Wird Spam versendet?

[LabSen]

Hallo zusammen

Ich hatte heute in meinem Postfach bei GMX auf das alle meine E-Mails Weitergeleitet werden folgende E-Mail gefunden

Von: info@labsen.com
An: info@labsen.com
Betreff:
Datum: Sat, 21. Oct 2006 13:32:57 +0200

WOW!...

email advertise like this to 8,000,000 people this week for free..

NPR: The Email Advertising Corporation

Nun in den Logs sehe ich da zimlich viele verschiedene Sachen obwohl ich sehr selten über diese Addys E-mails versende

Oct 21 13:25:03 labsen postfix/pickup[31965]: CBF00D39C008: uid=0 from=<root>
Oct 21 13:25:03 labsen postfix/cleanup[20191]: CBF00D39C008: message-id=<20061021112502.CBF00D39C008@labsen.com>
Oct 21 13:25:03 labsen postfix/pickup[31965]: 11163D39C009: uid=0 from=<root>
Oct 21 13:25:03 labsen postfix/cleanup[20191]: 11163D39C009: message-id=<20061021112502.11163D39C009@labsen.com>
Oct 21 13:25:03 labsen postfix/qmgr[19786]: CBF00D39C008: from=<root@labsen.com>, size=593, nrcpt=1 (queue active)
Oct 21 13:25:03 labsen postfix/qmgr[19786]: 11163D39C009: from=<root@labsen.com>, size=593, nrcpt=1 (queue active)
Oct 21 13:25:03 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 47229
Oct 21 13:25:03 labsen spamd[11824]: processing message <20061021112502.CBF00D39C008@labsen.com> for nobody:0.
Oct 21 13:25:03 labsen spamd[11824]: clean message (-2.4/5.0) for nobody:0 in 0.4 seconds, 708 bytes.
Oct 21 13:25:03 labsen spamd[11824]: result: . -2 - ALL_TRUSTED,AWL scantime=0.4,size=708,mid=<20061021112502.CBF00D39C008@labsen.com>,autolearn=ham
Oct 21 13:25:03 labsen postfix/local[20211]: CBF00D39C008: to=<root@labsen.com>, orig_to=<root>, relay=local, delay=1, status=sent (delivered to command: procmail)
Oct 21 13:25:03 labsen postfix/qmgr[19786]: CBF00D39C008: removed
Oct 21 13:25:03 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 47230
Oct 21 13:25:03 labsen spamd[11824]: processing message <20061021112502.11163D39C009@labsen.com> for nobody:0.
Oct 21 13:25:03 labsen spamd[11824]: clean message (-2.4/5.0) for nobody:0 in 0.3 seconds, 708 bytes.
Oct 21 13:25:03 labsen spamd[11824]: result: . -2 - ALL_TRUSTED,AWL scantime=0.3,size=708,mid=<20061021112502.11163D39C009@labsen.com>,autolearn=ham
Oct 21 13:25:03 labsen postfix/local[20213]: 11163D39C009: to=<root@labsen.com>, orig_to=<root>, relay=local, delay=1, status=sent (delivered to command: procmail)
Oct 21 13:25:03 labsen postfix/qmgr[19786]: 11163D39C009: removed
Oct 21 13:32:45 labsen postfix/smtpd[28322]: connect from unknown[81.12.8.235]
Oct 21 13:32:57 labsen postfix/trivial-rewrite[28651]: warning: do not list domain labsen.com in BOTH mydestination and virtual_alias_domains
Oct 21 13:32:57 labsen postfix/smtpd[28322]: DD43FD39C008: client=unknown[81.12.8.235]
Oct 21 13:33:11 labsen postfix/cleanup[28655]: DD43FD39C008: message-id=<20061021113257.DD43FD39C008@labsen.com>
Oct 21 13:33:11 labsen postfix/qmgr[19786]: DD43FD39C008: from=<info@labsen.com>, size=689, nrcpt=1 (queue active)
Oct 21 13:33:11 labsen postfix/trivial-rewrite[28651]: warning: do not list domain labsen.com in BOTH mydestination and virtual_alias_domains
Oct 21 13:33:11 labsen postfix/trivial-rewrite[28651]: warning: do not list domain labsen.com in BOTH mydestination and virtual_alias_domains
