[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: postfix open relay verhindern

Hallo Manne,

Am Monday 14 February 2011 20:56:50 schrieb Manfred Schmitt:
> Christian schrieb:
> > ich habe hier ein Problem mit meiner Postfix Kofiguration auf einem
> > debian lenny server. Seit neuestem hat der Server eine eigene Domain.
> > Seither habe ich das Gefühl, dass der Postfix auf diesem ein Open Relay
> > darstellt. [...]
> > Nun habe ich in meinen logs festgestellt, dass einige zig Mails von
> > anderen Mailservern abgelehnt wurden, weil sie aus dem dynamischen
> > IP-Bereich kommen.
>
> Hat Dein Rechner eine feste IP bzw. welcher dynamischer Bereich?
> Vielleicht Backscatter?
> http://de.wikipedia.org/wiki/Backscatter_(E-Mail)
Das kann's eigentlich nicht sein. Das wären dann ja nur Mails, die von den 
Servern zurück kommen. In meinem /var/log/syslog's steht aber drinne, dass 
postfix versucht hat Mails zu verschicken. Sind nur nicht raus gegangen, weil 
der Rechner im dynamischen Bereich (78.42.108.0/255.255.252.0) liegt.

>
> > Diese Mails habe ich nie abgeschickt und auch sonst niemand von dem
> > internen Netz aus. Sie kommen offiziell von www-data@foo.bar.
> >
> > Ich vermute, dass jemand Mails an meinen Postfix schickt, die offiziell
> > von www-data@foo.bar  (foo.bar sei meine Domain) kommen und an
> > irgendwelche Adressen gehen sollen. Oder gibt es da noch andere
> > Möglichkeiten?
>
> www-data@foobar klingt nach apache und dann vermutet man natuerlich als
> erstes ein defektes php-Skript -- zumindest wenn im mail.log zu lesen
> ist das mails gesendet wurden.
Aus meiner mail.log:

Feb 14 09:56:07 server postfix/pickup[31246]: 10596EB190: uid=33 
from=<www-data>

Feb 14 09:56:07 server postfix/cleanup[18898]: 10596EB190: 
message-id=<13074650001.33603@co-operative.co.uk>?

<snip>

Feb 14 18:50:22 server postfix/qmgr[12888]: 10596EB190: 
from=<www-data@foo.bar>, size=15053, nrcpt=1 (queue active)

Feb 14 18:50:23 server postfix/smtp[28465]: certificate verification failed 
for uk-email.com[207.44.149.66]:25: self-signed certificate

Feb 14 18:50:23 server postfix/smtp[28465]: 10596EB190: 
to=<acquires@uk-email.com>, relay=uk-email.com[207.44.149.66]:25, 
delay=34941, delays=34939/0.03/1.5/0.15, dsn=5.0.0, status=bounced (host 
uk-email.com[207.44.149.66] said: 550 no such address here" (in reply to RCPT 
TO command))

Feb 14 18:50:23 server postfix/bounce[29959]: 10596EB190: sender non-delivery 
notification: EC54AE5786

Feb 14 18:50:23 server postfix/qmgr[12888]: 10596EB190: removed


Gibt es in Apache eine Möglichkeit zu sehen, wann (und von wo aus) eine 
Funktion (mail) aufgerufen wurde?
Ich tippe mal nicht auf apache, weil die Mails, die verschickt wurden 
teilweise zurück angehängt wurden. Das waren z.T. Phisching-Mails mit Anhang; 
ich habe keine Skripte in Kombination mit Apache, die Anhäge verwalten 
könnten. Von daher eher unwahrscheinlich.

Sonst noch eine Idee?

> Gingen nun mails ueber deinen server raus oder wurden doch nur falsche
> Unzustellbarkeitsmeldungen bei Dir zugestellt?
> http://spamlinks.net/prevent-secure-relay-test.htm
>
> Und wech,
> Manne

Vielen Dank schonmal
Christian
Reply to: