[Postfixbuch-users] Spam über www-data
Thomas Gelf
thomas at gelf.net
Di Aug 4 17:18:20 CEST 2009
Stefan Hoth schrieb:
>> ich habe mal ne frage, mein server versendet über www-data spammails ...
>
> Ich habe auf meinem Hosting-Server das Versenden via
> localhost-Einreichung ohne SMTP-Prüfung unterbunden. Es mussten zwar
> einige Kundenpräsenzen angepasst werden, die noch via PHP-mail()
> Kontaktwünsche etc versendet haben, aber letztlich ist nun jede
> abgesendete Mail durch einen angemeldeten SMTP-User eindeutig zuzuordnen.
Versand via mail() verbieten und lediglich SMTP mit Authentifizierung
erlauben ist natürlich der Idealfall, wo dies nicht möglich ist hilft
meist
sendmail_path = "/usr/sbin/sendmail -t -i -f userxy at mydomain.tld"
in der php.ini des Kunden. Wer wirklich noch ernsthaft auf safe_mode
und Konsorten setzt (und deshalb keine php.ini pro Kunde hat), der
kann diese Einstellung auch via php_admin_value in der VirtualHost-
Definition vornehmen.
Wie gesagt, mail() verbieten ist besser - diese Funktion hätte in
dieser Form nie existieren dürfen. Unser Support-Team würde mir wenn
wir das umsetzen würden aber garantiert den Kopf abreißen. Das mit
dem sendmail_path klappt aber wunderbar. Habe bisher weder einen
Spammer angetroffen, der versucht hätte, diese Einstellung zu über-
schrieben hätte, noch einen, der den fünften Parameter von mail()
benutzen würde - denn damit schießen sie sich im Falle von safe_mode
ja selbst ins Bein.
Kurz: sendmail_path ist die pragmatischste, einfachste und sauberste
Lösung, die ich für dieses Problem gefunden habe. Ziel ist schließlich,
schnell den Übeltäter zu identifizieren - bei vielen tausend Webs ist
ein "schneller grep auf die Logs um verdächtige POST-Requests zu finden"
nicht immer ganz so einfach wie es klingen mag. Eine 1:1 Zuweisung von
Sender zu Web oder Kunde ist hier eine große Hilfe.
Wenn das schuldige Web dann identifiziert wurde, empfehle ich dir
foldenge Policy anzuwenden: erst abschalten, dann Fragen stellen ;-)
Mit liebem Gruß
Thomas Gelf
Mehr Informationen über die Mailingliste Postfixbuch-users