Oct 21 13:33:11 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 50388
Oct 21 13:33:11 labsen spamd[11824]: processing message <20061021113257.DD43FD39C008@labsen.com> for web2p1:0.
Oct 21 13:33:11 labsen spamd[11824]: clean message (2.7/5.0) for web2p1:0 in 0.3 seconds, 815 bytes.
Oct 21 13:33:11 labsen spamd[11824]: result: . 2 - MISSING_SUBJECT,MSGID_FROM_MTA_ID,NO_REAL_NAME scantime=0.3,size=815,mid=<20061021113257.DD43FD39C008@labsen.com>,autolearn=no
Oct 21 13:33:11 labsen postfix/local[30017]: DD43FD39C008: to=<web2p1@labsen.com>, orig_to=<info@labsen.com>, relay=local, delay=14, status=sent (delivered to command: procmail)
Oct 21 13:33:11 labsen postfix/cleanup[28655]: CBB1AD39C009: message-id=<20061021113257.DD43FD39C008@labsen.com>
Oct 21 13:33:11 labsen postfix/local[30017]: DD43FD39C008: to=<confixx-du-7@labsen.com>, orig_to=<info@labsen.com>, relay=local, delay=14, status=sent (forwarded as CBB1AD39C009)
Oct 21 13:33:11 labsen postfix/qmgr[19786]: DD43FD39C008: removed
Oct 21 13:33:11 labsen postfix/qmgr[19786]: CBB1AD39C009: from=<info@labsen.com>, size=821, nrcpt=1 (queue active)
Oct 21 13:33:12 labsen postfix/smtp[30030]: CBB1AD39C009: to=<labsen@gmx.net>, orig_to=<info@labsen.com>, relay=mx0.gmx.de[213.165.64.100], delay=1, status=sent (250 2.6.0 Message accepted {mx064})
Oct 21 13:33:12 labsen postfix/qmgr[19786]: CBB1AD39C009: removed
Oct 21 13:33:48 labsen postfix/smtpd[28322]: disconnect from unknown[81.12.8.235]
Oct 21 14:25:02 labsen postfix/pickup[31965]: CEDB4D39C008: uid=0 from=<root>
Oct 21 14:25:02 labsen postfix/cleanup[9747]: CEDB4D39C008: message-id=<20061021122502.CEDB4D39C008@labsen.com>
Oct 21 14:25:02 labsen postfix/qmgr[19786]: CEDB4D39C008: from=<root@labsen.com>, size=593, nrcpt=1 (queue active)
Oct 21 14:25:02 labsen postfix/pickup[31965]: D72A7D39C009: uid=0 from=<root>
Oct 21 14:25:02 labsen postfix/trivial-rewrite[9748]: warning: do not list domain labsen.com in BOTH mydestination and virtual_alias_domains
Oct 21 14:25:02 labsen postfix/cleanup[9747]: D72A7D39C009: message-id=<20061021122502.D72A7D39C009@labsen.com>
Oct 21 14:25:02 labsen postfix/qmgr[19786]: D72A7D39C009: from=<root@labsen.com>, size=593, nrcpt=1 (queue active)
Oct 21 14:25:02 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 42388
Oct 21 14:25:02 labsen spamd[11824]: processing message <20061021122502.CEDB4D39C008@labsen.com> for nobody:0.
Oct 21 14:25:03 labsen spamd[11824]: clean message (-2.4/5.0) for nobody:0 in 0.2 seconds, 708 bytes.
Oct 21 14:25:03 labsen spamd[11824]: result: . -2 - ALL_TRUSTED,AWL scantime=0.2,size=708,mid=<20061021122502.CEDB4D39C008@labsen.com>,autolearn=ham
Oct 21 14:25:03 labsen postfix/local[9750]: CEDB4D39C008: to=<root@labsen.com>, orig_to=<root>, relay=local, delay=1, status=sent (delivered to command: procmail)
Oct 21 14:25:03 labsen postfix/qmgr[19786]: CEDB4D39C008: removed
Oct 21 14:25:03 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 42389
Oct 21 14:25:03 labsen spamd[11824]: processing message <20061021122502.D72A7D39C009@labsen.com> for nobody:0.
Oct 21 14:25:03 labsen spamd[11824]: clean message (-2.4/5.0) for nobody:0 in 0.1 seconds, 708 bytes.
