[Postfixbuch-users] verseuchte Spamuser
Bjoern Meier
bjoern.meier at googlemail.com
Mi Feb 18 11:29:45 CET 2009
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
hi,
Uwe Driessen wrote:
> On Behalf Of Andre Hübner
>> Hallo Liste,
>>
>> habe aktuell das Problem das Spam direkt von eingeloggten Usern
>> auf dem Server in die Warteschlange gestellt wird. Offenbar
>> handelt es sich um kompromittierte Systeme der User wo
>> irgendwelche Trojaner aktiv geworden sind. Teilweise wird der
>> Spam von extern per smtp-auth eingeliefert was ich durch ein paar
>> smtpd-limits verzögere. Teilweise werden aber auch Scripte per
>> ftp hochgeladen die dann automatisiert aufgerufen werden und die
>> Mails so direkt vom Server aus einliefern. Hier fehlt mir
>> momentan noch das richtge Mittel dies zu verhindern oder zu
>> verzögern. Diese Scripte werden dann auch automatisiert gelöscht
>> so das ich nur die Einträge in den ftp-Logs finde aber die
>> Scripte selber nicht mehr. Mit den Scripten könnte ich dann
>> Signaturen für unseren Scanner machen was bei anderen
>> Schadprogrammen schon gut geholfen hat. Für die internen Scripte
>> fehlt mir momentan der Ansatz. Ich kann ja nicht einfach
>> pop-before-smtp deaktivieren oder $mynetworks nicht mehr zulassen
>> damit diese scripte ins leere laufen Gibt es etwas sinnvolles
>> was ich da tun könnte?
>>
>
> Absenderprüfen, Absender sperren (Anwender wird sich dann wohl
> melden)
>
> Temp. Die betroffenen ftp. Verzeichnisse auf read only setzen
> (Kunde wird sich schon melden)
>
> Ansonsten logfiles zeigen evtl. kann man daran einen Ansatzpunkt
> finden
>
> Als Restriktionen fällt mir noch
>
> reject_unlisted_sender reject_sender_login_mismatch (vor permit
> sasl)
>
> ein um den Bösewichten auf die Spur zu kommen (dann kannst du das
> ja wieder abstellen)
>
> smtpd_sasl_authenticated_header = yes ist auch noch etwas was licht
> ins dunkel bringt.
>
> pop-before-smtp und das würde ich gar nicht mehr zulassen (zu
> großes Sicherheitsloch)
>
>
> Mit freundlichen Grüßen
>
> Drießen
>
Ach so ihr seid Anbieter. Ok urgs, dann nehm ich alles zurück. Dennoch
darf es ja nicht sein, dass Scripts automatisch ausgeführt werden.
Gruß,
Björn
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFJm+MZFNk/pPWhp1gRAgWhAJ40i1HpzrB8r4taW6YUNYjmp2DJggCghsA3
IRKX9pWL+xJRoHFdgtbDfvc=
=fTRP
-----END PGP SIGNATURE-----
Mehr Informationen über die Mailingliste Postfixbuch-users