Wird mein Mailserver als Spamschleuder verwendet?

sd12

sd12

Legendäres Mitglied
Ich habe den Verdacht, dass mein Mailserver ein Sicherheitsleck hat. Warum denke ich das?

Folgende Errormails erhalte ich regelmässig:
QUOTE Your message did not reach some or all of the intended recipients.

Sent: Thu, 10 Aug 2006 04:04:31 -0480
Subject: find that perfect timepiece

The following recipient(s) could not be reached:

nospam@orangemail.ch
Error Type: SMTP
Error Description: Error message from remote server
Message: 550 5.7.1 Rejected (k7A3vUed018915) 84.74.99.223 is blacklisted by DCC. Details http://www.hispeed.ch/dcc.



MailDaemon
hMailServer


Kann mal mer den Mailserver auf Löcher checken? mail.domain.ch

Zum guten Glück hat der Relay von cablecom DCC aktiviert, dan wird der Schund wenigstens nicht versandt...
 
QUOTE (B @ Do 10.8.2006, 8:06)Kann mal mer den Mailserver auf Löcher checken? mail.domain.ch

Ich bin zwar nicht der große Mailserver-Spezialist.

Aber mit


CODE telnet mail.domain.ch. 25


kann ich eine Verbindung herstellen, wenn ich das richtig sehe, dann könnte ich darüber auch Mails versenden.

Meine Server sind gegen solche Dinge zunächst durch die Firewall geschützt. Aber auch innerhalb der Mailserver-Konfiguration (Win2003) kann ich explizit festlegen, welchen Servern der Zugriff und welchen die Weitergabe erlaubt ist. Wenn ein neuer interner Server dazu käme, dann müßte ich dessen IP-Nummer auf dem SMTP-Server zunächst explizit erlauben.

Bei dir scheinen zumindest alle IP-Adressen zugreifen zu dürfen.
 
Also ein offenes Relay hast Du schonmal nicht. Obs sonst Löcher hat, wüsste ich nicht, ich kenn den hMailserver nicht. Macht der vielleicht irgendwelche Logs, so dass Du eine bestimmte Nachricht zurückverfolgen könntest? Ansonsten wirds sehr schwierig.

Griessli
Irene
 
QUOTE (Irene @ Do 10.8.2006, 9:52)Also ein offenes Relay hast Du schonmal nicht.

Aber da ich direkt darauf zugreifen kann, ist das doch viel schlimmer als ein Relay?


So, jetzt habe ich das mal bei mir getestet, meiner aktuellen IP in der Firewall den Zugriff auf Port 25 gestattet.


CODE telnet 80.237.183.228 25

wird abgelehnt, obwohl es die Firewall für meinen Rechner zuläßt.


CODE telnet mail.domain.ch 25


wird akzeptiert und baut eine Verbindung auf.

Wenn ich die Befehlsfolge wüßte, müßte ich Mails über mail.domain.ch direkt versenden können.
 
QUOTE (jAuer @ Do 10.8.2006, 11:06)Aber da ich direkt darauf zugreifen kann, ist das doch viel schlimmer als ein Relay?

Ich gehe davon aus, dass der Mailserver eigene Konten verwaltet. Also muss er ja erreichbar sein - wie sonst soll ein Mailserver von draussen bei ihm ein Mail abliefern können?


QUOTE (jAuer @ Do 10.8.2006, 11:06)wird akzeptiert und baut eine Verbindung auf.
Wenn ich die Befehlsfolge wüßte, müßte ich Mails über mail.domain.ch direkt versenden können.

Ich weiss die Folge und habs ausprobiert - Beni's Server akzeptiert keine Mail an nicht-lokale Konten, wenn der Sender nicht authentifiziert ist. Also absolut sauberes Verhalten.

Griessli
Irene
 
Hallo Beni,

Ja, dein Mailserver ist offen, aber authentication ist ON.

Versuch mit SMTP:
CODE
220 mail.domain.ch ESMTP
helo speedy.gonzales.net
250 Hello.
mail from: speedy@gonzales.net
250 OK
rcpt to: rw2000@bluewin.ch
530 SMTP authentication is required.



Aha, du hast einen ESMTP Server, also dann:

CODE
220 mail.domain.ch ESMTP
ehlo shiva.jussieu.fr
250-hmailserver
250-SIZE
250 AUTH LOGIN
MAIL FROM: <jean@jussieu.fr> AUTH=jean@jussieu.fr
250 OK
rcpt rw2000@bluewin.ch
530 SMTP authentication is required.



TURN und VRFY sind disallowed, gut.
Ich habe auch noch auf AUTH rumgehämmert, bin aber nicht reingekommen
wink.gif


Ich schlage dir vor, das Logfile anzusehen. Aber so wie ich es sehe, kommt man ohne Authentication nicht durch.

Meine Versuch kannst du ja anhand des oben kopierten Codes finden.

ph34r.gif
Your white hat hacker
ph34r.gif

Cheers, René
 
QUOTE (Irene @ Do 10.8.2006, 10:18)Ich weiss die Folge und habs ausprobiert - Beni's Server akzeptiert keine Mail an nicht-lokale Konten, wenn der Sender nicht authentifiziert ist. Also absolut sauberes Verhalten.