Oct 21 14:25:03 labsen spamd[11824]: result: . -2 - ALL_TRUSTED,AWL scantime=0.1,size=708,mid=<20061021122502.D72A7D39C009@labsen.com>,autolearn=ham
Oct 21 14:25:03 labsen postfix/local[9751]: D72A7D39C009: to=<root@labsen.com>, orig_to=<root>, relay=local, delay=1, status=sent (delivered to command: procmail)
Oct 21 14:25:03 labsen postfix/qmgr[19786]: D72A7D39C009: removed
Oct 21 15:25:03 labsen postfix/pickup[11512]: 7D6BFD39C008: uid=0 from=<root>
Oct 21 15:25:03 labsen postfix/cleanup[5716]: 7D6BFD39C008: message-id=<20061021132503.7D6BFD39C008@labsen.com>
Oct 21 15:25:03 labsen postfix/qmgr[19786]: 7D6BFD39C008: from=<root@labsen.com>, size=593, nrcpt=1 (queue active)
Oct 21 15:25:03 labsen postfix/pickup[11512]: 9CB4FD39C009: uid=0 from=<root>
Oct 21 15:25:04 labsen postfix/cleanup[5716]: 9CB4FD39C009: message-id=<20061021132503.9CB4FD39C009@labsen.com>
Oct 21 15:25:04 labsen postfix/qmgr[19786]: 9CB4FD39C009: from=<root@labsen.com>, size=593, nrcpt=1 (queue active)
Oct 21 15:25:04 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 53730
Oct 21 15:25:04 labsen spamd[11824]: processing message <20061021132503.7D6BFD39C008@labsen.com> for nobody:0.
Oct 21 15:25:04 labsen spamd[11824]: clean message (-2.4/5.0) for nobody:0 in 0.7 seconds, 708 bytes.
Oct 21 15:25:04 labsen spamd[11824]: result: . -2 - ALL_TRUSTED,AWL scantime=0.7,size=708,mid=<20061021132503.7D6BFD39C008@labsen.com>,autolearn=ham
Oct 21 15:25:04 labsen postfix/local[5736]: 7D6BFD39C008: to=<root@labsen.com>, orig_to=<root>, relay=local, delay=1, status=sent (delivered to command: procmail)
Oct 21 15:25:04 labsen postfix/qmgr[19786]: 7D6BFD39C008: removed
Oct 21 15:25:04 labsen spamd[11824]: connection from labsen.com [127.0.0.1] at port 53731
Oct 21 15:25:04 labsen spamd[11824]: processing message <20061021132503.9CB4FD39C009@labsen.com> for nobody:0.
Oct 21 15:25:05 labsen spamd[11824]: clean message (-2.4/5.0) for nobody:0 in 0.2 seconds, 708 bytes.
Oct 21 15:25:05 labsen spamd[11824]: result: . -2 - ALL_TRUSTED,AWL scantime=0.2,size=708,mid=<20061021132503.9CB4FD39C009@labsen.com>,autolearn=ham
Oct 21 15:25:05 labsen postfix/local[5738]: 9CB4FD39C009: to=<root@labsen.com>, orig_to=<root>, relay=local, delay=2, status=sent (delivered to command: procmail)
Oct 21 15:25:05 labsen postfix/qmgr[19786]: 9CB4FD39C009: removed
Oct 21 15:27:19 labsen postfix/smtpd[23592]: connect from 59-105-7-31.adsl.dynamic.seed.net.tw[59.105.7.31]
Oct 21 15:27:20 labsen postfix/smtpd[23592]: warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
Oct 21 15:27:20 labsen postfix/smtpd[23592]: NOQUEUE: reject: RCPT from 59-105-7-31.adsl.dynamic.seed.net.tw[59.105.7.31]: 554 <toxxx@mail2000.com.tw>: Recipient address rejected: Relay access denied; from=<zzz@mail2000.com.tw> to=<toxxx@mail2000.com.tw> proto=SMTP helo=<85.119.158.130>
Oct 21 15:27:20 labsen postfix/smtpd[23592]: warning: restriction `reject_unauth_destination' after `check_relay_domains' is ignored
Oct 21 15:27:21 labsen postfix/smtpd[23592]: lost connection after RCPT from 59-105-7-31.adsl.dynamic.seed.net.tw[59.105.7.31]
Oct 21 15:27:21 labsen postfix/smtpd[23592]: disconnect from 59-105-7-31.adsl.dynamic.seed.net.tw[59.105.7.31]

