+- ispCP - Board - Support (http://www.isp-control.net/forum)
+-- Forum: ispCP Omega International Area (/forum-22.html)
+--- Forum: German Corner (/forum-26.html)
+--- Thread: [ERLEDIGT]Rapider anstieg der postfix mailqueue (/thread-13278.html)
[ERLEDIGT]Rapider anstieg der postfix mailqueue - Kayaro - 04-21-2011 08:40 PM
Hallo Leute,
ich habe eben festgestellt, das die mailqueue rapide angestiegen ist. Vorher lag diese eigentlich bei null, nun habe ich knapp 300 mails in der queue. Seit 3 Tagen ist dies nun steigend. Es sieht mir sehr nach Spam aus, jedoch kann ich nicht lokalisieren worüber diese verschickt werden. Hat jemand einen Tipp für mich?
RE: Rapider anstieg der postfix mailqueue - joximu - 04-21-2011 08:55 PM
"mailq" gibt mal einen ersten Überblick, was da so gequeued wird.
Zuerst muss herausgefunden werden, ob da Spam dahinter steckt oder ein technisches Problem...
/J
RE: Rapider anstieg der postfix mailqueue - Kayaro - 04-21-2011 08:58 PM
Die queue war ausschließlich mit Spam voll. Spam von visa.it
Die Logs sind entsprechend Groß (> 90 MB)
Die queue habe ich natürlich sofort geleert als ich es gerade feststellte
Im Header steht:
Code:
Received from visa.it (host81-142-211-21.in-addr.btopenworld.com [81.142.211.21]) by mein.server.de (Postfix) with ESMTPA id CE9A588C261 for <rkdjqqxxxzapc@jumpy.it>; Thu, 21 Apr 2011 13:26:50 +0200 (CEST)
From Verified By Visa <servizi.clienti@visa.it>
To rkdjqqxxxzapc@jumpy.it
Subject Metodi di protezione.
Date 21 Apr 2011 12:26:45 +0100
Message-ID <20110421122645.6A3370B5BACDD68C@visa.it>
MIME-Version 1.0
Content-Type multipart/mixed; boundary="----=_NextPart_000_0012_71AA0CBB.80801A99"Edit: Ich habe jetzt erstmal die IP gesperrt und nun ist ruhe... eine Schwachstelle habe ich jedoch noch nicht wirklich gefunden...
RE: Rapider anstieg der postfix mailqueue - joximu - 04-21-2011 10:07 PM
hm - waren das alles Mails an Mailkonti auf deinem Server? dann hätten sie ja eigentlich in den Postfächern versorgt sein sollen....
Oder war das von jemandem, der über einen Server Mails versenden darf?
Oder - hast du ein offenes Mailrelay????????????
Gruss J
RE: Rapider anstieg der postfix mailqueue - Kayaro - 04-21-2011 10:57 PM
Ich hoste auf dem Server KEINE! .it Domains und keine Mail ist an ein vorhandenes Postfach gegangen.
Ich habe gerade nochmal die postfix config geprüft und konnte keinen Fehler feststellen. Das komische daran ist ja auch das der Server seit über einem Jahr im Netz ist und bis vor 3 Tagen nie Probleme hatte...
Edit: Habe gerade einen Testlauf gemacht mit folgendem Ergebnis:
System appeared to reject relay attempts
Connection closed by foreign host.
telnet relay-test.mail-abuse.org
RE: Rapider anstieg der postfix mailqueue - joximu - 04-21-2011 11:32 PM
Hm, seltsam.
Die Mail muss nicht an die Adresse gehen, die als "To:" angegeben ist - es gibt auch BCC:
Ich würde auf jeden Fall mal das Log genauer ansehen, um zu schauen, wie das reinkam.
Es gibt nicht mehr viele Möglichkeiten:
- ein Kundenkonto wurde geknackt und der Spam mit SASL via DeinServer verschickt
- der Spam wird auf deinem Server generiert (Webscripte etc!)
- doch für ein Konto auf dem Server... aber welches?
- ... anderes...?
Ich finde das nicht so banal...
/J
RE: Rapider anstieg der postfix mailqueue - Kayaro - 04-21-2011 11:35 PM
Ich habe die Logs jetzt gesichert und geleert damit ich in den nächsten Stunden u. Tagen mal genauer beobachten kann was da passiert und dann die Quelle beheben. Es hat jedoch sehr gewirkt alleine schon die IP zu sperren, seit dem ist der Mailserver entlastet wurden... mal schauen wie es weiter geht. Danke dennoch für die Hilfe!
http://www.picspider.de/out.php/i380_localhost.localdomain-postfix-mailqueue-week.png aber dennoch krass anzusehen wie schnell der Anstieg war. Daran sieht man mal wieder: Wenn man mal ein paar Tage unterwegs ist läuft alles Amok ...