Windows Mailserver Spammissbrauch

[Bill Gates]

Hallo Leute,

Ich wurde vom Hosteurope Support darauf hingewiesen das von
meinem Server Spam versendet wird also schaute ich mir das ganze mal an
und sah das es verdammt viele Zugriffe auf den SMTP Server gab (Bild Anhang)

Dies sendete mir Hosteurope anbei:

> [ SpamCop V4.6.0.031 ]
>  This message is brief for your comfort.  Please use links below for details.
>  
>  Email from 83.169.10.223 / Thu, 10 Jun 2010 21:53:25 -0700
>  [URL]http://www.spamcop.net/w3m?i=z5005856389zafb2466414c1f8330f3dbb0c7e3445cfz[/URL]
>  
>  [ Offending message ]
>  Return-Path: <andrew_nospam+caf_=andrewrump=spamcop.net@rump.dk>
>  Delivered-To: [EMAIL="spamcop-net-andrewrump@spamcop.net"]spamcop-net-andrewrump@spamcop.net[/EMAIL]
>  Received: (qmail 20185 invoked from network); 11 Jun 2010 04:53:28 -0000
>  X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on filter7
>  X-Spam-Level: *******************************
>  X-Spam-Status: hits=31.7 tests=DATE_IN_FUTURE_96_XX,FH_FAKE_RCVD_LINE,
>          FROM_ILLEGAL_CHARS,HTML_FONT_SIZE_LARGE,HTML_MESSAGE,MIME_BOUND_DD_DIGITS,
>          MIME_HTML_ONLY,MIME_HTML_ONLY_MULTI,MIME_QP_LONG_LINE,MISSING_MIMEOLE,
>          MPART_ALT_DIFF,RCVD_DOUBLE_IP_SPAM,SUBJECT_NEEDS_ENCODING,SUBJ_ILLEGAL_CHARS,
>          TRACKER_ID,TVD_SPACE_RATIO,UPPERCASE_50_75 version=3.2.4
>  Received: from unknown (192.168.1.88)
>    by filter7.cesmail.net with QMQP; 11 Jun 2010 04:53:28 -0000
>  Received: from mail-bw0-f48.google.com (209.85.214.48)
>    by mxin1.cesmail.net with SMTP; 11 Jun 2010 04:55:44 -0000
>  Received: by bwz5 with SMTP id 5so205027bwz.21
>          for <andrewrump@spamcop.net>; Thu, 10 Jun 2010 21:53:27 -0700 (PDT)
>  Received: by 10.204.139.218 with SMTP id f26mr846208bku.180.1276232006808;
>          Thu, 10 Jun 2010 21:53:26 -0700 (PDT)
>  X-Forwarded-To: [EMAIL="andrewrump@gmail.com"]andrewrump@gmail.com[/EMAIL], [EMAIL="andrewrump@spamcop.net"]andrewrump@spamcop.net[/EMAIL]
>  X-Forwarded-For: [EMAIL="andrew_nospam@rump.dk"]andrew_nospam@rump.dk[/EMAIL] [EMAIL="andrewrump@gmail.com"]andrewrump@gmail.com[/EMAIL], [EMAIL="andrewrump@spamcop.net"]andrewrump@spamcop.net[/EMAIL]
>  Delivered-To: [EMAIL="setiathome@rump.dk"]setiathome@rump.dk[/EMAIL]
>  Received: by 10.204.118.130 with SMTP id v2cs151177bkq;
>          Thu, 10 Jun 2010 21:53:26 -0700 (PDT)
>  Received: by 10.223.99.78 with SMTP id t14mr1202780fan.85.1276232006008;
>          Thu, 10 Jun 2010 21:53:26 -0700 (PDT)
>  Return-Path: <lclei@ms69.hinet.net>
>  Received: from CT28322 (wvps83-169-10-223.dedicated.hosteurope.de [83.169.10.223])
>          by mx.google.com with ESMTP id c1si1440223fak.96.2010.06.10.21.52.55;
>          Thu, 10 Jun 2010 21:53:25 -0700 (PDT)
>  Received-SPF: neutral (google.com: 83.169.10.223 is neither permitted nor denied by domain of [EMAIL="lclei@ms69.hinet.net"]lclei@ms69.hinet.net[/EMAIL]) client-ip=83.169.10.223;
>  Authentication-Results: mx.google.com; spf=neutral (google.com: 83.169.10.223 is neither permitted nor denied by domain of [EMAIL="lclei@ms69.hinet.net"]lclei@ms69.hinet.net[/EMAIL]) smtp.mail=lclei@ms69.hinet.net
