Verwirrung beim SMTP mit ISPConfig

[DrSheep]

Nabend,

hoffe jemand hat einen Tipp, vielleicht ist es eine Kleinigkeit. Aber seit einiger Zeit werden meine Mailserver missbraucht.
Habe soweit in den letzten Wochen alles was im Netz vorhanden war an Anti-Spam-Maßnahmen nachgerüstet, jedoch fällt mir auf, dass täglich Mails von einer unbekannten TLD gesendet werden(?).

Habe mal einen Screenshot angehängt. Oder sehe ich das falsch?
Bin langsam nervlich Matsch, ich verstehe es irgendwie nicht. Habe einige ISP Server, aber sowas hatte ich noch nicht.

Hat jemand eine Idee?

Hier mal die main.cf:

smtpd_client_auth_rate_limit = 400
smtpd_client_connection_count_limit = 400
smtpd_client_connection_rate_limit = 400
smtpd_client_message_rate_limit = 4
anvil_rate_time_unit = 60s
smtpd_client_recipient_rate_limit = 15
default_destination_recipient_limit = 15
smtp_destination_recipient_limit = 15
maximal_queue_lifetime = 1d
bounce_queue_lifetime = 1d
max_use = 250
max_idle = 50
queue_run_delay = 120
minimal_backoff_time = 180
maximal_backoff_time = 3600
#reject_rhsbl_helo = dbl.spamhaus.org
#reject_rhsbl_reverse_client = dbl.spamhaus.org
#reject_rhsbl_sender = dbl.spamhaus.org
#reject_rbl_client = zen.spamhaus.org,cbl.abuseat.org,sbl-xbl.spamhaus.org,bl.spamcop.net

smtpd_tls_ciphers = medium

smtpd_banner = XXXXXXXXX (removed)
biff = no

append_dot_mydomain = no
#delay_warning_time = 4h
readme_directory = /usr/share/doc/postfix

compatibility_level = 2

#smtp_send_xforward_command = yes
#smtpd_authorized_xforward_hosts = 127.0.0.0/8 [::1]/128

smtpd_tls_chain_files = XXXXXXXXX (removed)
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl.map

smtpd_tls_security_level = may

smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level = dane
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_sasl_tls_security_options=noanonymous


smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
myhostname = XXXXXXXXX (removed)
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases
myorigin = /etc/mailname
mydestination = XXXXXXXXX (removed), localhost, localhost.localdomain
relayhost =
mynetworks = 127.0.0.0/8 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
html_directory = /usr/share/doc/postfix/html
virtual_alias_domains = proxy:mysql:/etc/postfix/mysql-virtual_alias_domains.cf
virtual_alias_maps = hash:/var/lib/mailman/data/virtual-mailman, proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/vmail
virtual_uid_maps = proxy:mysql:/etc/postfix/mysql-virtual_uids.cf
virtual_gid_maps = proxy:mysql:/etc/postfix/mysql-virtual_gids.cf
sender_bcc_maps = proxy:mysql:/etc/postfix/mysql-virtual_outgoing_bcc.cf
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_restriction_classes = greylisting
greylisting = check_policy_service inet:127.0.0.1:10023
smtpd_recipient_restrictions = permit_mynetworks, reject_unknown_recipient_domain, reject_unlisted_recipient, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, check_recipient_access proxy:mysql:/etc/postfix/mysql-virtual_recipient.cf, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf, check_policy_service unix:private/quota-status, check_policy_service inet:127.0.0.1:10023, reject_rhsbl_helo dbl.spamhaus.org, reject_rhsbl_reverse_client dbl.spamhaus.org, reject_rhsbl_sender dbl.spamhaus.org, reject_rbl_client zen.spamhaus.org
smtpd_use_tls = yes
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf
relay_domains = proxy:mysql:/etc/postfix/mysql-virtual_relaydomains.cf
relay_recipient_maps = proxy:mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender_login_maps.cf
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $sender_bcc_maps $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_sender_login_maps $virtual_uid_maps $virtual_gid_maps $smtpd_client_restrictions $smtpd_sender_restrictions $smtpd_recipient_restrictions $smtp_sasl_password_maps $sender_dependent_relayhost_maps
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, check_helo_access regexp:/etc/postfix/helo_access, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, check_helo_access regexp:/etc/postfix/blacklist_helo, reject_unknown_helo_hostname, permit
smtpd_sender_restrictions = permit_mynetworks, check_sender_access proxy:mysql:/etc/postfix/mysql-virtual_sender.cf, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unlisted_sender, reject_unknown_reverse_client_hostname, reject_unknown_sender_domain
smtpd_reject_unlisted_sender = no
smtpd_client_restrictions = check_client_access proxy:mysql:/etc/postfix/mysql-virtual_client.cf, permit_inet_interfaces, permit_mynetworks, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org, reject_unauth_pipelining, permit
smtpd_etrn_restrictions = permit_mynetworks, reject
smtpd_data_restrictions = permit_mynetworks, reject_unauth_pipelining, reject_multi_recipient_bounce, permit
maildrop_destination_concurrency_limit = 1
maildrop_destination_recipient_limit = 1
virtual_transport = lmtp:unix:private/dovecot-lmtp
header_checks = regexp:/etc/postfix/header_checks
mime_header_checks = regexp:/etc/postfix/mime_header_checks
nested_header_checks = regexp:/etc/postfix/nested_header_checks
body_checks = regexp:/etc/postfix/body_checks
owner_request_special = no
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtp_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_exclude_ciphers = RC4, aNULL
smtp_tls_exclude_ciphers = RC4, aNULL
smtpd_tls_mandatory_ciphers = medium
tls_medium_cipherlist = ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA256:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA
tls_preempt_cipherlist = yes
address_verify_negative_refresh_time = 60s
enable_original_recipient = no
sender_dependent_relayhost_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender-relayhost.cf
smtp_sasl_password_maps = proxy:mysql:/etc/postfix/mysql-virtual_sender-relayauth.cf, texthash:/etc/postfix/sasl_passwd
smtp_sender_dependent_authentication = yes
smtp_sasl_auth_enable = yes
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
authorized_flush_users =
authorized_mailq_users = nagios, icinga
smtpd_forbidden_commands = CONNECT,GET,POST,USER,PASS
address_verify_sender_ttl = 15686s
smtp_dns_support_level = dnssec
dovecot_destination_recipient_limit = 1
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_milters = inet:localhost:11332
non_smtpd_milters = inet:localhost:11332
milter_protocol = 6
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}
milter_default_action = accept
message_size_limit = 15360000

