R
roman06
Hallo,
habe ein massives Problem mit postfix. Über einen Debian 5.0 Server werden sporadisch, noch nicht massiv, Spammails versendet. Ich soll mich darum kümmern, da der Betreiber natürlich keine Ahnung hat. Ich kenne aber leider postfix auch nicht so toll. Und ich WEISS, dass das Sch... ist!!! (Alle Flames sind willkommen, aber ich suche wirklich nach einer Lösung, die nicht kill postfix heisst)
Habe versucht, alles "von aussen" zu unterbinden, postfix läuft zusammen mit policyd-weight, postfwd und postgrey. Die Anfragen von aussen werden auch schön gedroppt. Allerdings gibt es ein Problem mit localhost und ich habe keine Ahnung wie ich das lösen kann.
Auszug aus der mail.log:
Jun 21 19:17:12 xps postfix/smtpd[4195]: connect from xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/smtpd[4195]: 26B5A3E07E: client=xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/cleanup[4321]: 26B5A3E07E: message-id=<8FSFnC-7HSTBD-40@standok.xps.server.de>
Jun 21 19:17:13 xps postfix/qmgr[24704]: 26B5A3E07E: from=<ralphgareyi@geoparent.com>, size=786, nrcpt=1 (queue active)
Jun 21 19:17:13 xps postfix/smtpd[4195]: disconnect from xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/smtp[4323]: 26B5A3E07E: to=<contact@breedinginsulation.com>, relay=none, delay=0.45, delays=0.34/0/0.1/0, dsn=5.4.6, status=bounced (mail for breedinginsulation.com loops back to myself)
Jun 21 19:17:13 xps postfix/cleanup[4321]: 483573E083: message-id=<20110621171713.483573E083@xps.server.de>
Jun 21 19:17:13 xps postfix/bounce[4329]: 26B5A3E07E: sender non-delivery notification: 483573E083
Jun 21 19:17:13 xps postfix/qmgr[24704]: 483573E083: from=<>, size=2686, nrcpt=1 (queue active)
Jun 21 19:17:13 xps postfix/qmgr[24704]: 26B5A3E07E: removed
keine der Adressen liegt in der domain des Servers und der bounce produziert natürlich eine Spammail. Ich habe diese Mail noch in der queue, es ist definitv Spam. Habt ihr irgendeinen Tipp wie ich rausfinden kann, wer oder was sich da verbindet. Auf dem Server läuft Apache mit mehreren Joomla Websites.
Die Sicherheitslücke in Joomla wie unter http://www.exploit-db.com/exploits/15979/ beschrieben habe ich schon gecheckt, ist "latürnich" offen wie ein Scheunentor. Aber der Spam sieht halt dann anders aus und wenn ich das teste kommt auch kein "connect from localhost" im log. Würde das eventuell anders aussehen, wenn ein Bot das ausnutzt? Backscatter habe ich mir auch schon angesehen aber ich finde keine Lösung.
Bin für alle Tipps und Anregungen dankbar!
habe ein massives Problem mit postfix. Über einen Debian 5.0 Server werden sporadisch, noch nicht massiv, Spammails versendet. Ich soll mich darum kümmern, da der Betreiber natürlich keine Ahnung hat. Ich kenne aber leider postfix auch nicht so toll. Und ich WEISS, dass das Sch... ist!!! (Alle Flames sind willkommen, aber ich suche wirklich nach einer Lösung, die nicht kill postfix heisst)
Habe versucht, alles "von aussen" zu unterbinden, postfix läuft zusammen mit policyd-weight, postfwd und postgrey. Die Anfragen von aussen werden auch schön gedroppt. Allerdings gibt es ein Problem mit localhost und ich habe keine Ahnung wie ich das lösen kann.
Auszug aus der mail.log:
Jun 21 19:17:12 xps postfix/smtpd[4195]: connect from xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/smtpd[4195]: 26B5A3E07E: client=xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/cleanup[4321]: 26B5A3E07E: message-id=<8FSFnC-7HSTBD-40@standok.xps.server.de>
Jun 21 19:17:13 xps postfix/qmgr[24704]: 26B5A3E07E: from=<ralphgareyi@geoparent.com>, size=786, nrcpt=1 (queue active)
Jun 21 19:17:13 xps postfix/smtpd[4195]: disconnect from xps.server.de.local[127.0.0.1]
Jun 21 19:17:13 xps postfix/smtp[4323]: 26B5A3E07E: to=<contact@breedinginsulation.com>, relay=none, delay=0.45, delays=0.34/0/0.1/0, dsn=5.4.6, status=bounced (mail for breedinginsulation.com loops back to myself)
Jun 21 19:17:13 xps postfix/cleanup[4321]: 483573E083: message-id=<20110621171713.483573E083@xps.server.de>
Jun 21 19:17:13 xps postfix/bounce[4329]: 26B5A3E07E: sender non-delivery notification: 483573E083
Jun 21 19:17:13 xps postfix/qmgr[24704]: 483573E083: from=<>, size=2686, nrcpt=1 (queue active)
Jun 21 19:17:13 xps postfix/qmgr[24704]: 26B5A3E07E: removed
keine der Adressen liegt in der domain des Servers und der bounce produziert natürlich eine Spammail. Ich habe diese Mail noch in der queue, es ist definitv Spam. Habt ihr irgendeinen Tipp wie ich rausfinden kann, wer oder was sich da verbindet. Auf dem Server läuft Apache mit mehreren Joomla Websites.
Die Sicherheitslücke in Joomla wie unter http://www.exploit-db.com/exploits/15979/ beschrieben habe ich schon gecheckt, ist "latürnich" offen wie ein Scheunentor. Aber der Spam sieht halt dann anders aus und wenn ich das teste kommt auch kein "connect from localhost" im log. Würde das eventuell anders aussehen, wenn ein Bot das ausnutzt? Backscatter habe ich mir auch schon angesehen aber ich finde keine Lösung.
Bin für alle Tipps und Anregungen dankbar!
