[Postfixbuch-users] mailserver gehackt?

Jens Kruse j.kruse at econnex.de
Mi Jun 9 15:39:38 CEST 2004


Hallo Reiner!

Menkens, Reiner wrote:
> Hallo,
> Du hast in Deiner /etc/postfix/access domain-kiel.de auf OK und verwendest das für    
> 
>>check_sender_access hash:/etc/postfix/access,
>>check_recipient_access hash:/etc/postfix/access,
> 
> Damit nimmt Postfix jede mail mit Absenderadresse oder Empfängeradresse @domain-kiel.de an und diese checks laufen vor allen anderen. Jeder spammer kann mit Adsender @doamain-kiel.de alles über Deinen Server relayen.
> Wozu brauchst domain-kiel.de OK an der Stelle?. Ansonsten wären auch logs gut um zu sehen, was da los ist.

Ich dachte, ich brauche den Eintrag grundsätzlich, um relayen zu 
können?! Würde es also reichen, wenn ich den Eintrag aus der access 
heraus nehme und die entsprechende .db neu erstellen lasse?

Wie fasse ich einen entsprechenden Eintrag in den logs (mail.log?) 
zusammen, denn die logs (siehe das -v im smtp-eintrag der master.cf) 
sind _sehr_ umfangreich ...

