Current time: 12-24-2024, 04:16 AM Hello There, Guest! (LoginRegister)


Thread Closed 
[ERLEDIGT]Rapider anstieg der postfix mailqueue
Author Message
Kayaro Offline
Junior Member
*

Posts: 79
Joined: Apr 2009
Reputation: -1
Post: #1
[ERLEDIGT]Rapider anstieg der postfix mailqueue
Hallo Leute,

ich habe eben festgestellt, das die mailqueue rapide angestiegen ist. Vorher lag diese eigentlich bei null, nun habe ich knapp 300 mails in der queue. Seit 3 Tagen ist dies nun steigend. Es sieht mir sehr nach Spam aus, jedoch kann ich nicht lokalisieren worüber diese verschickt werden. Hat jemand einen Tipp für mich?
(This post was last modified: 04-22-2011 12:53 AM by ZooL.)
04-21-2011 08:40 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #2
RE: Rapider anstieg der postfix mailqueue
"mailq" gibt mal einen ersten Überblick, was da so gequeued wird.

Zuerst muss herausgefunden werden, ob da Spam dahinter steckt oder ein technisches Problem...

/J
04-21-2011 08:55 PM
Visit this user's website Find all posts by this user
Kayaro Offline
Junior Member
*

Posts: 79
Joined: Apr 2009
Reputation: -1
Post: #3
RE: Rapider anstieg der postfix mailqueue
Die queue war ausschließlich mit Spam voll. Spam von visa.it

Die Logs sind entsprechend Groß (> 90 MB)

Die queue habe ich natürlich sofort geleert als ich es gerade feststellte
Im Header steht:

Code:
Received     from visa.it (host81-142-211-21.in-addr.btopenworld.com [81.142.211.21]) by mein.server.de (Postfix) with ESMTPA id CE9A588C261 for <rkdjqqxxxzapc@jumpy.it>; Thu, 21 Apr 2011 13:26:50 +0200 (CEST)
From     Verified By Visa <servizi.clienti@visa.it>
To     rkdjqqxxxzapc@jumpy.it
Subject     Metodi di protezione.
Date     21 Apr 2011 12:26:45 +0100
Message-ID     <20110421122645.6A3370B5BACDD68C@visa.it>
MIME-Version     1.0
Content-Type     multipart/mixed; boundary="----=_NextPart_000_0012_71AA0CBB.80801A99"

Edit: Ich habe jetzt erstmal die IP gesperrt und nun ist ruhe... eine Schwachstelle habe ich jedoch noch nicht wirklich gefunden...
(This post was last modified: 04-21-2011 10:06 PM by Kayaro.)
04-21-2011 08:58 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #4
RE: Rapider anstieg der postfix mailqueue
hm - waren das alles Mails an Mailkonti auf deinem Server? dann hätten sie ja eigentlich in den Postfächern versorgt sein sollen....
Oder war das von jemandem, der über einen Server Mails versenden darf?

Oder - hast du ein offenes Mailrelay????????????

Gruss J
04-21-2011 10:07 PM
Visit this user's website Find all posts by this user
Kayaro Offline
Junior Member
*

Posts: 79
Joined: Apr 2009
Reputation: -1
Post: #5
RE: Rapider anstieg der postfix mailqueue
Ich hoste auf dem Server KEINE! .it Domains und keine Mail ist an ein vorhandenes Postfach gegangen.

Ich habe gerade nochmal die postfix config geprüft und konnte keinen Fehler feststellen. Das komische daran ist ja auch das der Server seit über einem Jahr im Netz ist und bis vor 3 Tagen nie Probleme hatte...

Edit: Habe gerade einen Testlauf gemacht mit folgendem Ergebnis:

System appeared to reject relay attempts
Connection closed by foreign host.
telnet relay-test.mail-abuse.org
(This post was last modified: 04-21-2011 11:17 PM by Kayaro.)
04-21-2011 10:57 PM
Find all posts by this user
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #6
RE: Rapider anstieg der postfix mailqueue
Hm, seltsam.

Die Mail muss nicht an die Adresse gehen, die als "To:" angegeben ist - es gibt auch BCC:

Ich würde auf jeden Fall mal das Log genauer ansehen, um zu schauen, wie das reinkam.

Es gibt nicht mehr viele Möglichkeiten:
- ein Kundenkonto wurde geknackt und der Spam mit SASL via DeinServer verschickt
- der Spam wird auf deinem Server generiert (Webscripte etc!)
- doch für ein Konto auf dem Server... aber welches?
- ... anderes...?

Ich finde das nicht so banal...

/J
04-21-2011 11:32 PM
Visit this user's website Find all posts by this user
Kayaro Offline
Junior Member
*

Posts: 79
Joined: Apr 2009
Reputation: -1
Post: #7
RE: Rapider anstieg der postfix mailqueue
Ich habe die Logs jetzt gesichert und geleert damit ich in den nächsten Stunden u. Tagen mal genauer beobachten kann was da passiert und dann die Quelle beheben. Es hat jedoch sehr gewirkt alleine schon die IP zu sperren, seit dem ist der Mailserver entlastet wurden... mal schauen wie es weiter geht. Danke dennoch für die Hilfe!
http://www.picspider.de/out.php/i380_loc...e-week.png aber dennoch krass anzusehen wie schnell der Anstieg war. Daran sieht man mal wieder: Wenn man mal ein paar Tage unterwegs ist läuft alles Amok ...
(This post was last modified: 04-21-2011 11:38 PM by Kayaro.)
04-21-2011 11:35 PM
Find all posts by this user
Thread Closed 


Forum Jump:


User(s) browsing this thread: 1 Guest(s)