Emailkonten werden für SPAM-Zwecke genutzt, Sicherheit erhöhen

#1
Hallo Leute,

ich habe seit kurzem das Problem dass meine Mailaccounts (welche auf meinem Server gehostet werden) für SPAM-Zwecke verwendet werden!

Jetzt zweifle ich ob das Problem bei den Benutzern oder an der Serverkonfiguration liegt!

Hier mal meine Konfiguration:
postfix Master.cf

smtp inet n - - - - smtpd -v
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - - - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}
dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}
amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes
127.0.0.1:10025 inet n - - - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks -o smtpd_bind_address=127.0.0.1
587 inet n - - - - smtpd

main.cf


disable_vrfy_command = yes

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no

readme_directory = /usr/share/doc/postfix

smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key

smtpd_use_tls = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

myhostname = example.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = unixmail01.example.com, DBLSR01.example.com, localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
default_recipient_limit = 10000
default_destination_recipient_limit = 200
inet_interfaces = all
message_size_limit = 50240000
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
smtp_data_done_timeout = 1200s

smtpd_sasl_type=dovecot

smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sasl_path=private/auth_dovecot
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes

proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps

smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf


smtpd_sender_restrictions = check_sender_access hash:/etc/postfix/access, reject_unknown_address, reject_non_fqdn_sender

smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,check_recipient_access hash:/etc/postfix/access,reject_unauth_destination

smtpd_client_restrictions =
check_client_access hash:/etc/postfix/access
permit_mynetworks
permit_sasl_authenticated
reject_unauth_pipelining
reject_rbl_client bl.spamcop.net
reject_rbl_client dnsbl.dronebl.org
reject_rbl_client cbl.abuseat.org
reject_rbl_client ix.dnsbl.manitu.net
reject_rbl_client combined.njabl.org
reject_rbl_client zen.spamhaus.org
reject_rbl_client t1.dnsbl.net.au


/mysql_virtual_alias_maps.cf,proxy:mysql:/etc/postfix/mysql_virtual_email2email.cf
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf,mysql:/etc/postfix/mysql_virtual_email2email.cf

virtual_mailbox_base = /home/vmail/

virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 112400000

virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 104
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

smtpd_sasl_tls_security_options = noanonymous
header_checks = regexp:/etc/postfix/header_checks


Der Header einer so einer Mail sieht folgendermassen aus:



root@MailServer:/etc/dovecot# postcat /var/spool/postfix/deferred/4/406BDE88D01
*** ENVELOPE RECORDS /var/spool/postfix/deferred/4/406BDE88D01 ***
message_size: 8166 849 1 0 7899
message_arrival_time: Wed Jun 4 15:28:41 2014
sender: noreply@mail.telekom.de
create_time: Wed Jun 4 15:28:41 2014
named_attribute: log_ident=40711E88CA5
named_attribute: rewrite_context=remote
named_attribute: sasl_method=PLAIN
named_attribute: sasl_username=benutzer@example.com
named_attribute: log_client_name=XX-XXX-XX-XX.teleworker-single-ip.xdsl-line.example.com
named_attribute: log_client_address=XX.XXX.XX.XX
named_attribute: log_client_port=57522
named_attribute: log_message_origin=XX-XxX-XX-XX.teleworker-single-ip.xdsl-line.exmple.com[XX.XXX.XX.XXX]
named_attribute: log_helo_name=knaexi-pc
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=XX-XXX-XX-XX.teleworker-single-ip.xdsl-line.example.com
named_attribute: reverse_client_name=XX-XXX-XX-XX.teleworker-single-ip.xdsl-line.example.com
named_attribute: client_address=XX.XXX.XX.XX
named_attribute: client_port=57522
named_attribute: helo_name=knaexi-pc
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;rlinter@vdn.ca
original_recipient: rlinter@vdn.ca
recipient: rlinter@vdn.ca
*** MESSAGE CONTENTS /var/spool/postfix/deferred/4/406BDE88D01 ***
Received: from knaexi-pc (XX-XX-XXX-XX.teleworker-single-ip.xdsl-line.example.com [XX.XXX.XX.XX])
(Authenticated sender: benutzer@example.com)
by example.com (Postfix) with ESMTPA id 40711E88CA5
for <rlinter@vdn.ca>; Wed, 4 Jun 2014 15:28:41 +0200 (CEST)
Date: Wed, 04 Jun 2014 15:28:41 +0200
From: noreply@mail.telekom.de
<benutzer@example.com>
To: rlinter@vdn.ca
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer happy mailing : Blat online
Message-ID: <01cf7ff8$Blat.v3.1.1$e82effb9$1178fe09fd66@example.com>
Subject: RechnungOnline Monat Mai 2014 (Buchungskonto: 1064333438)
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset="ISO-8859-1"
X-MailScanner-Information: Please contact the ISP for more information
X-MailScanner-ID: 40711E88CA5.AFE0A
X-MailScanner: Found to be clean
X-MailScanner-From: noreply@mail.telekom.de
X-Spam-Status: No


Wie kann ich die Sicherheit erhöhen damit solche SPAM-Attacken nicht passieren?

Kann mir hier wer weiter helfen ?
Falls ihr noch mehr infos braucht, bitte bescheid geben!

Danke im Voraus!

lg Sigi
 

Till

Administrator
#2
Received: from knaexi-pc (XX-XX-XXX-XX.teleworker-single-ip.xdsl-line.example.com [XX.XXX.XX.XX])
(Authenticated sender: benutzer@example.com)
Die email wurde von einem korrekt authentifizierten Benutzer Deines Servers versendet, es liegt also nicht an der Serverkonfiguration.

Wie kann ich die Sicherheit erhöhen damit solche SPAM-Attacken nicht passieren?
Das hängt davon ab, wie der Hacker an die Zugangsdaten gekommen ist. Du solltest erstmal smpts und submission port in der master.cf aktivieren. schau mal in die aktuellen perfect server anleitungen.

Des weiteren kannst Du in ispconfig unter System > Interface config die min. Passwortsicherheit für user passworte einstellen.

Dann solltest Du Deine Kunden auffordern, in Ihren Mailclients tls zu verwenden für smtp, pop3 und imap.

Wenn Du webmail anbietest, dann aktiviere dafür ssl.

Das ganze hilft aber nur, wenn die spammer das passwort über eine unsichere Verbindung wie ein Internet cafe abgegriffen haben oder das passwort zu einfach war. wenn ein rechner deines kunden gehackt wurde oder der kunde das selbe passwort überall verwendet und es der hacker woanders her hat, dann kannst Du da wenig gegen machen.
 
#3
Hallo Till,

danke für deine Antwort,.... ich vermute dass es eventuell an diesen "Rechnungen der Telekom etc." liegt,.... wenn ein User darauf klickt, hat dieser ja einen Trojaner am Rechner und schon geht die SPAM-Attacke los!

Wie gesagt das ist nur eine Vermutung!

ICh versuche mal die von dir beschriebenen Punkte einzustellen und dann mal abwarten!

Besten DAnk für deine Antwort!

lg Sigi
 

Werbung