>  Received: from wircli5-28.ica-net.it ([81.30.5.28]) by CT28322 with Microsoft SMTPSVC(6.0.3790.3959);
>           Fri, 11 Jun 2010 04:48:01 +0200
>  Received: from 192.72.224.150 by 81.30.5.28; Wed, 16 Jun 2010 01:43:24 -0100
>  Message-ID: <IOVBROTDXMDQOZGOVWQBDOVD.FHNPXUlclei@ms69.hinet.net>
>  From: "¯Ê¿ú¯Ê¸êª÷¥Í·NÃø°µ¡A¥¢¥h¤j¦n¾÷·|" <lclei@ms69.hinet.net>
>  To: [EMAIL="sh6199@ms51.hinet.net"]sh6199@ms51.hinet.net[/EMAIL]
>  Subject: °·«O¥d¼v¥»¥i ɲ{ª÷10¸U¤º
>  Date: Wed, 16 Jun 2010 05:43:24 +0300
>  X-Mailer: AOL 7.0 for Windows US sub 118
>  MIME-Version: 1.0
>  Content-Type: multipart/alternative;
>          boundary="--83085742866909786364"
>  X-Priority: 3
>  X-MSMail-Priority: Normal
>  Return-Path: [EMAIL="lclei@ms69.hinet.net"]lclei@ms69.hinet.net[/EMAIL]
>  X-OriginalArrivalTime: 11 Jun 2010 02:48:02.0120 (UTC) FILETIME=[82592C80:01CB0910]
>  X-SpamCop-Checked: 
>  X-SpamCop-Disposition: Blocked SpamAssassin=31
>  
>  ----83085742866909786364
>  Content-Type: text/html;
>  Content-Transfer-Encoding: quoted-printable
>  
>  <html>
>  <body>
>  <p><font color=3D"#FFFFFF">g5b5erMytN0GXmRt7ALcYJi9lx9aaA7b </font></p>
>  <p><font size=3D"6" color=3D"#FF0000">=A5=FE=A5x=A4f=B8O=B2=C4=A4@=A6W=A1I=
>  <br>
>  =A4Q=B8U=A4=B8=A4=BA=B0=A8=A4W=A8=D3=B9q=B0=A8=A4W=AD=C9=B1M=BDu</font><br=
>  >
>  <br>
>  <font size=3D"5" color=3D"#0000FF">=BB=C8=A6=E6=ABB=A4=D1=A6=AC=B3=CA,=A7=DA=
>  =AD=CC=B3=B7=A4=A4=B0e=AC=B4 <br>
>  =AD=D3=A4H=A4=E1=A1A=A4p=A4=BD=A5q=C0=E7=B9B=B6g=C2=E0=AA=F7=A1B=AEa=AEx=C1=
>  ~=A4=F4=A4=A3=B0=F7=A5=CE=A1A=C1{=AE=C9=AB=E6=A5=CE=BD=D5=A8S=BF=FA=B6=DC?=
>   <br>
>  =A7K=A9=E3=ABO=A1B=A7K=A4=E2=C4=F2=B6O=A1B=BB=B4=C3P=AD=C9=A1B=A8=B3=B3t=B8=
>  =D1=A8M=B1z=B8=EA=AA=F7=A4W=A7x=C3=F8 <br>
>  =A5=CE=B4X=A4=D1=BA=E2=B4X=A4=D1=A1A=A4=A3=A5=CE=AC=DD=A4H=C1y=A6=E2=A1A30=
>  =A4=C0=C4=C1=B2{=AA=F7=B0e=A8=EC=B1z=A4=E2=A4W <br>
>  =B1M=A4H=AAA=B0=C8=A1B=A4=A3=A5=B2=B6=D7=B4=DA=A1B=A7K=A8=FC=C4F=A1B=C5w=AA=
>  =EF=A8=D3=B9q </font></p>
>  <p><b><font size=3D"5" color=3D"#008000">=A7K=A9=E3=A1B=A7K=ABO=A1B=B8=DB=AB=
>  H=ABO=B1K=A1B=A5i=A4=C0=B4=C1 =A5=F8=B7~=A1A=A4=BD=A5q=A1A=ADt=B3d=A4H=AF=CA=
>  =B6g=C2=E0=AA=F7=A7=E4=A7=DA(=AD=AD=A6=B3=C1=D9=B4=DA=AF=E0=A4O=AA=CC)=A1B=
>  </font></b></p>
>  <p><b><font size=3D"5" color=3D"#008000">=AA=D1=B2=BC=A5=E6=B3=CE=A5N=B9=D4=
>  =B4=DA =A5=F8=B7~=B5u=A4=A4=AA=F8=B4=C1=A9P=C2=E0=AA=F7=A1BL/C=A1B=AD=EC=AE=
>  =C6=A1B=BE=F7=BE=B9=B3]=B3=C6=A1B=A9=D0=A6a=B2=A3=B5=A5=A1B</font></b></p>=
>  
>  <p><b><font size=3D"5" color=3D"#008000">=A7K=A9=E3=A1B=A7K=ABO=A1B=B8=DB=AB=
>  H=ABO=B1K=A1B=A5i=A4=C0=B4=C1 =ADt=B3d=A4H.=A5=F8=B7~=A5D.=A5=F8=B7~=B6U=B4=
>  =DA=A1B</font></b></p>
>  <p><br>
>  <font color=3D"#FF9933" size=3D"6">&lt;&lt;&lt;=A4j=A5x=A5_=BF=A4=A5=AB=A1=
>  B=B0=F2=B6=A9=A1B=AE=E7=B6=E9=A1B=B7s=A6=CB=A5H=A5_=BD=D0=BC=B7 &gt;&gt;&g=
>  t; <br>
>  =A2=AF=A2=B8=A2=B2=A2=B7=A1=D0=A2=B1=A2=B8=A2=B7=A1=D0=A2=AF=A2=B3=A2=B8 =AA=
>  L=A5N=AE=D1 </font></p>
>  <p><font color=3D"#FFFFFF">f4amR6OviMTCtIKBmCZqOnOmG1H5cd </font></p>
>  </body>
>  </html>
>  
>  ----83085742866909786364--

Ich hoffe ihr wisst was ich machen kann
damit dieser Spamversand aufhört.

Den SMTP sowie POP 3 Service habe ich bereits abgeschaltet damit
der Spamversand gestoppt wird und ich keinen Stress mit Hosteurope bekomme.

MFG, Bill Gates

 

[d4f]

Wie wurden die Emails versand?
Lief der SMTP als OpenRelay oder wurden die Zugangsdaten eines Benutzers missbraucht um die Spamflut zu schicken?

BIst du sicher dass der Spam aufgehoert hat? (Mit ActivePorts beispielsweise die Aktivitaet auf Port 25 (Remote) beobachten; des oefteren wird der Versand auch ueber Webspace-Anwendungen (CGI, PHP, ...) gleichzeitig oder als Fallback versand. Die SPammer wollen doch ihre Milchkuehe nicht so schnell verlieren...

 

[Whistler]

Received: from wircli5-28.ica-net.it ([81.30.5.28]) by CT28322 with Microsoft SMTPSVC(6.0.3790.3959); Fri, 11 Jun 2010 04:48:01 +0200

Was sagt das Protokoll zu diesem Zeitpunkt? Sieht mach offenem Relay aus.

 

[traced]

Am besten Port 25 nach aussen dicht machen bis Du weisst was los ist.

Grüsse

 

[Bill Gates]

Aber wie mache ich das dicht ?

 

[d4f]

Ueber die Firewall? Eigehende und ausgehende Verbindungen auf Port25 sperren

 

[Bill Gates]

Die Firewall ist wie üblich beim VServer ausgeschaltet

 

[voodoo44]

Und anschalten ist unmöglich? ^^"

 

[Bill Gates]

Nein, aber bei VServern ist eine Firewall sinnlos

 

[voodoo44]

Wenn du jetzt noch verrätst, warum sie das sein sollte ... ?
Haste nicht grad 'ne Anwendung dafür gefunden?

 

[M-X]

Sinnlos? Oo Ich sehe da ist ein Server Profi am Werk.

Mach mal die Firewall an und Block den Port 25 und schon sollte erstmal kein Spam mehr versendet werden.

 

[vb-server]

und verpetz die IP's, welche spammen.

 

[Bill Gates]

Das Problem wenn ich die Firewall anschalte wird mein FTP Server geblockt und ich weiss ned wie ich den konfiguriere dafür

 

[voodoo44]

Du könntest den FTP-Port freigeben ...

Und du bist dir ganz sicher, dass du so einen Server administrieren kannst?

 

[vb-server]

Wenn das mein Server wäre würde entweder die komplette Mailfunktion löschen oder den Server neu machen. Wenn du Mail mit deiner Domain brauchst, lass das von einem externen Anbieter machen. zB Google oder Microsoft bieten das an.

Dann aktivierst du die Firewall und lässt NUR das durch was du brauchst (80,21,3389).


Auf meinem vServer (ubuntu 8.04LTS) setze ich genau aus diesem Grund keinen Mailserver ein. Die Gefahr ist mir zu gross, dass gespammt wird. Leider hatte ich bis jetzt noch nie einen Windows vServer und kann dir nicht sagen, wie du die Firewall konfigurieren musst. Mein vServer wird mit OpenVCP virtualisiert. Dort kann man 2 Firewall-Regeln anlegen:

Protokoll Quell-IP Ziel-IP Quell-Port Ziel-Port Aktion
TCP * * * 80 erlauben
TCP * * * * verweigern



das wars dann schon mit der Firewall-Config, ausser 80 ist alles dicht.

gruss vb-server

 

[M-X]

Is zwar schon ausgeleiert aber immer wieder zutreffend (Leider)

Kündige das Ding schleunigst bevor da noch was schlimmeres passiert!

Oder such dir jemanden der das alles sicher für dich einstellen kann. Da du augenscheinlich nicht genug wissen auf dem Bereich Windows Administration hast!

 

[voodoo44]

Oder such dir jemanden der das alles sicher für dich einstellen kann. Da du augenscheinlich nicht genug wissen auf dem Bereich Windows Administration hast!

Hier scheitert es aber nichtmal an der praktischen Umsetzung an sich, sondern schon an dem Verständnis für Administration ...