[Postfixbuch-users] mailserver gehackt?

Menkens, Reiner menkens at kdo.de
Mi Jun 9 15:26:22 CEST 2004


Hallo,
Du hast in Deiner /etc/postfix/access domain-kiel.de auf OK und verwendest das für    
> check_sender_access hash:/etc/postfix/access,
> check_recipient_access hash:/etc/postfix/access,
Damit nimmt Postfix jede mail mit Absenderadresse oder Empfängeradresse @domain-kiel.de an und diese checks laufen vor allen anderen. Jeder spammer kann mit Adsender @doamain-kiel.de alles über Deinen Server relayen.
Wozu brauchst domain-kiel.de OK an der Stelle?. Ansonsten wären auch logs gut um zu sehen, was da los ist.
Gruß
   Reiner




> -----Original Message-----
> From: postfixbuch-users-bounces at listi.jpberlin.de 
> [mailto:postfixbuch-users-bounces at listi.jpberlin.de] On 
> Behalf Of Jens Kruse
> Sent: Wednesday, June 09, 2004 3:18 PM
> To: postfixbuch-users at listi.jpberlin.de
> Subject: [Postfixbuch-users] mailserver gehackt?
> 
> Hallo!
> 
> Heute morgen lief mein /var voll und siehe da, seit gestern 
> abend waren 
> mehrere GB mails über meinen Server 'raus geschickt worden :-(((
> 
> Ich setze ein Postfix 1.x auf Debian Woody ein (ständig aktualisiert 
> falls notwendig). Bisher waren Relayen für hosts mit 
> 'pop-before-smtp' 
> erlaubt, es gab keine Probleme. Konfigänderungen hat es nicht 
> gegeben, 
> warum wurde die Maschine nun geknackt?
> 
> [] ich hatte bisher einfach nur Glück
> [] es gibt einen Postfix Bug, der mir noch nicht bekannt war/ist
> [] ich habe mein Postfix falsch konfiguriert
> 
> Hier die entsprechenden Konfigs:
> 
> main.cf
> 
> > # smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> > smtpd_banner = $myhostname ESMTP
> > setgid_group = postdrop
> > biff = no
> > 
> > # appending .domain is the MUA's job.
> > append_dot_mydomain = no
> > mydomain = domain-kiel.de
> > myhostname = mailserver.domain-kiel.de
> > alias_maps = hash:/etc/aliases
> > alias_database = hash:/etc/aliases
> > myorigin = /etc/mailname
> > mydestination = domain-kiel.de, mailserver.domain-kiel.de, 
> localhost.domain-kiel.de, localhost
> > # relayhost =
> > relayhost = smtp.tng.de
> > # mynetworks = 127.0.0.0/8
> > mynetworks = 127.0.0.0/8, hash:/var/lib/pop-before-smtp/hosts
> > mailbox_command = procmail -a "$EXTENSION"
> > mailbox_size_limit = 0
> > recipient_delimiter = +
> > 
> > # Nur von lokalem Rechner (mailserver) Post annehmen
> > inet_interfaces = localhost,1.2.3.4
> > 
> > smtpd_recipient_restrictions =
> >         check_sender_access hash:/etc/postfix/access,
> >         check_recipient_access hash:/etc/postfix/access,
> >         permit_sasl_authenticated,
> >         permit_mynetworks,
> > #       permit_mydomain,
> > #       reject_non_fqdn_recipient,
> > #       check_client_access hash:/etc/postfix/pop-before-smtp,
> >         check_client_access hash:/var/lib/pop-before-smtp/hosts,
> > #       permit_maps_rbl,
> > #       permit_mx_backup,
> >         check_relay_domains
> > 
> > 
> > # Aktiviert STARTTLS wenn Postfix Server ist:
> > smtpd_use_tls = yes
> > 
> > # Loggt (nicht) in den Received-Zeilen:
> > smtpd_tls_received_header = no
> > 
> > #
> > smtpd_tls_key_file = /etc/postfix/key.pem
> > smtpd_tls_cert_file = /etc/postfix/cert.pem
> > smtpd_tls_CA_file = /etc/postfix/CAcert.pem
> > 
> > body_check = regexp:/etc/postfix/body_checks
> > 
> 
> master.cf
> 
> > # 
> ==============================================================
> ============
> > # service type  private unpriv  chroot  wakeup  maxproc 
> command + args
> > #               (yes)   (yes)   (yes)   (never) (50)
> > # 
> ==============================================================
> ============
