Mailsserver missbraucht: Erhalte seit gestern hunderte Mails ueber SMTP
Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains)
und erhalte alle Mails direkt über den SMTP-Port
zusammen mit sendmail zugestellt. Ich habe eine
eigene Domain.
Ich erhalte seit gestern hunderte fehlerhafte Mails.
Die Mails werden an irgendeinen unbekannten User
meiner Domain "valerie@domain.at" zugestellt und
als Fehlerursache wird zB folgendes ausgegeben:
----- The following addresses had permanent fatal errors -----
Hallo DI, * DI Harald ARNOLD schrieb am 03. February 2003:
Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains) und erhalte alle Mails direkt über den SMTP-Port zusammen mit sendmail zugestellt. Ich habe eine eigene Domain.
Ich erhalte seit gestern hunderte fehlerhafte Mails.
Die Mails werden an irgendeinen unbekannten User meiner Domain "valerie@domain.at" zugestellt und als Fehlerursache wird zB folgendes ausgegeben:
----- The following addresses had permanent fatal errors -----
Komplette Fehlermeldung bitte.
Ich nehme an, dass jemand meinen Mail- Server für den eigene Mailversandt miss- braucht.
Sofern er als Open Relay dasteht, schon. Wenn Deine Domain gespamt wird, kannst Du das kaum verhindern, da Du ja auf den Mailempfang nicht verzichten willst. Alternativ bietet sich SpamAssassin an, ist echt gut.
1) Werden die anderen Adressaten einfach als BCC eingetragen ?
Kann sein, lässt sich ja nicht verifizieren.
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
Hm, SMTP abschalten? Ich habe irgendwo mal gelesen, dass es nicht lange dauert, bis dass eine neue Domain zugespammt wird. Fragt sich nur, woher die die Informationen haben... Grüße, Thomas
Von: Thomas Preissler [mailto:Preissler@internetx.de] Gesendet: Montag, 03. Februar 2003 16:19 [...]
Ich erhalte seit gestern hunderte fehlerhafte Mails.
Die Mails werden an irgendeinen unbekannten User meiner Domain "valerie@domain.at" zugestellt und als Fehlerursache wird zB folgendes ausgegeben: [...] Komplette Fehlermeldung bitte.
Gut unten stehen nun alle Informationen einer Mail.
Interessant sind speziell die folgenden Einträge
(Mail-Adresse warren@domain.at gibt es nicht !)
- Reply-To: warren@domain.at
- From: schneid@domain.at
- To: warren@deadwood.net
lg Harald
[BEGIN]
This message was created automatically by mail delivery software (Exim).
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
shockey@deadwood.net
mailbox is full (MTA-imposed quota exceeded while writing to file
/home/shockey/Mailbox):
retry timeout exceeded
val@deadwood.net
mailbox is full (MTA-imposed quota exceeded while writing to file
/home/val/Mailbox):
retry timeout exceeded
------ This is a copy of the message, including all the headers. ------
Return-path:
DI Harald ARNOLD wrote:
Return-path:
Received: from (domain.at) [218.5.132.95]
,----[ whois 218.5.132.95 ] | OrgName: Asia Pacific Network Information Centre | OrgID: APNIC | NetRange: 218.0.0.0 - 218.255.255.255 `----| ,----[ telnet 218.5.132.95 25 ] | 220 unspecified.host ESMTP - WinRoute Pro 4.1 `----| und _es_ relayed. micha
* On Tue, 04 Feb 2003 at 12:37 +0100, Michael Meyer wrote:
DI Harald ARNOLD wrote:
Return-path:
Received: from (domain.at) [218.5.132.95] ,----[ whois 218.5.132.95 ] | OrgName: Asia Pacific Network Information Centre | OrgID: APNIC | NetRange: 218.0.0.0 - 218.255.255.255 `----|
,----[ telnet 218.5.132.95 25 ] | 220 unspecified.host ESMTP - WinRoute Pro 4.1 `----|
und _es_ relayed.
pepe:~ # grep ^218 /etc/mail/access 218 550 We do not accept mail from you :-) -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at
Michael Meyer wrote:
DI Harald ARNOLD wrote:
Return-path:
Received: from (domain.at) [218.5.132.95] ,----[ whois 218.5.132.95 ] | OrgName: Asia Pacific Network Information Centre | OrgID: APNIC | NetRange: 218.0.0.0 - 218.255.255.255 `----|
,----[ telnet 218.5.132.95 25 ] | 220 unspecified.host ESMTP - WinRoute Pro 4.1 `----|
und _es_ relayed.
