Seltsames Verhalten bei Postfix/ E-mails

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Germanius, 24. Juli 2014.

  1. Germanius

    Germanius New Member

    Hi,

    eben war meine Queue komplett mit MAILER-DEAMON Nachrichten blockiert, die alle an ein und dieselbe Mailadresse auf meinem Server addressiert waren. Daraufhin habe ich Passwort etc von dem Postfach geändert und die Queue geleert, jedoch ohne Erfolg. Habe vermutet von der Adresse wird es versendet.
    Jetzt habe ich die Mailbox gelöscht und es scheint ruhig zu sein. Allerdings finde ich im Mailprotokoll unzählige im sekundentakt Einträge:
    Code:
    Jul 24 11:39:52 s1 postfix/smtpd[11388]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:52 s1 postfix/smtpd[11412]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:52 s1 postfix/smtpd[11388]: NOQUEUE: reject: RCPT from ha2.spk.nl.netrouting.net[37.46.194.144]: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from=<> to= proto=ESMTP helo=
    Jul 24 11:39:52 s1 postfix/smtpd[11388]: lost connection after RSET from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:52 s1 postfix/smtpd[11388]: disconnect from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:52 s1 postfix/smtpd[11412]: NOQUEUE: reject: RCPT from ha2.spk.nl.netrouting.net[37.46.194.144]: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from=<> to= proto=ESMTP helo=
    Jul 24 11:39:52 s1 postfix/smtpd[11412]: lost connection after RSET from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:52 s1 postfix/smtpd[11412]: disconnect from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:53 s1 postfix/smtpd[11419]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
    Jul 24 11:39:53 s1 postfix/smtpd[11388]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
    Eine Idee was hier nicht stimmt?
     
  2. Till

    Till Administrator

    Was stand denn genau in den Nachrichten drin?

    Es kann z.B. sein dass ein Spammer die Adresse dieser mailbox als Absender verwendet hat, ohne über dic zu versenden. Du erhältst in dem Fall nur alle unzustellbar Nachrichten.
     
  3. Germanius

    Germanius New Member

    Das glaube ich nicht, denn in der Mail sieht es so aus, als ob der Spammer ein existierendes Postfach nutzt, soweit ich das verstehe:

    Code:
    *** ENVELOPE RECORDS active/39C5B13A9AFE ***
    message_size:             734             775               1               0             734
    message_arrival_time: Wed Jul 30 19:33:09 2014
    create_time: Wed Jul 30 19:33:09 2014
    content_filter: amavis:[127.0.0.1]:10024
    named_attribute: rewrite_context=remote
    named_attribute: sasl_method=LOGIN
    named_attribute: sasl_username=info@existierendedomainaufserver.net
    sender: lub@existierendedomainaufserver.net
    named_attribute: log_client_name=unknown
    named_attribute: log_client_address=46.191.140.49
    named_attribute: log_client_port=3759
    named_attribute: log_message_origin=unknown[46.191.140.49]
    named_attribute: log_helo_name=[192.168.1.3]
    named_attribute: log_protocol_name=ESMTP
    named_attribute: client_name=unknown
    named_attribute: reverse_client_name=46.191.140.49.dynamic.ufanet.ru
    named_attribute: client_address=46.191.140.49
    named_attribute: client_port=3759
    named_attribute: helo_name=[192.168.1.3]
    named_attribute: protocol_name=ESMTP
    named_attribute: client_address_type=2
    named_attribute: dsn_orig_rcpt=rfc822;abcd@xyz.de
    original_recipient: abcd@xyz.de
    recipient: abcd@xyz.de
    *** MESSAGE CONTENTS active/39C5B13A9AFE ***
    Received: from [192.168.1.3] (unknown [46.191.140.49])
            (Authenticated sender: info@existierendedomainaufserver.net)
            by s1.meinserver.de (Postfix) with ESMTPA id 39C5B13A9AFE
            for <abcd@xyz.de>; Wed, 30 Jul 2014 19:33:09 +0200 (CEST)
    Subject:
    From: Lub <lub@existierendedomainaufserver.net>
    Content-Type: text/plain;
            charset=utf-8
    X-Mailer: iPhone Mail (10B146)
    Message-Id: <D3426F0E-90B0-97F9-B7FF-9D9FD70A002B@existierendedomainaufserver.net>
    Date: Wed, 30 Jul 2014 18:13:03 -0700
    To: "abcd@xyz.de" <abcd@xyz.de>
    Content-Transfer-Encoding: quoted-printable
    Mime-Version: 1.0 (1.0)
    
