Re: Open relay

To: debian-user-dutch@lists.debian.org
Subject: Re: Open relay
From: Geert Stappers <stappers@stappers.nl>
Date: Sat, 22 Oct 2016 00:11:26 +0200
Message-id: <[🔎] 20161021221126.GB4220@gpm.stappers.nl>
In-reply-to: <[🔎] da81742a-98c6-df53-0b01-4ff3e34d1d55@vandervlis.nl>
References: <[🔎] da81742a-98c6-df53-0b01-4ff3e34d1d55@vandervlis.nl>

On Fri, Oct 21, 2016 at 07:15:33PM +0200, Paul van der Vlis wrote:
> Hallo,
> 
> Mijn mailserver, mail.vandervlis.nl, blijkt een open relay te zijn. En
> ik snap niet hoe ze het doen. De gewone tests op een open relay zeggen
> dat hij keurig dicht is, zoals:
> http://www.mailradar.com/openrelay/
> http://mxtoolbox.com/diagnostic.aspx
> 
> Maar ik zie wel allerlei spam voorbij komen in de logs. En als ik de
> IP's waar het vandaan kom dicht zet, beginnen ze even later vanaf andere
> IP's.
> 
> Wat opvalt is dat er steeds geauthenticeerd wordt met een bepaalde
> username. Dit is geen correcte username, maar wel een correct e-mail
> adres op de server. Het deel voor de apestaart is wel een correcte
> username. Het paswoord veranderen van die username helpt niet.
> 
> Mail versturen via SMTP kan, als het goed is tenminste, alleen als je
> eerst authenticeerd en starttls gebruikt. Dit zijn de regels:
> 
> smtpd_relay_restrictions =
>   permit_mynetworks,
>   permit_sasl_authenticated,
>   check_sender_access hash:/etc/postfix/whitelist,
>   reject_invalid_hostname,
>   reject_non_fqdn_sender,
>   reject_non_fqdn_recipient,
>   reject_unknown_sender_domain,
>   reject_unknown_recipient_domain,
>   reject_unauth_pipelining,
>   reject_unauth_destination,
>   check_policy_service unix:private/shadelist,
>   reject_rbl_client bl.spamcop.net,
>   reject_rbl_client zen.spamhaus.org,
>   reject_rbl_client ix.dnsbl.manitu.net,
>   permit
> 
> Verder deze smtpd instellingen:
> 
> smtpd_tls_cert_file = /etc/postfix/tls/*.vandervlis.nl.pem
> smtpd_use_tls = yes
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_exceptions_networks = $mynetworks
> smtpd_tls_loglevel = 1
> smtpd_tls_auth_only = yes
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_tls_security_options = noanonymous
> broken_sasl_auth_clients = yes
> smtpd_sasl_authenticated_header = yes
> 
> Onderstaande zag ik in de mail.log. Het e-mail adres en de domeinnaam
> heb ik uit privacy redenen gewijzigd in piet@puk.nl. Ook de mailadressen
> waar het naartoe gaat heb ik gewijzigd.
> 
> sigmund:~# grep D34743E027B /var/log/mail.log
> Oct 21 16:54:31 sigmund postfix/smtpd[2158]: D34743E027B:
> client=unknown[94.26.41.188], sasl_method=PLAIN, sasl_username=piet@puk.nl
> Oct 21 16:54:32 sigmund postfix/cleanup[2248]: D34743E027B:
> message-id=<rslqf8e3sdpugyz0t7t2tmns.1085035368032@puk.nl>
> Oct 21 16:54:32 sigmund postfix/qmgr[2017]: D34743E027B:
> from=<piet@puk.nl>, size=638, nrcpt=5 (queue active)
> Oct 21 16:54:32 sigmund postfix/smtp[1477]: D34743E027B:
> to=<user1@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.8,
> delays=0.67/0/0/0.13, dsn=2.0.0, status=sent (250 2.0.0 from
> MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7E2E73E0294)
> <knip>
> 
> Hier het virusscan gebeuren:
> 
> sigmund:~# grep 7E2E73E0294 /var/log/mail.log
> Oct 21 16:54:32 sigmund postfix/smtpd[646]: 7E2E73E0294:
> client=localhost[127.0.0.1]
> Oct 21 16:54:32 sigmund postfix/cleanup[2189]: 7E2E73E0294:
> message-id=<rslqf8e3sdpugyz0t7t2tmns.1085035368032@puk.nl>
> Oct 21 16:54:32 sigmund postfix/qmgr[2017]: 7E2E73E0294:
> from=<piet@puk.nl>, size=985, nrcpt=5 (queue active)
> Oct 21 16:54:32 sigmund amavis[2289]: (02289-11) Passed CLEAN
> {RelayedOpenRelay}, [127.0.0.1] [94.26.41.188] <piet@puk.nl> ->
> <user1@hotmail.com>,<user2@hotmail.com>,<user3@mail.com>,<user4@yahoo.com>,<user5@yahoo.com>,
> Message-ID: <rslqf8e3sdpugyz0t7t2tmns.1085035368032@puk.nl>, mail_id:
> acDn3p5nyQp1, Hits: -, size: 638, queued_as: 7E2E73E0294, 127 ms
> Oct 21 16:54:32 sigmund postfix/smtp[1477]: D34743E027B:
> to=<user1@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.8,
> delays=0.67/0/0/0.13, dsn=2.0.0, status=sent (250 2.0.0 from
> MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7E2E73E0294)
> <knip>
> 
> Dan na het virusscannen, bijvoorbeeld:
> 
> Oct 21 16:54:35 sigmund postfix/smtp[1928]: 7E2E73E0294:
> to=<user2@hotmail.com>, relay=mx3.hotmail.com[65.55.33.119]:25, delay=3,
> delays=0.06/0/1.7/1.3, dsn=2.0.0, status=sent (250
> <rslqf8e3sdpugyz0t7t2tmns.1085035368032@puk.nl> Queued mail for delivery)
> 
> Normaal bij mij zijn gebruikersnamen als "piet", en niet iets met een
> apestaart er in.
> 
> Iemand een idee hoe ze dit doen, of hoe ik daar achter zou kunnen komen?

Ding dat ik mis, eigenlijk ding dat ik vermoed, is "mydestination".
Staat in main.cf. Als daar hotmail.com bij staat, dan heb je bestaand gedrag.


> Groet,
> Paul.


Groeten
Geert Stappers
Ook subscriber op de Postfix User ML
-- 
Leven en laten leven

Reply to:

Follow-Ups:
- Re: Open relay
  - From: Paul van der Vlis <paul@vandervlis.nl>

References:
- Open relay
  - From: Paul van der Vlis <paul@vandervlis.nl>

Prev by Date: Open relay
Next by Date: Re: Open relay
Previous by thread: Open relay
Next by thread: Re: Open relay
Index(es):
- Date
- Thread