain durch example.org und deine IP durch 333.333.333.333.

 

[XXcD]

So hier sind die Sachen.

Main.cf

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

append_dot_mydomain = no

smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache

myhostname = example.org
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
relayhost =
mydestination = example.org, localhost.stratoserver.net, localhost 
mynetworks = 127.0.0.1
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

transport_maps=mysql:/etc/postfix/transport.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_forwardings.cf, mysql:/etc/postfix/mysql-virtual_email2email.cf 
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_uid_maps = mysql:/etc/postfix/uids.cf
virtual_gid_maps = mysql:/etc/postfix/gids.cf
virtual_maps=mysql:/etc/postfix/mysql-virtual_forwardings.cf
virtual_mailbox_base = /home/vmail
virtual_minimum_uid=100

broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable=yes
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key

smtpd.conf

pwcheck_method: auxprop
auxprop_plugin: sql
mech_list: plain login cram-md5 digest-md5
sql_engine: mysql
sql_hostnames: 127.0.0.1
sql_user: root
sql_passwd: PASSWORD
sql_database: email
sql_select: select password from users where email='%u@%r'

Master.cf ist ja einbeitrag höher.

Joar und Spammails kann ich glaube ich nicht zeigen. Mein queue ist jetzt irgendwie leer.
Die müssen doch in /var/qmail/queue/mess liegen oder?

 

[charli]

Hallo,

die Konfiguration sieht ok aus.
Wie war das mit den Mails die ohne Auth vershickt werden konnten - nur interne oder auch externe Domains?

mailq aufrufen, zeigt an was in der Mailqueue festhängt.

/var/spool/postfix und Unterverzeichnise enthalten die temporären Daten von Postfix.

 

[XXcD]

Ok ich bin jetzt im Ordner /var/spool/postfix/deferred/0

Und dort habe ich jetzt mal eine Datei herausgeflückt, diese ist aber leider schlecht formatiert:

C?           1425            1359               9               0T1219258927 46109Acreate_time=1219258928Arewrite_context=remoteSlaurent.robert@gmail.comA!log_client_address=190.48.206.174A*log_message_origin=unknown[190.48.206.174]A*log_helo_name=190-48-206-174.speedy.com.arAlog_protocol_name=SMTPAclient_name=unknownA0reverse_client_name=190-48-206-174.speedy.com.arAclient_address=190.48.206.174A&helo_name=190-48-206-174.speedy.com.arAclient_address_type=2A-dsn_orig_rcpt=rfc822;clearness@ms32.hinet.netOclearness@ms32.hinet.netDclearness@ms32.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms33.hinet.netOclearness@ms33.hinet.netRclearness@ms33.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms34.hinet.netOclearness@ms34.hinet.netRclearness@ms34.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms35.hinet.netOclearness@ms35.hinet.netDclearness@ms35.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms36.hinet.netOclearness@ms36.hinet.netDclearness@ms36.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms37.hinet.netOclearness@ms37.hinet.netDclearness@ms37.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms38.hinet.netOclearness@ms38.hinet.netDclearness@ms38.hinet.netA-dsn_orig_rcpt=rfc822;clearness@ms39.hinet.netOclearness@ms39.hinet.netDclearness@ms39.hinet.netA,dsn_orig_rcpt=rfc822;clearness@ms4.hinet.netOclearness@ms4.hinet.netDclearness@ms4.hinet.netM¡G¡G¡GN%Date: Mon, 25 Aug 2008 14:58:33 -0400N(X-Mailer: AOL 2.0 for Windows US sub 443NMIME-Version: 1.0N$Content-Type: multipart/alternative;N	boundary="--38524911908539112"NX-Priority: 1NX-MSMail-Priority: HighN

Ich hoffe mal das ist richtig, wenn ja dann kann ich die ja auch noch formatieren.

Und bei mailq zeigt der mir an Command not found.
Hast du mir nen flaschen Befehl gegeben oder hab ich das nicht installiert???

 

[charli]

Hallo,

helo_name=190-48-206-174.speedy.com.ar
X-Mailer: AOL 2.0 for Windows US

reicht mir als Nachweis, daß die Einlieferung über SMTP erfolgt ist und nicht über ein (PHP-)Script.

Versuch mal /usr/bin/mailq, wenn auch das nicht geht suche nach mailq (find, locate).

 

[XXcD]

Ok mailq gibt es irgendwie nicht hab jetzt so fast alles probiert,
ist das denn überhaupt noch nötig oder kannst du mir irgendeinen Grund nennen warum mein smtp Server keine Athentifizierung braucht?

 

[Roger Wilco]

Und bei mailq zeigt der mir an Command not found.
Hast du mir nen flaschen Befehl gegeben oder hab ich das nicht installiert???

/usr/sbin/postqueue -p
/usr/sbin/sendmail -bp

Postfix manual - postqueue(1)
Postfix manual - sendmail(1)

 

[charli]

Hallo,

ich hab mailq bei Suse und Debian default installiert.
Ist der Server im produktiven Einsatz oder noch Testbetrieb - könnten noch wichtige Mails in der Queue stecken?

Fehler kann meiner Meinung nach nur in der Datenbankgeschichte stecken.

Wird eine Administrationshilfe eingesetzt oder wie wird die Datenbank betreut?

 

[XXcD]

Wird eine Administrationshilfe eingesetzt oder wie wird die Datenbank betreut?

Wie ist die Frage gemeint?
Ich greife einfach über Navicat auf den MySQL Server zu und mehr nicht.

 

[XXcD]

Bin wieder zuhause und habe gerade beide Befehle ausprobiert.
Und so langsam bekomme ich Angst,
beide funktionieren nicht :-(

Aber das ist ja eigentlich auch egal, ich muss ne Authentifizierung auf den SMTP Server bekommen.