[Postfixbuch-users] Nach newsletter auf Blacklist

Uwe Driessen driessen at fblan.de
Do Nov 20 12:50:27 CET 2008 

On Behalf Of Alexander Busam
> Von: Sandy Drobic <postfixbuch-users at japantest.homelinux.com>
> > Damit bleiben noch einige weitere Möglichkeiten:
> >
> > - unter den versandten Mails wurden auch Spamtraps angeschrieben.
> >
> > - ein Trojaner im internen Netzwerk ist fleißig am Spammen, ohne dass
> > dies
> > über den Mailserver geht, aber eben über die gleiche Firewall und damit
> > die
> > selbe externe IP wie der Mailserver.
> >
> 
> Das ist so langsam auch meine Vermutung. Wir werden die Rechner mal durchscannern. Was
> natürlich zeimlich zeitaufwendig ist. Laut der CBL-blacklist wird die AntiMalware-
> Software von Microsoft und der Stinger von McAfee empfohlen. Sie die beiden Tools
> ausreichend ?

Wie wäre es denn wenn du in der Firewall den Netzwerkverkehr nach außen beobachtest und
schaust wer da so alles wohin pustet?
Spart dir im Ergebnis evtl. einiges an Arbeit denn es müssen ja nur die auffälligen IP's
kontrolliert und im Zweifel gescannt werden.

Spybot.org, AdWare von Lavasoft.de, HijackThis, aktueller Virenscanner.
Ist ein System kompromittiert im Zweifelsfall neu aufsetzen egal was die Tools gesagt
haben.

> 
> 
> > Ist sichergestellt, dass NUR der Mailserver Mails senden kann?
> > Normalerweise
> > ist die Firewall so eingestellt, dass kein anderer Server/Client auf Port
> > 25
> > extern zugreifen kann.
> 
> Ich habe die Firewall vor 2 Tagen so konfiguriert, dass nur noch die beiden Mailserver
> nach außen (port 25) emails verschicken können.
> 
> Ich hab mir auch nochmal die main.cf angeschaut, wer alles emails versenden darf. Da
> stehen folgende Einträge in gleicher Reihenfolge drin. Ich weiß, der letzte Eintrag
> zählt. Die Konfig ist aber in den letzten Wochen so gewachsen, seit ich mich damit
> beschäftigt habe.
> 
> smtpd_recipient_restrictions = permit_my_networks,reject_unauth_destination

Im Postfix log kannst du genau nachschauen von welcher IP mit welchem Absender zu welchem
Empfänger geschickt wird. Da lässt sich ein wildgewordener Client ebenfalls gut mit finden


> 
> ...
> ...
> 
> smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks,
> check_relay_domains

Da wäre mal ein "postconf -n" interessant. Aus Bruchstücken kann man in der Regel nicht so
sehr viel schließen.
IP's usw. und sicherheitsrelevante Dinge eindeutig maskieren  

> 
> Gruß Alex
> 


Mit freundlichen Grüßen

Drießen

-- 
Software & Computer
Uwe Drießen
Lembergstraße 33
67824 Feilbingert
Tel.: +49 06708 / 660045   Fax: +49 06708 / 661397

Mehr Informationen über die Mailingliste Postfixbuch-users