[Postfixbuch-users] unbewusst ein openrelay
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Do Sep 28 22:33:42 CEST 2006
Florian Mahlecke wrote:
> Ralf Hildebrandt schrieb:
>
>>> ja apache laeuft. naja in den logs sind jede menge error meldungen von
>>> php seiten eines freundes der mit seinem kram auf dem server liegt.
>>>
>>> vielleicht sollte ich da mal anfangen ;)
>> Und vergiss die Keule nicht. Der hat sicher irgendein Mailsendescript
>> was missbraucht werden kann...
>
> das passt jetzt vielleicht vom thema nicht ganz in die mailingliste
> hier, aber gibt es in den logs irgend 'ne standartmeldung nach der man
> suchen koennte oder evtl. eine andere moeglichkeit das entsprechende
> script ausfindig zu machen ?
Grundsätzlich solltest du herausfinden, wie die Mail eingeliefert wurde.
Dies steht auf jeden Fall im Log. Schau in der Ausgabe von "mailq" nach
der Queue-ID und suche im Maillog danach, verfolge sie durch
content_filter bis zur Einlieferung zurück.
- ein "postfix/pickup..." bei der Einlieferung bedeutet, dass sie über das
Sendmail-Binary /usr/sbin/sendmail eingeliefert wurden, was auf einen
Missbrauch des Apache hindeuten würde.
- ein "postfix/smtpd[...]: connect from ..." bedeutet, die Mail kam über
Postfix herein, dann musst du nach der Ursache suchen, warum diese Mail
zugelassen wurde. Nett sind in diesem Zusammenhang regexp Ausdrücke in
virtual, die die Empfängervalidierung zunichte machen.
Sandy
--
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users