> > # smtp    inet  n       -       -       -       -       smtpd
> > smtp    inet  n       -       n       -       -       smtpd -v
> > #628      inet  n       -       -       -       -       qmqpd
> > pickup    fifo  n       -       -       60      1       pickup
> > cleanup   unix  n       -       -       -       0       cleanup
> > qmgr      fifo  n       -       -       300     1       qmgr
> > #qmgr     fifo  n       -       -       300     1       nqmgr
> > rewrite   unix  -       -       -       -       -       
> trivial-rewrite
> > bounce    unix  -       -       -       -       0       bounce
> > defer     unix  -       -       -       -       0       bounce
> > flush     unix  n       -       -       1000?   0       flush
> > smtp      unix  -       -       -       -       -       smtp
> > showq     unix  n       -       -       -       -       showq
> > error     unix  -       -       -       -       -       error
> > local     unix  -       n       n       -       -       local
> > virtual   unix  -       n       n       -       -       virtual
> > lmtp      unix  -       -       n       -       -       lmtp
> > #
> > # Interfaces to non-Postfix software. Be sure to examine the manual
> > # pages of the non-Postfix software to find out what 
> options it wants.
> > # The Cyrus deliver program has changed incompatibly.
> > #
> > cyrus     unix  -       n       n       -       -       pipe
> >   flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m 
> ${extension} ${user}
> > uucp      unix  -       n       n       -       -       pipe
> >   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - 
> $nexthop!rmail ($recipient)
> > ifmail    unix  -       n       n       -       -       pipe
> >   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop 
> ($recipient)
> > bsmtp     unix  -       n       n       -       -       pipe
> >   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d 
> -t$nexthop -f$sender $recipient
> > scalemail-backend unix  -       n       n       -       2       pipe
> >   flags=R user=scalemail 
> argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} 
> ${user} ${extension}
> > 
> 
> access:
> 
> > domain-kiel.de   OK
> > hanmail.net     550 We're fighting against SPAM!
> > yahoo.ie        550 We're fighting against SPAM!
> > yahoo.com       550 We're fighting against SPAM!
> > netzero.net     550 We're fighting against SPAM!
> > tw      550 We're fighting against SPAM!
> > hinet.net       550 We're fighting against SPAM!
> > 21cn.com        550 We're fighting against SPAM!
> > tom.com         550 We're fighting against SPAM!
> > cox.net         550 We're fighting against SPAM!
> > doctor179.adsldns.org   550 We're fighting against SPAM!
> > mail15.com              550 We're fighting against SPAM!
> > rul3z.de                550 We're fighting against SPAM!
> 
> Wie gesagt: Bisher war relayen nur für authentifizierte user möglich, 
> jetzt funzt es mit einem 'telnet mailserver 25' ohne Probleme :-(((
> Ich bin mir nicht sicher, ob meine main.cf die ist, für die ich sie 
> halte; IDS und logs meinen aber, das sie nicht korrumpiert ist ...
> 
> * Wo fange ich an zu suchen, bzw noch wichtiger:
> * Wie bringe ich postfix wieder sicher zum Laufen? (derzeit ist der 
> mail-Server down)
> 
> Danke für Eure schnellstmöglichen Hinweise!!!
> 
> Gruß, Jens
> 
> -- 
> _______________________________________________
> Postfixbuch-users mailingliste
> JPBerlin - Mailbox und Politischer Provider
> Postfixbuch-users at listi.jpberlin.de
> http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
> 
> 



Mehr Informationen über die Mailingliste Postfixbuch-users