Jump to content
Froxlor Forum
  • 0
wwl

Spam über Postfix

Question

Hallo,

ich habe zur Zeit das Problem das mir Postfix Spammails von nicht existierenden lokalen Email Adressen an aol.com sendet.

Seit Jahren hab ich vor Postfix auch ASSP im Einsatz das gut funktioniert.

 

Die angegebenen Spam Mails kommen also von innen. Das System ist aktualisiert und Sopos, ClamAV und Maldet finden nichts. WP Joomla TYPO3 sind aktuell. PHP mail() Funktion ist es nicht. Da wird nichts gesendet.

From: ZKG Medical <msg1466757620@meinedomain.de>To: dpondhog@aol.comMessage-ID: <865507253.2975317.1466757621203@meinedomain.de>

Was mich stutzig macht ist das Postfix die Email eigentlich ja gar nicht senden darf. OpenRelay ist der Server aber nicht.

 

Laut Config von Postfix sollten nur hinterlegte Email Konten senden dürfen:

 

 

###################

smtpd_recipient_restrictions = permit_mynetworks,
                             permit_sasl_authenticated,
                             reject_unauth_destination,
                             reject_unauth_pipelining,
                             reject_non_fqdn_recipient
smtpd_sender_restrictions = permit_mynetworks,
                          reject_sender_login_mismatch,
                          permit_sasl_authenticated,
                          reject_unknown_helo_hostname,
                          reject_unknown_recipient_domain,
                          reject_unknown_sender_domain
smtpd_client_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_unknown_client_hostname
 
 
# Postfix 2.10 requires this option. Postfix < 2.10 ignores this.
# The option is intentionally left empty.
smtpd_relay_restrictions =
 
# Maximum size of Message in bytes (50MB)
##message_size_limit = 524288000
## 120 MB
message_size_limit = 125829120
## SASL Auth Settings
smtp_sender_dependent_authentication = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
## Dovecot Settings for deliver, SASL Auth and virtual transport
smtpd_sasl_type = dovecot
mailbox_command = /usr/lib/dovecot/deliver
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_path = private/auth
 
###transport_maps = hash:/etc/postfix/transport
 
# Virtual delivery settings
virtual_mailbox_base = /home/mail/
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000
#######################
 
Oder prüft mein Postfix nicht ob die Sender Adresse auch in der Froxlor mail_user Datenbank drinsteht?
 
 
Könnt Ihr mir einen Tipp geben woran es noch liegen könnte
 
Besten Dank
 
Christian

Share this post


Link to post
Share on other sites

9 answers to this question

Recommended Posts

  • 0

Ich plane auch eine Verhinderung von Spam einzurichten. Daher interessiert mich, welche Maßnahmen du aktuell ergriffen hast.

Wie hast du z.B. ClamAV etc. in Froxlor integriert? Woher weiß Postfix welche E-Mail-Adressen in Froxlor hinterlegt sind?

Share this post


Link to post
Share on other sites
  • 0

ClamAv braucht nicht "in Froxlor" integriert werden...das integerierst du bei den entsprechenden Diensten.

 

Postfix weiss welche E-Mail Adressen in Froxlor angelegt sind, weil es die virtual-mysql* configs nutzt um die Froxlor Datenbank abzufragen, hast du doch selbst eingerichtet :P

Share this post


Link to post
Share on other sites
  • 0

Hallo, ich benutze seit Jahren auf einem Server zur Spamabwehr ASSP. Es ist ein Perl Script das noch vor Postfix als Proxy zum Einsatz kommt und den gesamten ein uns ausgehenden Email Verkehr überwacht. Sicher kann ASSP nicht mehr als auch Postfix mit diversen Modulen kann, aber für mich ist es ein Tool das mir viel Übersicht und Hilfe anbietet. 

 

Vorteile: 

- Admin Interface mit allen Informationen und Auswertungen

- Live Kontrolle vom Email Fluss

- Gute Spam Abwehr

- Über Emails anpassbar. Ich leite eine Spam Mail an spam@... weiter und dann wird sie in Zukunft abgeblockt.

- Zusammenfassung der geblockten Emails pro Konto

- ClamAV intergration

- SPF,DKIM,RBL,RWL,Greylisting, Delaying,....

- vieles mehr

 

Nachteil:

- Konfiguration ist schwierig

- Installation aufwendig

 

Ich benutze es nun schon seit Jahren und kann mich drauf einstellen was passiert. Die Ergebnisse sind sehr gut. Ich kann momentan 99,6% alle Spam Mails abblocken. Dazu verwende ich noch eine integrierte Backup Funktion die jede Mail die rein oder rausgeht für ein paar Tage weg komprimiert. Falls ein User mal was vermisst oder selber gelöscht hat.

 

Das Ding ist OpenSource und wird gut supportet.

https://sourceforge.net/projects/assp/

 

Auf einer neuen Maschine die ich gerade aufsetze werde ich noch zusätzlich Amavis einsetzen nur um mehrere Virescanner zu integrieren. Das liegt aber hauptsächlich daran das ich so erst mal Emails annehmen und danach den Virenscanner drüber laufen lasse. Durch die Proxy Bauart von ASSP passiert das dort direkt beim annehmen der Mails, was etwas dauert und die User irritiert. 

 

Christian

Share this post


Link to post
Share on other sites
  • 0

Danke für die Info!

Das mit den Spammails hatte ich auch schon. Bei uns war ein Blog infiziert. Wir konnten die infizierten Blogs daran erkennen, dass die Spammails als Absenderdomäne die Blog-Domäne hatten.

