Seltsames Verhalten bei Postfix/ E-mails

Germanius

Member
Hi,

eben war meine Queue komplett mit MAILER-DEAMON Nachrichten blockiert, die alle an ein und dieselbe Mailadresse auf meinem Server addressiert waren. Daraufhin habe ich Passwort etc von dem Postfach geändert und die Queue geleert, jedoch ohne Erfolg. Habe vermutet von der Adresse wird es versendet.
Jetzt habe ich die Mailbox gelöscht und es scheint ruhig zu sein. Allerdings finde ich im Mailprotokoll unzählige im sekundentakt Einträge:
Code:
Jul 24 11:39:52 s1 postfix/smtpd[11388]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:52 s1 postfix/smtpd[11412]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:52 s1 postfix/smtpd[11388]: NOQUEUE: reject: RCPT from ha2.spk.nl.netrouting.net[37.46.194.144]: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from=<> to= proto=ESMTP helo=
Jul 24 11:39:52 s1 postfix/smtpd[11388]: lost connection after RSET from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:52 s1 postfix/smtpd[11388]: disconnect from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:52 s1 postfix/smtpd[11412]: NOQUEUE: reject: RCPT from ha2.spk.nl.netrouting.net[37.46.194.144]: 550 5.1.1 : Recipient address rejected: User unknown in virtual mailbox table; from=<> to= proto=ESMTP helo=
Jul 24 11:39:52 s1 postfix/smtpd[11412]: lost connection after RSET from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:52 s1 postfix/smtpd[11412]: disconnect from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:53 s1 postfix/smtpd[11419]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
Jul 24 11:39:53 s1 postfix/smtpd[11388]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]

Eine Idee was hier nicht stimmt?
 

Till

Administrator
Was stand denn genau in den Nachrichten drin?

Es kann z.B. sein dass ein Spammer die Adresse dieser mailbox als Absender verwendet hat, ohne über dic zu versenden. Du erhältst in dem Fall nur alle unzustellbar Nachrichten.
 

Germanius

Member
Es kann z.B. sein dass ein Spammer die Adresse dieser mailbox als Absender verwendet hat, ohne über dic zu versenden. Du erhältst in dem Fall nur alle unzustellbar Nachrichten.
Das glaube ich nicht, denn in der Mail sieht es so aus, als ob der Spammer ein existierendes Postfach nutzt, soweit ich das verstehe:

Code:
*** ENVELOPE RECORDS active/39C5B13A9AFE ***
message_size:             734             775               1               0             734
message_arrival_time: Wed Jul 30 19:33:09 2014
create_time: Wed Jul 30 19:33:09 2014
content_filter: amavis:[127.0.0.1]:10024
named_attribute: rewrite_context=remote
named_attribute: sasl_method=LOGIN
named_attribute: sasl_username=info@existierendedomainaufserver.net
sender: lub@existierendedomainaufserver.net
named_attribute: log_client_name=unknown
named_attribute: log_client_address=46.191.140.49
named_attribute: log_client_port=3759
named_attribute: log_message_origin=unknown[46.191.140.49]
named_attribute: log_helo_name=[192.168.1.3]
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=unknown
named_attribute: reverse_client_name=46.191.140.49.dynamic.ufanet.ru
named_attribute: client_address=46.191.140.49
named_attribute: client_port=3759
named_attribute: helo_name=[192.168.1.3]
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;abcd@xyz.de
original_recipient: abcd@xyz.de
recipient: abcd@xyz.de
*** MESSAGE CONTENTS active/39C5B13A9AFE ***
Received: from [192.168.1.3] (unknown [46.191.140.49])
        (Authenticated sender: info@existierendedomainaufserver.net)
        by s1.meinserver.de (Postfix) with ESMTPA id 39C5B13A9AFE
        for <abcd@xyz.de>; Wed, 30 Jul 2014 19:33:09 +0200 (CEST)
Subject:
From: Lub <lub@existierendedomainaufserver.net>
Content-Type: text/plain;
        charset=utf-8
X-Mailer: iPhone Mail (10B146)
Message-Id: <D3426F0E-90B0-97F9-B7FF-9D9FD70A002B@existierendedomainaufserver.net>
Date: Wed, 30 Jul 2014 18:13:03 -0700
To: "abcd@xyz.de" <abcd@xyz.de>
Content-Transfer-Encoding: quoted-printable
Mime-Version: 1.0 (1.0)

WERBESCHROTT HIER


*** HEADER EXTRACTED active/39C5B13A9AFE ***
*** MESSAGE FILE END active/39C5B13A9AFE ***
Das ist allerdings das dritte Postfach in kürzester Zeit, das zum Versenden von Spam benutzt wurde. Jeweils ein anderer Kunde. Ich kann mir also nicht vorstellen, dass es immer an einem schwachen Passwort lag.
Manchmal ging das Versenden von Spam auch weiter, nachdem ich das PW geändert habe.
Ich weiß leider nicht mehr weiter, irgendwelche Ideen?

Danke!
 

nowayback

Well-Known Member
hi,

das betreffende postfach siehst du ja bei "sasl_username=info@existierendedomainaufserver.net".

Jeweils ein anderer Kunde. Ich kann mir also nicht vorstellen, dass es immer an einem schwachen Passwort lag.
Es kann auch sein, das die echten Besitzer sich nen Trojaner eingefangen haben und so deren Passwort abgegriffen wurde.

Manchmal ging das Versenden von Spam auch weiter, nachdem ich das PW geändert habe.
Dann waren evtl. noch Mails in der Queue. Die sollte man dann besser prüfen bzw. löschen
 

Germanius

Member
Dann waren evtl. noch Mails in der Queue. Die sollte man dann besser prüfen bzw. löschen
Das habe ich geprüft. Nachdem ich alle Spammails aus der Queue entfernt habe, war teilweise für 10 Min Ruhe, teilweise für ein paar Tage, aber dann ging es beim selben Postfach oder bei einem anderen wieder los.

Mich verwundern die Verbindungen, ist das normal?
Code:
Jul 24 11:39:52 s1 postfix/smtpd[11412]: connect from ha2.spk.nl.netrouting.net[37.46.194.144]
 

Till

Administrator
Ja, das ist normal. Es handelt sich dabei um Angriffe die über einen Trojaner auf dem Desktop des Mailbox Benutzers installiert sind. Diese Trojaner lesen die Postfach Zugangsdaten aus und leiten sie an ein Botnet weiter, diese Botnet versendet dann spam über Deinen Server. Es liegt hier also kein Problem in Deiner Serverkonfiguration vor.

Um das problem dauerhaft zu beheben, muss der Anwender seinen Desktop mit einem Virenscanner reinigen.

Dieses Problem tritt derzeit häufiger auf, daher hast Du auch mehrere befallene Konten. Sogar Das BSI verschickt inzwischen Warn-mails an Provider wegen dieses Trojaners.
 

Germanius

Member
Okay, das erklärt natürlich so einiges, danke.

Die Frage, die sich mir nun stellt ist, ob man eine Art Limit pro Postfach von beispielsweise 50 Mails/Std einrichten kann?
Das würde sicherlich sehr hilfreich sein, da man bzgl. solchen Aktionen auch schnell auf irgendwelchen Blacklists landen kann.
 

Till

Administrator
Ich habe da einen Entwurf für ein Tutorial. Schreib mir mal eine mail an info at ispconfig dot org, dann kann ich Ihn Dir mal voran schicken. ist aber auf englisch und noch nicht alles ausformuliert, fast nur Befehle.
 

Werbung

Top