Sehe ich das richtig, dass man von einer "nicht im ISP eingetragenen Domain" senden kann bzw. versucht wird?
Es sind 2 Domains eingetragen und nur darüber könnten Mails versendet werden.
Ein httpd Service ist nicht vorhanden, sodass kein glitch/bypass via sendmail missbraucht werden kann.

Hab hier einen Thread gesehen, was SENDING Spam verhindern kann, bin aber echt blutig was Mailserver und dessen Configs angeht. Das versuche ich noch, behandelt aber irgendwie diese "Problematik" nicht und so konkret spuckt Google auch nur die o.g. Config aus. Oder ich bin zu blöd.

Achso, hier noch einige Details:
System: Ubuntu 20.04, rspam, postfix/dovecot - Installation vor 2 Monaten mit dem Autoinstaller.

Vielen Dank im Voraus!

Gruß

 

[Till]

Poste mal die mail header einer dieser emails, geht mit:

postcat -q ID

wobei ID diese alphanumerische ID ist, die Du in der queue liste siehst.

 

[DrSheep]

FIXED

 

[DrSheep]

Hi,

mal ein kleines Updates, was mich noch mehr verwirrt.
Das Spam-Versenden konnte ich mit durchgehender Handkontrolle neuer Accounts kontrollieren (Tarpit Antibot).

Jedoch gibt es nun Spam beim Empfangen einer Adresse über "getmail".
Hab gelesen, man soll über lmtp externe Mailadresse einbinden/importieren können?

Der Account unten hat innerhalb weniger Tage mehr als 350k Mails in "INBOX".

Wenn ich im ISP "Enable receiving" deaktiviere, gehen trotzdem Mails auf dessen Mail in "INBOX".
Und das nicht wenige pro Sekunde.
Löschen der postqueue bringt nichts, Restarts auch nicht.
Server ist fast durchgehend bei 100% Last durch die Massen (Mailzustellungen -> Saved into "INBOX").

Hat jemand eine Idee, was das sein kann?

Kurzer Nachtrag:
In "/etc/getmail/" sind diese 5 Config Dateien, die nur diese eine Mail betreffen. Wie kommen die da hin? Vor allem nur diese eine Mail Adresse. Hab diese nun mal gelöscht, jetzt scheint Ruhe zu sein.
Wie passiert sowas?

 

[Till]

Du hast vermutlich in ISPConfig unter Fetchmail einen Eintrag angelegt dass emails für dieses Postfach irgendwo abgeholt werden sollen und das externe Postfach von dem Du mail abholst enthält halt spam. Das ist auch leine Massen Zustellung wie Du schreibst sondern das genaue Gegenteil, Du hoslt emails per imap oder pop3 irgendwo ab, daher bringt ja auch disable receiving nichts. Du musst den fetchmail Eintrag in ISPConfig entfernen oder halt das Problem an der Quelle lösen, also an dem Postfach wo Du mails abholst.

 

[DrSheep]

Hi,

danke für die Rückmeldung.

Konnte es erstmal lösen so, dass ich die Configs der Mailadresse in /etc/getmail/* entfernt und den Ordner unbeschreibbar gemacht habe (in ISP stand nichts drin).
Da dies eine recht neue E-Mailadresse ist, die sich selbst über die API einen Account erstellt hat, wo so etwas nicht einmal angegeben wird (oder die Rechte bestehen), habe ich mich erstmal dazu entschieden den Quick&Dirty Weg zu gehen. 864 GB in 24h an Mails war mir dann doch zu viel.

Aber jeder Nutzer kann sich seine Mail registrieren, dabei wird nirgendswo etwas "abgeholt" oder derartiges angeboten. Deshalb war ich etwas erstaunt, dass es ein Nutzer in die Configs geschafft hat.

Kann ich getmail eigentlich auch sonst entfernen, wenn man es als reinen Mail-Server mit der vorgegebenen TLD nutzen möchte?

Gruß

 

[Till]

Wenn es nicht in ISPConfig steht, wurde es auch nicht über ISPConfig angelegt. Kannst Du aber über die Datalog History überprüfen. Generell zur API, die API entspricht dem Admin Account von den rechten her, Du darfst also nie API Logins and Enduser raus geben. Du kannst über die API User aber die aufzurufenden Funktionen einschränken.

Kann ich getmail eigentlich auch sonst entfernen, wenn man es als reinen Mail-Server mit der vorgegebenen TLD nutzen möchte?

Getmail ist ja teil eines reinen mail servers, und welche TLD's Du nutzt damit hat es auch zu tun. Aber Du kannst natürlich getmail entfernen wenn Dein mailserver keine fetchmail Funktionalität anbieten können soll.