Thanks für die Info - ich mußte bei mir bis jetzt nur ausgehende Mails konfigurieren, die von einem der internen Server initiiert wurden.


Wenn man allerdings so nicht reinkommt? Liegt die Ursache womöglich nicht in der Konfiguration des SMTP, sondern in einem unsicheren Script, das per Mail Header Injection für Spam genutzt werden kann?
 
QUOTE (jAuer @ Do 10.8.2006, 11:36)Wenn man allerdings so nicht reinkommt? Liegt die Ursache womöglich nicht in der Konfiguration des SMTP, sondern in einem unsicheren Script, das per Mail Header Injection für Spam genutzt werden kann?

Es ist noch nicht gesagt, dass man so nicht reinkommt. Es kann sein, dass der Mailserver bei gewissen Befehlen heikel reagiert, dass beispielsweise ein Buffer Overflow provoziert werden kann oder sonstwas Altbekanntes.

Kann aber auch sein, dass der Server irgendwo sonst - auf einem anderen Port bezw. Dienst - ein Loch hat und darüber dann Mails initiiert werden. Wenn Mails von lokal kommen, wird wahrscheinlich keine Authentifizierung verlangt. Um das rauszufinden, wären eben die Mail-Logs nötig, aber auch andere Kenntnisse des Servers, z.B. Betriebssystem, was läuft sonst für Software/Dienste, wie ist der Schutz gegen aussen konfiguriert (Firewall-Regeln) und so weiter. Ein ziemlich komplexes Problem
huh.gif


Griessli
Irene
 
Vielen Dank für die Zahlreichen Antworten.

Gem. http://www.abuse.net/relay.html scheint es Ok. zu sein.
QUOTE Mail relay testing
Connecting to mail.domain.ch for anonymous test ...

<<< 220 mail.domain.ch ESMTP
>>> HELO www.abuse.net
<<< 250 Hello.
Relay test 1
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@abuse.net>
<<< 250 OK
>>> RCPT TO:<securitytest@abuse.net>
<<< 530 SMTP authentication is required.
Relay test 2
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest>
<<< 550 The address is not valid...
Relay test 3
>>> RSET
<<< 250 OK
>>> MAIL FROM:<>
<<< 250 OK
>>> RCPT TO:<securitytest@abuse.net>
<<< 530 SMTP authentication is required.
Relay test 4
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<securitytest@abuse.net>
<<< 530 SMTP authentication is required.
Relay test 5
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@[84.74.99.223]>
<<< 250 OK
>>> RCPT TO:<securitytest@abuse.net>
<<< 530 SMTP authentication is required.
Relay test 6
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<securitytest%abuse.net@mail.domain.ch>
<<< 530 SMTP authentication is required.
Relay test 7
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<securitytest%abuse.net@[84.74.99.223]>
<<< 530 SMTP authentication is required.
Relay test 8
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<"securitytest@abuse.net">
<<< 530 SMTP authentication is required.
Relay test 9
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<"securitytest%abuse.net">
<<< 530 SMTP authentication is required.
Relay test 10
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<securitytest@abuse.net@mail.domain.ch>
<<< 530 SMTP authentication is required.
Relay test 11
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<"securitytest@abuse.net"@mail.domain.ch>
<<< 530 SMTP authentication is required.
Relay test 12
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<securitytest@abuse.net@[84.74.99.223]>
<<< 530 SMTP authentication is required.
Relay test 13
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<@mail.domain.ch:securitytest@abuse.net>
<<< 530 SMTP authentication is required.
Relay test 14
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<@[84.74.99.223]:securitytest@abuse.net>
<<< 530 SMTP authentication is required.
Relay test 15
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<abuse.net!securitytest>
<<< 530 SMTP authentication is required.
Relay test 16
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<abuse.net!securitytest@mail.domain.ch>
<<< 530 SMTP authentication is required.
Relay test 17
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest@mail.domain.ch>
<<< 250 OK
>>> RCPT TO:<abuse.net!securitytest@[84.74.99.223]>
<<< 530 SMTP authentication is required.
Relay test result
All tests performed, no relays accepted.
 
Soeben ist mir ein Lichtlein aufgegeangen....

Es ist alles i.O. hab alles sauber dicht gemacht. Wenn ich aber eine Email bekomme, leite ich eine Kopie an meinen Handy Email-Account weiter.

Nätürlich leitet die Regel auch den Spam weiter! Und der Spam wird dann vom DCC von cablecom abgewiesen...

OT: Weiss wer wie man DCC auch einbinden kann? Scheint zuverlässig den Spam zu bekämpfen.
 
Tiptop
wink.gif


Wie man DCC einbindet, weiss ich nicht. Allerdings wär ich vorsichtig mit dem Übernehmen von Spamfiltern von Cablecom. Die haben teilweise so harte Filter, dass auch erwünschter Traffic abgewiesen wird.

Ich benutze seit kurzem EWall, das zwischen Internet und Mailserver geschaltet wird und wo man sehr feine Regeln selber definieren kann. Ausserdem hat man mittels Javascript Zugriff auf das gesamte SMTP-Protokoll. Seitdem erhalte ich null Spam mehr, und es gab bisher kein false positive.

Griessli
Irene
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben