STRATO V-Server - Open Relay, Interfaces/IPtables/Port 25

R

reinerotto

New Member
Hi,

my email-server (postfix), welcher auf einem V-Server bei STRATO läuft, wird seit 10 Tagen als Open Relay für SPAMS mißbraucht.
Meine Nachforschungen ergaben, daß anscheinend (gespoofte ?) Packets auf port 25 (SMTP) mit src-Ip = my_v_server.stratoserver.net von "draußen" reinkommen, und dadurch einige meiner Sicherheitsprüfungen umgangen werden.
(Die Connects auf port 25 erfolgen NICHT von der echten IP, sondern von my_v-server.stratoserver.net)
STRATO Support meint, daß sei so OK, denn die interessiert nur packet-destination.

Nun ja, darüber kann man trefflich diskutieren; Abhilfe wäre also z.B. eine Rule für iptables, um src=my_v_server.stratoserver.net zu DROPpen.
Nun gibt es noch so merkwürdige interfaces auf meinem V-Server, sodaß ich mit meinen geringen Kenntnissen sicherlich nicht die korrekten Regeln erstellen kann. Daher bitte ich um Hilfe.
Konkret: Ich möchte Regl(n), um packets auf port 25, welche "von draußen" reinkommen, DROPpen, sofern src_ip = my_v_server.stratonet.de (12.34.56.78)

-----------------------------------
Code: 
interfaces:

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8098 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8098 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:664655 (649.0 Kb)  TX bytes:664655 (649.0 Kb)

venet0    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:127.0.0.1  P-t-P:127.0.0.1  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1
          RX packets:15689 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19757 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1041833 (1017.4 Kb)  TX bytes:16619859 (15.8 Mb)

venet0:0  Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  
          inet addr:12.34.56.78  P-t-P:12.34.56.78  Bcast:0.0.0.0  Mask:255.255.255.255
          UP BROADCAST POINTOPOINT RUNNING NOARP  MTU:1500  Metric:1

Vielleicht hat aber auch jemand anders eine bessere Idee ?
 
Last edited by a moderator:
Das "my_v_server.stratoserver.net" ist doch ein RDNS, der auf eine IP liegt.

Wenn du "my_v_server.stratoserver.net" als RDNS akzeptierst und relayen tust, dann wäre das fahrlässig.
 
mr_brain said:
Das "my_v_server.stratoserver.net" ist doch ein RDNS, der auf eine IP liegt.

Wenn du "my_v_server.stratoserver.net" als RDNS akzeptierst und relayen tust, dann wäre das fahrlässig.
Click to expand...

Ich weiß, wie ich die Symptome bei mir abstellen, d.h. die Weiterleitung der SPAMS verhindern kann. Aber das passiert erst in postfix.
Bereits mit Hilfe von iptables das Problem "an der Wurzel" zu verhindern, wäre viel effektiver.
Insofern hilfst Du mir leider nicht weiter.
 
Das sollte man auch ohne IPTABLES beheben können. Wie sehen denn folgende Postfix-Parameter aus: mynetworks_style, mynetworks und smtpd_recipient_restrictions.

PS: Bitte Code-Tags benutzen. Danke!
 
LinuxAdmin said:
Das sollte man auch ohne IPTABLES beheben können. Wie sehen denn folgende Postfix-Parameter aus: mynetworks_style, mynetworks und smtpd_recipient_restrictions.

PS: Bitte Code-Tags benutzen. Danke!
Click to expand...

Na, denn man los:

Code: 
mynetworks_style = host
mynetworks = 127.0.0.1/32
smtpd_recipient_restrictions =
#to stop SPAMS to 0.0.0.0 etc.
        check_recipient_mx_access cidr:/etc/postfix/sender_mx_access,
        reject_invalid_hostname,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
#       permit_mynetworks, falls uncommented: SPAM RELAY !
# alle Clients auth mit SASL
         permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/access
        reject_unauth_destination,
        reject_unknown_recipient_domain,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client dnsbl.sorbs.net,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client ix.dnsbl.manitu.net,
        reject_rbl_client ob.surbl.org,
        reject_non_fqdn_sender,
        reject_non_fqdn_hostname,
        check_policy_service inet:127.0.0.1:10023
 
You must log in or register to reply here.
Back
Top