Also, um das hier noch mal klarzustellen: Michael hat gut aufgepasst und die Spam-Source gefunden. Der Harald ist armes Opfer, weil sich der Spammer die Return-Adresse "natalie@domain.at", bzw. wahrscheinlich nur "natalie" ausgedacht hat. Ein Eintrag in "/etc/mail/access" hilft leider nicht, da die Fehlermeldungen ja beim Spamziel erzeugt werden. (hier: mail.mato.com - zustaendig fuer warren@deadwood.net ) mail.mato.com qualifiziert die kurzen Mailadressen "natalie", "warren", usw. mit der Domain aus dem SMTP-Befehl HELO (domain.at) Peter
hi,
Also, um das hier noch mal klarzustellen: Michael hat gut aufgepasst und die Spam-Source gefunden. Der Harald ist armes Opfer, weil sich der Spammer die Return-Adresse "natalie@domain.at", bzw. wahrscheinlich nur "natalie" ausgedacht hat.
Ein Eintrag in "/etc/mail/access" hilft leider nicht, da die Fehlermeldungen ja beim Spamziel erzeugt werden. (hier: mail.mato.com - zustaendig fuer warren@deadwood.net )
mail.mato.com qualifiziert die kurzen Mailadressen "natalie", "warren", usw. mit der Domain aus dem SMTP-Befehl HELO (domain.at)
sag ich ja schon lange. -- gruss thomas
Von: Thomas Fankhauser [mailto:suseliste@digelec.ch] Gesendet: Dienstag, 04. Februar 2003 15:05 Mails ueber SMTP
Also, um das hier noch mal klarzustellen: Michael hat gut aufgepasst und die Spam-Source gefunden. Der Harald ist armes Opfer, weil sich der Spammer die Return-Adresse "natalie@domain.at", bzw. wahrscheinlich nur "natalie" ausgedacht hat.
Ein Eintrag in "/etc/mail/access" hilft leider nicht, da die Fehlermeldungen ja beim Spamziel erzeugt werden. (hier: mail.mato.com - zustaendig fuer warren@deadwood.net )
mail.mato.com qualifiziert die kurzen Mailadressen "natalie", "warren", usw. mit der Domain aus dem SMTP-Befehl HELO (domain.at)
Danke, mit der Abschaltung des gesamten 218-IP-Kreises funktioniert es derzeit wieder ohne Spam. Bin aber trotzdem weiter dahinter, da natürlich weitere Kreise folgen könnten. Seid ihr euch sicher, dass die Return-Adresse auf mich zeigt? Ich hätte folgendes Szenario zum Mailversand konstruiert:
Reply-To: warren@domain.at From: schneid@domain.at To: warren@deadwood.net
- vorgetäuschte gefälschte Adresse in "FROM" mit domain.at - irgendeine Adresse in "REPLY-TO" mit meiner Domain-Kennung. - die Personen, an die diese Mail geschickt werden soll, wird unter "TO" oder "BCC" gestellt Dieses ganze Zeug wird dann über den SMTP-Port in meinem Mailserver abgelegt ("geschickt"). Dann schickt er mir die bereits angeführte Fehlermeldung und der "Rest" erhält die Email. Liege ich da ganz falsch ? lg Harald
hi harald,
Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains)
das tut nicht's zur sache
und erhalte alle Mails direkt über den SMTP-Port zusammen mit sendmail zugestellt. Ich habe eine eigene Domain.
Ich erhalte seit gestern hunderte fehlerhafte Mails.
Die Mails werden an irgendeinen unbekannten User meiner Domain "valerie@domain.at" zugestellt und als Fehlerursache wird zB folgendes ausgegeben:
----- The following addresses had permanent fatal errors -----
Ich nehme an, dass jemand meinen Mail- Server für den eigene Mailversandt miss- braucht.
muss nicht sein.
1) Werden die anderen Adressaten einfach als BCC eingetragen ?