Bei Wordpress kann evtl. wordfence das schon beheben. Außerdem würde ich dir empfehlen deine Homepages mit http://sitecheck.sucuri.net/ zu scannen. Dann weißt du, ob und welche infiziert ist.

Infizierte Homepages haben z.B. Dateien, die auf .suspected enden, Dateien mit base64-Codierung, sowie irgendwelche zufälligen Dateinamen oder Dateinamen die vernünftig klingen, allerdings niemals bei einem Homepagesystem dabei sind.

Share this post


Link to post
Share on other sites
  • 0

Ich muß da jetzt aber mal nachtreten:
auf einem meiner Server habe ich ein ähnliches Problem, welches ich durch simples Debugging nicht in den Griff bekomme.

Alte Büchse von Courier auf Dovecot migriert, also ohnehin alle Configs neu geschrieben.

Als Erstes hatte ich auch vermutet, daß der Webspace gehackt wurde.
Also Cleanup und dann einfach in die PHP-Config, daß er alle Mail-Aufrufe mitloggen soll.

Hm, nein, Mail nicht über die Webseite.

So, dann alle Postfächer halt das Kennwort geändert.

Nein, Spam geht noch immer raus.

 

Also im Postfix always_bcc, und dann sieht man ja, was so passiert.

Passt zum Logfile:
 

 

Aug 21 15:13:51 devil postfix/smtpd[19863]: connect from localhost.localdomain[127.0.0.1]

Aug 21 15:13:51 devil postfix/smtpd[19863]: Anonymous TLS connection established from localhost.localdomain[127.0.0.1]: TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)
Aug 21 15:13:51 devil postfix/smtpd[19863]: 72506E80259: client=localhost.localdomain[127.0.0.1]
Aug 21 15:13:51 devil postfix/cleanup[19882]: 72506E80259: message-id=<53137529.31316353.1471785231423@domain.tld>
Aug 21 15:13:51 devil postfix/qmgr[16209]: 72506E80259: from=<no-reply@no-reply.tld>, size=1373, nrcpt=2 (queue active)
Aug 21 15:13:51 devil postfix/smtpd[19863]: disconnect from localhost.localdomain[127.0.0.1]
Aug 21 15:13:51 devil postfix/smtp[19884]: 72506E80259: to=<perikenhaundi@hotmall.com>, relay=none, delay=0.08, delays=0.07/0/0.01/0, dsn=5.4.6, status=bounced (mail for hotmall.com loops back to myself)
 

So, und die no-reply@domain.tld gibt es halt nicht.
Mich beunruhigt das localhost.localdomain, da das auf ein serverseitiges Problem deutet.
Cronjobs laufen im Hintergrund aber keine...

Share this post


Link to post
Share on other sites
  • 0

Gibt es gekaperte Blogs/Webseiten bei dir? Die versenden evtl. Spam. Ist domain.tld einer deiner Domains und es gibt nur no-reply nicht oder gibt es Adresse und Domain nicht?

 

//edit: Ich sehe gerade, dass er no-reply als Domain nimmt. Das ist wirklich komisch. Ich würde anschalten, dass nur angelegte Domains über Postfix gehen dürfen. Ich weiß, dass das geht. Allerdings weiß ich nicht wie. Diese Frage kläre ich gerade hier: https://forum.froxlor.org/index.php/topic/13531-postfix-soll-nicht-vorhandene-absender-adressen-ablehnen/#entry32835

Share this post


Link to post
Share on other sites
  • 0

Daß Postfix das normalerweise macht, ist klar, denn dafür gibt es ja eine Latte an Einstellungsmöglichkeiten.
Habe ich getroffen.

Das Problem ist aber, da steht localhost.localdomain -> permit_mynetworks

Die Reihenfolge ist entscheidend, denn sie wird von oben nach unten abgearbeitet.
also jede Reihe entweder permit -> wird verschickt, oder reject -> wird verworfen

Share this post


Link to post
Share on other sites
  • 0

Kannst du mal deine Config posten?

Vielleicht vertraust du zu früh über permit_mynetworks?

Mit Cleanup des Webspaces meinst du, du hast alle Webseiten neu aufgesetzt? Das ist nämlich üblicherweise notwendig, falls eine Webseite gehackt wurde.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By wittich
      Hi there,
       
      I have a little problem with my courier MDA. One of my users wants to send this mail via his outlook.com MTA but as he has registers his domain and mail address on my server, my sever rejects his mails whenever they arrived over the different MTA. How can I let courier accept mails from this different source?
       
      Hope I explained it right... and somebody has a hint for me.
       
      Regards Valentin
    • By rolo2912
      Got an email from my blacklist-monitoring service with the following content:
       
      Various sorts of open proxies. An open proxy is generally a web server that allows email sending to piggyback on a script that sends email. Dedicated Spam BOTs used to send spam. Worms/viruses that do their own direct mail transmission. Trojan-horse or "stealth" spamware.  
      Did anyone else ever experience this?
      Checked the log-files but cant find any unusual activities. Could it be that the spam is sent out "under the radar" not loged in the logfiles?
      How can I check if the webserver is an open proxy?
       
      Thank you for any advice.
       
    • By byteworkshosting
      Here some good blacklists for spam-filtering with postfix.

      In postfix?s main.cf put under section smtpd_recipient_restrictions:
      reject_rbl_client dsn.bl.rfc-ignorant.de reject_rbl_client zen.spamhaus.org reject_rbl_client ix.dnsbl.manitu.net reject_rbl_client bl.spamcop.net reject_rbl_client cbl.abuseat.org reject_rbl_client dnsbl.sorbs.net  
      ==>  Moved to byteworkshosting issue #4 on GitHub.




×
×
  • Create New...