Ich habe jetzt einfach mal alle Passwörter zu den E-mailacc geändert. Denke aber nicht das es was nützt wenn da ein profi am Werk ist.

 

[charli]

Hallo,

Von: info@labsen.com
An: info@labsen.com

der Spammer verbindet mit seinem Spammaschine (z.B. gehackter Server oder PC an DSL) direkt mit Deinem Server. Da die Zieladresse auf deinem Server existiert wird die Mail angenommen. Als Absenderadresse wird Deine eigene reingesetzt falls Du den Absender irgendwie prüfst, die eigene Adresse wird bei der Prüfung natürlich akzeptiert. Der Trick ist zur Zeit gängig und ist kein Zeichen für einen unsicheren Server.

Abhilfe: info@ deaktivieren falls man darauf verzichten kann, insbesondere CatchAll deaktivieren.

RCPT from 59-105-7-31.adsl.dynamic.seed.net.tw[59.105.7.31]: 554 <toxxx@mail2000.com.tw>: Recipient address rejected: Relay access denied; from=<zzz@mail2000.com.tw> to=<toxxx@mail2000.com.tw>

Hier wurde versucht, Spam an einen anderen Server zu versenden, Dein Server hat abgelehnt.

Allerdings hast Du zwei Konfigurationsfehler:

warning: support for restriction "check_relay_domains" will be removed from Postfix; use "reject_unauth_destination" instead
warning: restriction `reject_unauth_destination' after `check_relay_domains' is ignored

Da steht ein überflüssiges check_relay_domains in der main.cf.

warning: do not list domain labsen.com in BOTH mydestination and virtual_alias_domains

Als Mydestination muß eine Subdomain eingetragen sein, unter welcher keine Emailadressen betrieben werden, sonst ist es nicht möglich, verschiedene Adressen @labsen.com in verschiedene Postfächer zu leiten. Geeignet ist z.B. mx.labsen.com, die Subdomain zusätzlich in /etc/hosts eintragen.

Mit den Mailpasswörtern hat das Problem nix zu tun.

Bei jedem Zweifel an der Sicherheit des Mailservers Mail relay testing testen lassen, und nach jeder Änderung in der main.cf Mailverkehr sorrgfältig prüfen und paar Tage die Maillogs besonders sorgfältig kontrollieren (ob wirklich nix abgewiesen wird was nicht abgewiesen werden soll).

 

[LabSen]

Hallo,


der Spammer verbindet mit seinem Spammaschine (z.B. gehackter Server oder PC an DSL) direkt mit Deinem Server. Da die Zieladresse auf deinem Server existiert wird die Mail angenommen. Als Absenderadresse wird Deine eigene reingesetzt falls Du den Absender irgendwie prüfst, die eigene Adresse wird bei der Prüfung natürlich akzeptiert. Der Trick ist zur Zeit gängig und ist kein Zeichen für einen unsicheren Server.

Heisst das jetzt mein Server wurde gehackt oder das er Sicher ist?

Abhilfe: info@ deaktivieren falls man darauf verzichten kann, insbesondere CatchAll deaktivieren.

Ok werde meine info@ Domains löschen und andere erstellen, oder muss da noch mehr gemacht werden?

Allerdings hast Du zwei Konfigurationsfehler:

Ich werde mir das mal genauer anschauen.

Bei jedem Zweifel an der Sicherheit des Mailservers Mail relay testing testen lassen, und nach jeder Änderung in der main.cf Mailverkehr sorrgfältig prüfen und paar Tage die Maillogs besonders sorgfältig kontrollieren (ob wirklich nix abgewiesen wird was nicht abgewiesen werden soll).

Ok werde ich mir mal anschauen.

 

[charli]

Hallo,

die besprochenen Spammails sind kein Zeichen für einen gehackten oder unsicheren Server.

info@ löschen macht natürlich nur Sinn, wenn auch ein eventuell vorhandener CatchAll (*@) gelöscht wird.

 

[LabSen]

Hallo,

die besprochenen Spammails sind kein Zeichen für einen gehackten oder unsicheren Server.

info@ löschen macht natürlich nur Sinn, wenn auch ein eventuell vorhandener CatchAll (*@) gelöscht wird.

CatchAll Addys wurden sowiso nie angelegt.

Der Mail relay Test gab aus "All tests performed, no relays accepted." Also denke ich das alles gut ist.