[Postfixbuch-users] bestimmten Absenderadresse sperren

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Di Apr 24 22:20:47 CEST 2007 

Holm Kapschitzki wrote:
> Hallo,
> 
> irgendein Webscript ist unsicher gewesen und es wurde massenhaft Mails 
> von meinem Server gesendet. Ich habe unten mal das Logfile angehängt. 
> Letze Zeile dann "removed". Jetzt sind erstmal von dem betroffenem Web 
> die Mailadressen entfernt worden. Die Absenderadresse im Log 
> (webx.example.com) entpricht dem Web des Users aber der Server TLD, also 
> meiner. Diese ist Confixxmässig wie webx.domain.tld aufgebaut. Die 
> Mailadresse, die entfernt worden waren sind aber name at domain.tld. Diese 
> stehen aber in Beziehung zum webx des Kunden. Das hat erstmal geholfen 
> um die Mailflut abzustellen. Es werden keine Mails mehr unter 
> (webx.example.com) versendet
> 
> Bsp:
> 
> Absenderadresse im Log: webx.meinserver.tld
> 
> Adressen des Kunden
> 
> name1.seinedomain.tld
> name2.seinedomain.tld
> 
> Diese Adressen "name1.seinedomain.tld" sind jetzt erstmal entfernt 
> worden. Kurzum es wurde wie man im Log sieht pro Sekunde eine Mail 
> versendet. Das mailq war mit 300 Mails schon recht voll. Ich geh mal 
> davon aus, dass hier über die Webseite gesendet worden ist?

Wenn der Webserver mißbraucht worden ist (wahrscheinlich), dann solltest
du feststellen, welches Script auf dem Server mißbraucht wurde. Das sollte
das Apache-Log hergeben.

> Meine Frage wäre nun, wie kann ich bis zur Klärung am besten die 
> Absenderadresse (webx.example.com)? in Postfix sperren.
> Wie kann man sowas in Zukunft verhindern, so dass wenn eine Adresse 
> zuviel Mails versendet, die gesperrt wird?

Wie liefert der Webserver die Mails denn ein? Meistens geht das über das
Kommandozeilen-Binary /usr/sbin/sendmail. Dann stehen im Maillog Zeilen wie
... postfix/pickup ....userid...

Apr 24 21:11:15 katgar postfix/pickup[24149]: B4C7E47C58: uid=0 from=<root>

Hier ein Beispiel, als ich als root auf dem Server am Testen war.

Wenn es über smtp geht, dann müssen da ja die connect from... drin sein.

> 
> Zum Glück steht die Server IP laut "http://openrbl.org" noch nicht drin.

Schwein gehabt.

> Gruß Holm
> 
> Apr 24 06:28:03 srvx postfix/qmgr[22194]: 5F9BC1160E56: 
> from=<webxx at expample.com>, size=1888, nrcpt=330 (queue active)
> Apr 24 06:28:03 srvx postfix/qmgr[22194]: 5F9BC1160E56: 
> to=<jules84 at optonline.net>, relay=none, delay=42532, delays=42532/0/0/0, 
> dsn=4.0.0, status=deferred (delivery temporarily suspended: host 
> mx2.optonline.net[167.206.4.79] refused to talk to me: 452 try later)

Hier steht nirgendwo drin, wie die Mails hereinkamen, das sind nur die
bereits seit Stunden nicht zustellbaren Spams.

Suche mal etwa vor gut elf Stunden, was da abgelaufen ist. Greppe mal nach
der Queue-ID 5F9BC1160E56, wo die das erste mal hergekommen ist.

Wenn die Mails über pickup, sprich die Kommandozeile eingeliefert wurden,
dann kannst du nur den entsprechenden User, unter dem der Server läuft, mit:
authorized_submit_users = !webuser, static:anyone

aussperren.

-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users