    WERBESCHROTT HIER
    
    
    *** HEADER EXTRACTED active/39C5B13A9AFE ***
    *** MESSAGE FILE END active/39C5B13A9AFE ***
    Das ist allerdings das dritte Postfach in kürzester Zeit, das zum Versenden von Spam benutzt wurde. Jeweils ein anderer Kunde. Ich kann mir also nicht vorstellen, dass es immer an einem schwachen Passwort lag.
    Manchmal ging das Versenden von Spam auch weiter, nachdem ich das PW geändert habe.
    Ich weiß leider nicht mehr weiter, irgendwelche Ideen?

    Danke!
     
  4. nowayback

    nowayback Well-Known Member

    hi,

    das betreffende postfach siehst du ja bei "sasl_username=info@existierendedomainaufserver.net".

    Es kann auch sein, das die echten Besitzer sich nen Trojaner eingefangen haben und so deren Passwort abgegriffen wurde.

    Dann waren evtl. noch Mails in der Queue. Die sollte man dann besser prüfen bzw. löschen
     
  5. Germanius

    Germanius New Member

    Das habe ich geprüft. Nachdem ich alle Spammails aus der Queue entfernt habe, war teilweise für 10 Min Ruhe, teilweise für ein paar Tage, aber dann ging es beim selben Postfach oder bei einem anderen wieder los.

    Mich verwundern die Verbindungen, ist das normal?
    Code:
    Jul 24 11:39:52 s1 postfix/smtpd[11412]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
     
  6. Till

    Till Administrator

    Ja, das ist normal. Es handelt sich dabei um Angriffe die über einen Trojaner auf dem Desktop des Mailbox Benutzers installiert sind. Diese Trojaner lesen die Postfach Zugangsdaten aus und leiten sie an ein Botnet weiter, diese Botnet versendet dann spam über Deinen Server. Es liegt hier also kein Problem in Deiner Serverkonfiguration vor.

    Um das problem dauerhaft zu beheben, muss der Anwender seinen Desktop mit einem Virenscanner reinigen.

    Dieses Problem tritt derzeit häufiger auf, daher hast Du auch mehrere befallene Konten. Sogar Das BSI verschickt inzwischen Warn-mails an Provider wegen dieses Trojaners.
     
  7. Germanius

    Germanius New Member

    Okay, das erklärt natürlich so einiges, danke.

    Die Frage, die sich mir nun stellt ist, ob man eine Art Limit pro Postfach von beispielsweise 50 Mails/Std einrichten kann?
    Das würde sicherlich sehr hilfreich sein, da man bzgl. solchen Aktionen auch schnell auf irgendwelchen Blacklists landen kann.
     
  8. Till

    Till Administrator

    Schau Dir mal policyd (cluebringer) an. das funktioniert gut auf ispconfig setups.
     
  9. Germanius

    Germanius New Member

    Gibt es vllt. schon ein Tutorial, wie man das in Verbindung mit ISPC installiert? Habe spontan nichts gefunden.
     
  10. Till

    Till Administrator

    Ich habe da einen Entwurf für ein Tutorial. Schreib mir mal eine mail an info at ispconfig dot org, dann kann ich Ihn Dir mal voran schicken. ist aber auf englisch und noch nicht alles ausformuliert, fast nur Befehle.
     

Diese Seite empfehlen