Jump to content
Froxlor Forum
  • 0

Spam über Postfix


wwl

Question

Hallo,

ich habe zur Zeit das Problem das mir Postfix Spammails von nicht existierenden lokalen Email Adressen an aol.com sendet.

Seit Jahren hab ich vor Postfix auch ASSP im Einsatz das gut funktioniert.

 

Die angegebenen Spam Mails kommen also von innen. Das System ist aktualisiert und Sopos, ClamAV und Maldet finden nichts. WP Joomla TYPO3 sind aktuell. PHP mail() Funktion ist es nicht. Da wird nichts gesendet.

From: ZKG Medical <msg1466757620@meinedomain.de>To: dpondhog@aol.comMessage-ID: <865507253.2975317.1466757621203@meinedomain.de>

Was mich stutzig macht ist das Postfix die Email eigentlich ja gar nicht senden darf. OpenRelay ist der Server aber nicht.

 

Laut Config von Postfix sollten nur hinterlegte Email Konten senden dürfen:

 

 

###################

smtpd_recipient_restrictions = permit_mynetworks,
                             permit_sasl_authenticated,
                             reject_unauth_destination,
                             reject_unauth_pipelining,
                             reject_non_fqdn_recipient
smtpd_sender_restrictions = permit_mynetworks,
                          reject_sender_login_mismatch,
                          permit_sasl_authenticated,
                          reject_unknown_helo_hostname,
                          reject_unknown_recipient_domain,
                          reject_unknown_sender_domain
smtpd_client_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_unknown_client_hostname
 
 
# Postfix 2.10 requires this option. Postfix < 2.10 ignores this.
# The option is intentionally left empty.
smtpd_relay_restrictions =
 
# Maximum size of Message in bytes (50MB)
##message_size_limit = 524288000
## 120 MB
message_size_limit = 125829120
## SASL Auth Settings
smtp_sender_dependent_authentication = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes
## Dovecot Settings for deliver, SASL Auth and virtual transport
smtpd_sasl_type = dovecot
mailbox_command = /usr/lib/dovecot/deliver
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
smtpd_sasl_path = private/auth
 
###transport_maps = hash:/etc/postfix/transport
 
# Virtual delivery settings
virtual_mailbox_base = /home/mail/
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_alias_maps.cf
smtpd_sender_login_maps = mysql:/etc/postfix/mysql-virtual_sender_permissions.cf
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000
#######################
 
Oder prüft mein Postfix nicht ob die Sender Adresse auch in der Froxlor mail_user Datenbank drinsteht?
 
 
Könnt Ihr mir einen Tipp geben woran es noch liegen könnte
 
Besten Dank
 
Christian
Link to comment
Share on other sites

9 answers to this question

Recommended Posts

Danke für die Info!

Das mit den Spammails hatte ich auch schon. Bei uns war ein Blog infiziert. Wir konnten die infizierten Blogs daran erkennen, dass die Spammails als Absenderdomäne die Blog-Domäne hatten.

Bei Wordpress kann evtl. wordfence das schon beheben. Außerdem würde ich dir empfehlen deine Homepages mit http://sitecheck.sucuri.net/ zu scannen. Dann weißt du, ob und welche infiziert ist.

Infizierte Homepages haben z.B. Dateien, die auf .suspected enden, Dateien mit base64-Codierung, sowie irgendwelche zufälligen Dateinamen oder Dateinamen die vernünftig klingen, allerdings niemals bei einem Homepagesystem dabei sind.

Link to comment
Share on other sites

Ich muß da jetzt aber mal nachtreten:
auf einem meiner Server habe ich ein ähnliches Problem, welches ich durch simples Debugging nicht in den Griff bekomme.

Alte Büchse von Courier auf Dovecot migriert, also ohnehin alle Configs neu geschrieben.

Als Erstes hatte ich auch vermutet, daß der Webspace gehackt wurde.
Also Cleanup und dann einfach in die PHP-Config, daß er alle Mail-Aufrufe mitloggen soll.

Hm, nein, Mail nicht über die Webseite.

So, dann alle Postfächer halt das Kennwort geändert.

Nein, Spam geht noch immer raus.

 

Also im Postfix always_bcc, und dann sieht man ja, was so passiert.

Passt zum Logfile:
 

 

Aug 21 15:13:51 devil postfix/smtpd[19863]: connect from localhost.localdomain[127.0.0.1]

Aug 21 15:13:51 devil postfix/smtpd[19863]: Anonymous TLS connection established from localhost.localdomain[127.0.0.1]: TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits)
Aug 21 15:13:51 devil postfix/smtpd[19863]: 72506E80259: client=localhost.localdomain[127.0.0.1]
Aug 21 15:13:51 devil postfix/cleanup[19882]: 72506E80259: message-id=<53137529.31316353.1471785231423@domain.tld>
Aug 21 15:13:51 devil postfix/qmgr[16209]: 72506E80259: from=<no-reply@no-reply.tld>, size=1373, nrcpt=2 (queue active)
Aug 21 15:13:51 devil postfix/smtpd[19863]: disconnect from localhost.localdomain[127.0.0.1]
Aug 21 15:13:51 devil postfix/smtp[19884]: 72506E80259: to=<perikenhaundi@hotmall.com>, relay=none, delay=0.08, delays=0.07/0/0.01/0, dsn=5.4.6, status=bounced (mail for hotmall.com loops back to myself)
 

So, und die no-reply@domain.tld gibt es halt nicht.
Mich beunruhigt das localhost.localdomain, da das auf ein serverseitiges Problem deutet.
Cronjobs laufen im Hintergrund aber keine...

Link to comment
Share on other sites

Gibt es gekaperte Blogs/Webseiten bei dir? Die versenden evtl. Spam. Ist domain.tld einer deiner Domains und es gibt nur no-reply nicht oder gibt es Adresse und Domain nicht?

 

//edit: Ich sehe gerade, dass er no-reply als Domain nimmt. Das ist wirklich komisch. Ich würde anschalten, dass nur angelegte Domains über Postfix gehen dürfen. Ich weiß, dass das geht. Allerdings weiß ich nicht wie. Diese Frage kläre ich gerade hier: https://forum.froxlor.org/index.php/topic/13531-postfix-soll-nicht-vorhandene-absender-adressen-ablehnen/#entry32835

Link to comment
Share on other sites

Daß Postfix das normalerweise macht, ist klar, denn dafür gibt es ja eine Latte an Einstellungsmöglichkeiten.
Habe ich getroffen.

Das Problem ist aber, da steht localhost.localdomain -> permit_mynetworks

Die Reihenfolge ist entscheidend, denn sie wird von oben nach unten abgearbeitet.
also jede Reihe entweder permit -> wird verschickt, oder reject -> wird verworfen

Link to comment
Share on other sites

Kannst du mal deine Config posten?

Vielleicht vertraust du zu früh über permit_mynetworks?

Mit Cleanup des Webspaces meinst du, du hast alle Webseiten neu aufgesetzt? Das ist nämlich üblicherweise notwendig, falls eine Webseite gehackt wurde.

Link to comment
Share on other sites

Ich plane auch eine Verhinderung von Spam einzurichten. Daher interessiert mich, welche Maßnahmen du aktuell ergriffen hast.

Wie hast du z.B. ClamAV etc. in Froxlor integriert? Woher weiß Postfix welche E-Mail-Adressen in Froxlor hinterlegt sind?

Link to comment
Share on other sites

ClamAv braucht nicht "in Froxlor" integriert werden...das integerierst du bei den entsprechenden Diensten.

 

Postfix weiss welche E-Mail Adressen in Froxlor angelegt sind, weil es die virtual-mysql* configs nutzt um die Froxlor Datenbank abzufragen, hast du doch selbst eingerichtet :P

Link to comment
Share on other sites

Hallo, ich benutze seit Jahren auf einem Server zur Spamabwehr ASSP. Es ist ein Perl Script das noch vor Postfix als Proxy zum Einsatz kommt und den gesamten ein uns ausgehenden Email Verkehr überwacht. Sicher kann ASSP nicht mehr als auch Postfix mit diversen Modulen kann, aber für mich ist es ein Tool das mir viel Übersicht und Hilfe anbietet. 

 

Vorteile: 

- Admin Interface mit allen Informationen und Auswertungen

- Live Kontrolle vom Email Fluss

- Gute Spam Abwehr

- Über Emails anpassbar. Ich leite eine Spam Mail an spam@... weiter und dann wird sie in Zukunft abgeblockt.

- Zusammenfassung der geblockten Emails pro Konto

- ClamAV intergration

- SPF,DKIM,RBL,RWL,Greylisting, Delaying,....

- vieles mehr

 

Nachteil:

- Konfiguration ist schwierig

- Installation aufwendig

 

Ich benutze es nun schon seit Jahren und kann mich drauf einstellen was passiert. Die Ergebnisse sind sehr gut. Ich kann momentan 99,6% alle Spam Mails abblocken. Dazu verwende ich noch eine integrierte Backup Funktion die jede Mail die rein oder rausgeht für ein paar Tage weg komprimiert. Falls ein User mal was vermisst oder selber gelöscht hat.

 

Das Ding ist OpenSource und wird gut supportet.

https://sourceforge.net/projects/assp/

 

Auf einer neuen Maschine die ich gerade aufsetze werde ich noch zusätzlich Amavis einsetzen nur um mehrere Virescanner zu integrieren. Das liegt aber hauptsächlich daran das ich so erst mal Emails annehmen und danach den Virenscanner drüber laufen lasse. Durch die Proxy Bauart von ASSP passiert das dort direkt beim annehmen der Mails, was etwas dauert und die User irritiert. 

 

Christian

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...