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
nicht's nur mal rein aus deinen wenigen angaben rausgelesen, hat jemand mail's versendet (über seinen mail account, nicht über dein server) und als return-path die adresse valerie@domain.at benutz. die fehlermeldungen werden nun an deinen mailserver gesendet, logisch wenn der return-path zu dir zeigt. intressant wäre mal die headerinfos dieser mail, da kann man sicher noch mehr rauslesen. wie gesagt, mit diesen spärlichen angaben, kann ich nicht mehr anfangen als diese antwort. -- gruss thomas
DI Harald ARNOLD wrote: [warscheinlich offenes relay]
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
'http://www.sendmail.org/tips/relaying.html' _dir_ würde ich raten, keinen _öffentlichen_ mailserver zu betreiben. dazu fehlt dir elementares grundwissen. micha
Hallo, On Mon, 03 Feb 2003, DI Harald ARNOLD wrote:
Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains) und erhalte alle Mails direkt über den SMTP-Port zusammen mit sendmail zugestellt. Ich habe eine eigene Domain. [..] 1) Werden die anderen Adressaten einfach als BCC eingetragen ?
Vermutlich.
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
$EDITOR /etc/mail/access ==== 127 OK ==== Alles andere auskommentieren/loeschen. Dann kann nur noch das (lokal laufende!) fetchmail Mails an deinen sendmail uebergeben. Ausserdem kannst du in der Firewall den Port 25 dichtmachen, bzw. gar nicht erst oeffnen. -dnh -- "Sich selbst zu zitieren ist egozentrisch, selbstherrlich und unsympathisch. Und ausserdem rekursiv." (Marian Wild in dieser Sig.) [Marian Wild in dag°]
* Am Mon, 03 Feb 2003 schrieb David Haller:
Hallo,
On Mon, 03 Feb 2003, DI Harald ARNOLD wrote:
Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains) und erhalte alle Mails direkt über den SMTP-Port zusammen mit sendmail zugestellt. Ich habe eine eigene Domain. [..] 1) Werden die anderen Adressaten einfach als BCC eingetragen ?
Vermutlich.
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
$EDITOR /etc/mail/access
==== 127 OK ====
Alles andere auskommentieren/loeschen. Dann kann nur noch das (lokal laufende!) fetchmail Mails an deinen sendmail uebergeben.
Sendmail hat doch im Aufruf auch eine Option, mit der man festlegen kann, an welchen Adressen der Daemon lauscht! Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Christoph Maurer wrote:
* Am Mon, 03 Feb 2003 schrieb David Haller:
Hallo,
On Mon, 03 Feb 2003, DI Harald ARNOLD wrote:
Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains) und erhalte alle Mails direkt über den SMTP-Port zusammen mit sendmail zugestellt. Ich habe eine eigene Domain.
[..]
1) Werden die anderen Adressaten einfach als BCC eingetragen ?
Vermutlich.
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
$EDITOR /etc/mail/access
==== 127 OK ====
Alles andere auskommentieren/loeschen. Dann kann nur noch das (lokal laufende!) fetchmail Mails an deinen sendmail uebergeben.
Sendmail hat doch im Aufruf auch eine Option, mit der man festlegen kann, an welchen Adressen der Daemon lauscht!
Aber bringt das was? Wenn es so ist wie Peter weiter oben vermutet, dass ein lokal laufendes formail script der Übeltäter ist (würde ich auch erstmal vermuten), stellt dieses doch auch über localhost zu, oder? -- - maik
DI Harald ARNOLD wrote:
Ich erhalte seit gestern hunderte fehlerhafte Mails.
Ich nehme an, dass jemand meinen Mail-Server für den eigene Mailversandt missbraucht.
Nach den nachgelieferten Headerzeilen: Ja, ziemlich sicher.
1) Werden die anderen Adressaten einfach als BCC eingetragen ?
Teilweise.
2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?
1) als root: find / -iname 'formmail.pl' | xargs rm Besser ist das. 2) Proxy-Server absichern 3) bei einem maechtigen Apache: <LimitExcept HEAD GET POST> Order Allow,Deny Allow From 192.168.0.0 Deny From All </LimitExcept> Die Netzwerknummer deiner Konfiguration entsprechend anpassen. Das es am sendmail liegt glaub ich kaum. Die sendmails seit SuSE5.x sind schon keine offenen Relays mehr (IIRC). Hinweise, wie du dir da sicher sein kannst, findest du hier: http://www.kobitosan.net/postfix/antispam-en.html#check Peter
participants (9)
-
Adalbert Michelic
-
Christoph Maurer
-
David Haller
-
DI Harald ARNOLD
-
Maik Holtkamp
-
Michael Meyer
-
Peter Wiersig
-
Thomas Fankhauser
-
Thomas Preissler