Viruswelle von "kreditoren at dertour.de"

Daniel daniel at ist-immer-online.de
Di Dez 8 22:43:56 CET 2015


Huhu,

Heise empfiehlt grad auf
http://www.heise.de/newsticker/meldung/Kleine-Handreichung-fuer-Admins-Postfix-Filter-als-erste-Hilfe-gegen-Trojanerwelle-3035001.ht
ml einen Reject Filter einzubinden.

Zitat:
sudo touch /etc/postfix/viruswelle
Diese Tabelle füttert man mit einzeiligen Reject-Regeln. Ein Beispiel sieht so aus:
kreditoren at dertour.de REJECT Virus kreditoren at dertour.de
Die Liste kann man per Hand bei Bedarf mit weiteren Einträgen ergänzen und nach dem gleichen Muster geänderte Absender-Adressen
hinzufügen. Nach jeder Änderung der Tabelle wandelt man sie in eine statische Postfix-DB um:
sudo postmap hash:/etc/postfix/viruswelle
Damit sie Postfix berücksichtigt, muss die Tabelle in der Konfigurationsdatei main.cf eingetragen sein:
smtpd_recipient_restrictions = 
check_sender_access hash:/etc/postfix/viruswelle

====

Im Serverlog wurde aber ganze auch schon so abgewiesen. Wie sind bei sowas eure Vorkehrungen bzw. Empfehlungen?

Dec  8 11:03:47 postfix/smtpd[6630]: connect from unknown[45.64.137.138]
Dec  8 11:03:48 postfix/policy-spf[6640]: Policy action=550 Please see
http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server
Dec  8 11:03:48 postfix/smtpd[6630]: NOQUEUE: reject: RCPT from unknown[45.64.137.138]: 550 5.7.1 <X>: Recipient address rejected:
Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=45.64.137.138;r=Server; from=<KREDITOREN at DERTOUR.de>
to=<X> proto=ESMTP helo=<[45.64.137.138]>
Dec  8 11:03:48 postfix/smtpd[6630]: disconnect from unknown[45.64.137.138] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1 commands=3/5
Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection rate 1/60s for (25:45.64.137.138) at Dec  8 11:03:47
Dec  8 11:07:08 postfix/anvil[6634]: statistics: max connection count 1 for (25:45.64.137.138) at Dec  8 11:03:47
Dec  8 11:07:08 postfix/anvil[6634]: statistics: max cache size 1 at Dec  8 11:03:47
Dec  8 11:10:46 postfix/smtpd[6949]: connect from ip4daa1d85.direct-adsl.nl[77.170.29.133]
Dec  8 11:10:47 postfix/policy-spf[6959]: Policy action=550 Please see
http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server
Dec  8 11:10:47 postfix/smtpd[6949]: NOQUEUE: reject: RCPT from ip4daa1d85.direct-adsl.nl[77.170.29.133]: 550 5.7.1 <X>: Recipient
address rejected: Please see http://www.openspf.net/Why?s=mfrom;id=KREDITOREN%40DERTOUR.de;ip=77.170.29.133;r=Server;
from=<KREDITOREN at DERTOUR.de> to=<X> proto=ESMTP helo=<ip4daa1d85.direct-adsl.nl>
Dec  8 11:10:47 postfix/smtpd[6949]: disconnect from ip4daa1d85.direct-adsl.nl[77.170.29.133] ehlo=1 mail=1 rcpt=0/1 data=0/1 quit=1
commands=3/5

Gruß Daniel





Mehr Informationen über die Mailingliste Postfixbuch-users