  
|
Wird mein Mailserver als Spamschleuder verwendet?, Hab einen leisen verdacht...| sd12 |
Geschrieben am: Do 10.08.2006, 08:06
 
|
||
 AyomRank 9  Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004 
|
Ich habe den Verdacht, dass mein Mailserver ein Sicherheitsleck hat. Warum denke ich das? Folgende Errormails erhalte ich regelmässig:
Kann mal mer den Mailserver auf Löcher checken? mail.domain.ch Zum guten Glück hat der Relay von cablecom DCC aktiviert, dan wird der Schund wenigstens nicht versandt... -------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
||
 |
    
|
| Lexus |
#2 Geschrieben am: Do 10.08.2006, 08:27 (+00:20)
|
|
AyomRank 5  Gruppe: Member (aktiv) Beiträge: 287 Mitglied seit: 6.01.2004
|
|
|
|
| jAuer Jürgen Auer - freiberufl. Programmierer |
#3 Geschrieben am: Do 10.08.2006, 08:37 (+00:09)
|
||||
 AyomRank 9  Gruppe: Experten Entwicklung Beiträge: 2402 Mitglied seit: 4.02.2006
|
Ich bin zwar nicht der große Mailserver-Spezialist. Aber mit
kann ich eine Verbindung herstellen, wenn ich das richtig sehe, dann könnte ich darüber auch Mails versenden. Meine Server sind gegen solche Dinge zunächst durch die Firewall geschützt. Aber auch innerhalb der Mailserver-Konfiguration (Win2003) kann ich explizit festlegen, welchen Servern der Zugriff und welchen die Weitergabe erlaubt ist. Wenn ein neuer interner Server dazu käme, dann müßte ich dessen IP-Nummer auf dem SMTP-Server zunächst explizit erlauben. Bei dir scheinen zumindest alle IP-Adressen zugreifen zu dürfen. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert. |
||||
|
 