Danke und Gruß,

Jens


>>-----Original Message-----
>>From: postfixbuch-users-bounces at listi.jpberlin.de 
>>[mailto:postfixbuch-users-bounces at listi.jpberlin.de] On 
>>Behalf Of Jens Kruse
>>Sent: Wednesday, June 09, 2004 3:18 PM
>>To: postfixbuch-users at listi.jpberlin.de
>>Subject: [Postfixbuch-users] mailserver gehackt?
>>
>>Hallo!
>>
>>Heute morgen lief mein /var voll und siehe da, seit gestern 
>>abend waren 
>>mehrere GB mails über meinen Server 'raus geschickt worden :-(((
>>
>>Ich setze ein Postfix 1.x auf Debian Woody ein (ständig aktualisiert 
>>falls notwendig). Bisher waren Relayen für hosts mit 
>>'pop-before-smtp' 
>>erlaubt, es gab keine Probleme. Konfigänderungen hat es nicht 
>>gegeben, 
>>warum wurde die Maschine nun geknackt?
>>
>>[] ich hatte bisher einfach nur Glück
>>[] es gibt einen Postfix Bug, der mir noch nicht bekannt war/ist
>>[] ich habe mein Postfix falsch konfiguriert
>>
>>Hier die entsprechenden Konfigs:
>>
>>main.cf
>>
>>
>>># smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
>>>smtpd_banner = $myhostname ESMTP
>>>setgid_group = postdrop
>>>biff = no
>>>
>>># appending .domain is the MUA's job.
>>>append_dot_mydomain = no
>>>mydomain = domain-kiel.de
>>>myhostname = mailserver.domain-kiel.de
>>>alias_maps = hash:/etc/aliases
>>>alias_database = hash:/etc/aliases
>>>myorigin = /etc/mailname
>>>mydestination = domain-kiel.de, mailserver.domain-kiel.de, 
>>
>>localhost.domain-kiel.de, localhost
>>
>>># relayhost =
>>>relayhost = smtp.tng.de
>>># mynetworks = 127.0.0.0/8
>>>mynetworks = 127.0.0.0/8, hash:/var/lib/pop-before-smtp/hosts
>>>mailbox_command = procmail -a "$EXTENSION"
>>>mailbox_size_limit = 0
>>>recipient_delimiter = +
>>>
>>># Nur von lokalem Rechner (mailserver) Post annehmen
>>>inet_interfaces = localhost,1.2.3.4
>>>
>>>smtpd_recipient_restrictions =
>>>        check_sender_access hash:/etc/postfix/access,
>>>        check_recipient_access hash:/etc/postfix/access,
>>>        permit_sasl_authenticated,
>>>        permit_mynetworks,
>>>#       permit_mydomain,
>>>#       reject_non_fqdn_recipient,
>>>#       check_client_access hash:/etc/postfix/pop-before-smtp,
>>>        check_client_access hash:/var/lib/pop-before-smtp/hosts,
>>>#       permit_maps_rbl,
>>>#       permit_mx_backup,
>>>        check_relay_domains
>>>
>>>
>>># Aktiviert STARTTLS wenn Postfix Server ist:
>>>smtpd_use_tls = yes
>>>
>>># Loggt (nicht) in den Received-Zeilen:
>>>smtpd_tls_received_header = no
>>>
>>>#
>>>smtpd_tls_key_file = /etc/postfix/key.pem
>>>smtpd_tls_cert_file = /etc/postfix/cert.pem
>>>smtpd_tls_CA_file = /etc/postfix/CAcert.pem
>>>
>>>body_check = regexp:/etc/postfix/body_checks
>>>
>>
>>master.cf
>>
>>
>>># 
>>
>>==============================================================
>>============
>>
>>># service type  private unpriv  chroot  wakeup  maxproc 
>>
>>command + args
>>
>>>#               (yes)   (yes)   (yes)   (never) (50)
>>># 
>>
>>==============================================================
>>============
>>
>>># smtp    inet  n       -       -       -       -       smtpd
>>>smtp    inet  n       -       n       -       -       smtpd -v
>>>#628      inet  n       -       -       -       -       qmqpd
>>>pickup    fifo  n       -       -       60      1       pickup
>>>cleanup   unix  n       -       -       -       0       cleanup
>>>qmgr      fifo  n       -       -       300     1       qmgr
>>>#qmgr     fifo  n       -       -       300     1       nqmgr
>>>rewrite   unix  -       -       -       -       -       
>>
>>trivial-rewrite
>>
>>>bounce    unix  -       -       -       -       0       bounce
>>>defer     unix  -       -       -       -       0       bounce
>>>flush     unix  n       -       -       1000?   0       flush
>>>smtp      unix  -       -       -       -       -       smtp
>>>showq     unix  n       -       -       -       -       showq
>>>error     unix  -       -       -       -       -       error
>>>local     unix  -       n       n       -       -       local
>>>virtual   unix  -       n       n       -       -       virtual
>>>lmtp      unix  -       -       n       -       -       lmtp
>>>#
>>># Interfaces to non-Postfix software. Be sure to examine the manual
>>># pages of the non-Postfix software to find out what 
>>
>>options it wants.
>>
>>># The Cyrus deliver program has changed incompatibly.
>>>#
>>>cyrus     unix  -       n       n       -       -       pipe
>>>  flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m 
>>
>>${extension} ${user}
>>
>>>uucp      unix  -       n       n       -       -       pipe
>>>  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - 
>>
>>$nexthop!rmail ($recipient)
>>
>>>ifmail    unix  -       n       n       -       -       pipe
>>>  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop 
>>
>>($recipient)
>>
>>>bsmtp     unix  -       n       n       -       -       pipe
>>>  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d 
>>
>>-t$nexthop -f$sender $recipient
>>
>>>scalemail-backend unix  -       n       n       -       2       pipe
>>>  flags=R user=scalemail 
>>
>>argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} 
>>${user} ${extension}
>>
>>access:
>>
>>
>>>domain-kiel.de   OK
>>>hanmail.net     550 We're fighting against SPAM!
>>>yahoo.ie        550 We're fighting against SPAM!
>>>yahoo.com       550 We're fighting against SPAM!
>>>netzero.net     550 We're fighting against SPAM!
>>>tw      550 We're fighting against SPAM!
>>>hinet.net       550 We're fighting against SPAM!
>>>21cn.com        550 We're fighting against SPAM!
>>>tom.com         550 We're fighting against SPAM!
>>>cox.net         550 We're fighting against SPAM!
>>>doctor179.adsldns.org   550 We're fighting against SPAM!
>>>mail15.com              550 We're fighting against SPAM!
>>>rul3z.de                550 We're fighting against SPAM!
>>
>>Wie gesagt: Bisher war relayen nur für authentifizierte user möglich, 
>>jetzt funzt es mit einem 'telnet mailserver 25' ohne Probleme :-(((
>>Ich bin mir nicht sicher, ob meine main.cf die ist, für die ich sie 
>>halte; IDS und logs meinen aber, das sie nicht korrumpiert ist ...
>>
>>* Wo fange ich an zu suchen, bzw noch wichtiger:
>>* Wie bringe ich postfix wieder sicher zum Laufen? (derzeit ist der 
>>mail-Server down)
>>
>>Danke für Eure schnellstmöglichen Hinweise!!!
>>
>>Gruß, Jens
>>
>>-- 
>>_______________________________________________
>>Postfixbuch-users mailingliste
>>JPBerlin - Mailbox und Politischer Provider
>>Postfixbuch-users at listi.jpberlin.de
>>http://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
>>
>>

-- 
________________________________________
eCONNEX AG
Jens Kruse
Dänische Str. 15  -  24103 Kiel
Tel. 0431 59 369 0
Fax 0431 59 369 19
e-Mail  j.kruse at econnex.de
Internet  http://www.econnex.de
________________________________________



Mehr Informationen über die Mailingliste Postfixbuch-users