|
| Irene irene.ch |
#4 Geschrieben am: Do 10.08.2006, 09:52 (+01:15)
|
 AyomRank 7 Gruppe: Experten Entwicklung (Mod) Beiträge: 1113 Mitglied seit: 3.05.2004
|
Also ein offenes Relay hast Du schonmal nicht. Obs sonst Löcher hat, wüsste ich nicht, ich kenn den hMailserver nicht. Macht der vielleicht irgendwelche Logs, so dass Du eine bestimmte Nachricht zurückverfolgen könntest? Ansonsten wirds sehr schwierig.
Griessli Irene -------------------- |
|
|
| jAuer Jürgen Auer - freiberufl. Programmierer |
#5 Geschrieben am: Do 10.08.2006, 10:06 (+00:13)
|
||||||
|
AyomRank 9 Gruppe: Experten Entwicklung Beiträge: 2402 Mitglied seit: 4.02.2006
|
Aber da ich direkt darauf zugreifen kann, ist das doch viel schlimmer als ein Relay? So, jetzt habe ich das mal bei mir getestet, meiner aktuellen IP in der Firewall den Zugriff auf Port 25 gestattet.
wird abgelehnt, obwohl es die Firewall für meinen Rechner zuläßt.
wird akzeptiert und baut eine Verbindung auf. Wenn ich die Befehlsfolge wüßte, müßte ich Mails über mail.domain.ch direkt versenden können. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert. |
||||||
|
|
| Irene irene.ch |
#6 Geschrieben am: Do 10.08.2006, 10:18 (+00:12)
|
||||
|
AyomRank 7 Gruppe: Experten Entwicklung (Mod) Beiträge: 1113 Mitglied seit: 3.05.2004
|
Ich gehe davon aus, dass der Mailserver eigene Konten verwaltet. Also muss er ja erreichbar sein - wie sonst soll ein Mailserver von draussen bei ihm ein Mail abliefern können?
Ich weiss die Folge und habs ausprobiert - Beni's Server akzeptiert keine Mail an nicht-lokale Konten, wenn der Sender nicht authentifiziert ist. Also absolut sauberes Verhalten. Griessli Irene -------------------- |
||||
|
|
| René Weber rwx-support |
#7 Geschrieben am: Do 10.08.2006, 10:25 (+00:06)
|
||||
 AyomRank 7 Gruppe: Moderatoren Beiträge: 1168 Mitglied seit: 3.09.2004
|
Hallo Beni, Ja, dein Mailserver ist offen, aber authentication ist ON. Versuch mit SMTP:
Aha, du hast einen ESMTP Server, also dann:
TURN und VRFY sind disallowed, gut. Ich habe auch noch auf AUTH rumgehämmert, bin aber nicht reingekommen  Ich schlage dir vor, das Logfile anzusehen. Aber so wie ich es sehe, kommt man ohne Authentication nicht durch. Meine Versuch kannst du ja anhand des oben kopierten Codes finden.  Your white hat hacker Cheers, René -------------------- |
||||
|
|
| jAuer Jürgen Auer - freiberufl. Programmierer |
#8 Geschrieben am: Do 10.08.2006, 10:36 (+00:11)
|
||
|
AyomRank 9 Gruppe: Experten Entwicklung Beiträge: 2402 Mitglied seit: 4.02.2006
|
Thanks für die Info - ich mußte bei mir bis jetzt nur ausgehende Mails konfigurieren, die von einem der internen Server initiiert wurden. Wenn man allerdings so nicht reinkommt? Liegt die Ursache womöglich nicht in der Konfiguration des SMTP, sondern in einem unsicheren Script, das per Mail Header Injection für Spam genutzt werden kann? -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
server-daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert. |
||
|
|
| Irene irene.ch |
#9 Geschrieben am: Do 10.08.2006, 11:01 (+00:24)
|
||
|
AyomRank 7 Gruppe: Experten Entwicklung (Mod) Beiträge: 1113 Mitglied seit: 3.05.2004
|
Es ist noch nicht gesagt, dass man so nicht reinkommt. Es kann sein, dass der Mailserver bei gewissen Befehlen heikel reagiert, dass beispielsweise ein Buffer Overflow provoziert werden kann oder sonstwas Altbekanntes. Kann aber auch sein, dass der Server irgendwo sonst - auf einem anderen Port bezw. Dienst - ein Loch hat und darüber dann Mails initiiert werden. Wenn Mails von lokal kommen, wird wahrscheinlich keine Authentifizierung verlangt. Um das rauszufinden, wären eben die Mail-Logs nötig, aber auch andere Kenntnisse des Servers, z.B. Betriebssystem, was läuft sonst für Software/Dienste, wie ist der Schutz gegen aussen konfiguriert (Firewall-Regeln) und so weiter. Ein ziemlich komplexes Problem  Griessli Irene -------------------- |
||
|
|
| sd12 |
#10 Geschrieben am: Do 10.08.2006, 11:34 (+00:33)
|
||
|
AyomRank 9 Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004
|
Vielen Dank für die Zahlreichen Antworten. Gem. http://www.abuse.net/relay.html scheint es Ok. zu sein.
-------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
||
|
|
| sd12 |
#11 Geschrieben am: Do 10.08.2006, 11:37 (+00:02)
|
|
AyomRank 9 Gruppe: Moderatoren Beiträge: 3581 Mitglied seit: 3.03.2004
|
Soeben ist mir ein Lichtlein aufgegeangen....
Es ist alles i.O. hab alles sauber dicht gemacht. Wenn ich aber eine Email bekomme, leite ich eine Kopie an meinen Handy Email-Account weiter. Nätürlich leitet die Regel auch den Spam weiter! Und der Spam wird dann vom DCC von cablecom abgewiesen... OT: Weiss wer wie man DCC auch einbinden kann? Scheint zuverlässig den Spam zu bekämpfen. -------------------- ************************
Treiber f[r das Kezboard ist [berfl[ssig. |
|
|
| Irene irene.ch |
#12 Geschrieben am: Do 10.08.2006, 14:19 (+02:42)
|
|
AyomRank 7 Gruppe: Experten Entwicklung (Mod) Beiträge: 1113 Mitglied seit: 3.05.2004
|
Tiptop
Wie man DCC einbindet, weiss ich nicht. Allerdings wär ich vorsichtig mit dem Übernehmen von Spamfiltern von Cablecom. Die haben teilweise so harte Filter, dass auch erwünschter Traffic abgewiesen wird. Ich benutze seit kurzem EWall, das zwischen Internet und Mailserver geschaltet wird und wo man sehr feine Regeln selber definieren kann. Ausserdem hat man mittels Javascript Zugriff auf das gesamte SMTP-Protokoll. Seitdem erhalte ich null Spam mehr, und es gab bisher kein false positive. Griessli Irene -------------------- |
|
|
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
« Software Partitionen erstellen / partition manager | Server-Technik, Domains & Security | Frage zum Angriff »
Trackback-Url: http://www.ayom.com/track/t/13293
 |
|
Ähnliche Themen
| Themen Titel | Autor | Views | Antworten | Letzte Aktion |
| Aus XING wird CROSS | bendecho | 206 | 2 | Do 20.11.2008, 10:00 |
| Mein Anime Forum | DGonline | 53 | 4 | Do 20.11.2008, 07:48 |
| Domainbewertungs-Homepage wird verkauft | mister@ | 193 | 1 | So 16.11.2008, 15:33 |
| wandfolie.de wird versteigert - sedo | er-kuh-ix | 70 | 0 | Mi 12.11.2008, 00:55 |
| Mein Webshop | Kay6079 | 313 | 6 | So 21.09.2008, 18:12 |
| Textkotze wird verkauft | Tomi | 605 | 14 | Do 18.09.2008, 13:27 |
| auch mein Domain-Portfolio wird gekürzt ... | MarcoE | 1692 | 25 | Sa 23.08.2008, 15:30 |
| Das AdSense-Empfehlungsprogramm wird eingestellt | Gismo | 489 | 7 | Mo 11.08.2008, 12:59 |
| [CronJob] wird nicht ausgeführt | Coach | 234 | 8 | Fr 8.08.2008, 13:20 |
Anzeige - [Hier werben / Mediadaten]
