[Postfixbuch-users] Spamversender
Holm Kapschitzki
holm at x-provi.de
Mo Nov 16 16:08:32 CET 2009
Kai Fürstenberg schrieb:
> Hallo Holm,
>
> Holm Kapschitzki schrieb am 16.11.2009 08:43:
>> Das einzige was ich unter xs4all.nl finde ist:
>>
>> Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL
>> [127.0.1.50] [127.0.1.50] <cheyenne.getrouw at xs4all.nl> ->
>> <cmaples at uswan.com>, Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>,
>> mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms
>
> greppe mal nach BCAE11D28556.
xxx -> meine serverdomain
Nov 14 22:09:36 s01 postfix/smtpd[8761]: BCAE11D28556:
client=localhost.localdomain[127.0.0.1]
Nov 14 22:09:36 s01 postfix/cleanup[8714]: BCAE11D28556:
message-id=<01ca656e.4bf237f2 at s01.xxx.de>
Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556:
from=<cheyenne.getrouw at xs4all.nl>, size=1062, nrcpt=1 (queue active)
Nov 14 22:09:36 s01 amavis[8343]: (08343-06) Passed CLEAN, MYNETS LOCAL
[127.0.1.50] [127.0.1.50] <cheyenne.getrouw at xs4all.nl> ->
<cmaples at uswan.com>, Message-ID: <01ca656e.4bf237f2 at s01.xxx.de>,
mail_id: MxVF7MfPMEYb, Hits: -, queued_as: BCAE11D28556, 144 ms
Nov 14 22:09:36 s01 postfix/smtp[7802]: 8A2001D28505:
to=<cmaples at uswan.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.29,
delays=0.14/0/0/0.14, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=08343-06,
from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as BCAE11D28556)
Nov 14 22:09:36 s01 postfix/smtp[8064]: BCAE11D28556:
to=<cmaples at uswan.com>, relay=127.0.1.50[127.0.1.50]:25, delay=0.06,
delays=0.05/0/0.01/0, dsn=5.4.6, status=bounced (mail for uswan.com
loops back to myself)
Nov 14 22:09:36 s01 postfix/bounce[8723]: BCAE11D28556: sender
non-delivery notification: D08051D28559
Nov 14 22:09:36 s01 postfix/qmgr[2014]: BCAE11D28556: removed
>
>> Das verstehe ich gar nicht. Warum 127.0.1.50 ? Was hat mein Amavis mit
>> dieser Absenderadresse/Empfänger zu tun?
>
> So spontan würde ich sagen, du wurdest Opfer eines Spoofing-Angriffes
> und jemand hat mit der Adresse 127.0.1.50 den Mail-Versand initiiert.
> Vermuten würde ich weiterhin, dass er das über den Amavis-Port gemacht
> hat, sonst stünde dort ja nichts. Amavis schiebt weiterhin üblicherweise
> an Postfix zurück, insofern muss auch da ein Log vorliegen.
>
> Ich denke, der Angriffspunkt bei Amavis ist begehrt, da auf dem Rückweg
> die Restriktionen meist stark gelockert werden ("kann ja nur noch von
> mir sein, da kann ich ja alles erlauben"). Außerdem steht als Standard
> in der amavisd.conf:
> # @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
> # 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );
> Insofern wurde die Mail als lokal angesehen (zumindest von Amavis).
>
> Prüf doch mal bitte deine smtpd_recipient_restrictions auf dem
> rückläufigen Port, insbesondere auch so Sachen wie permit_mynetworks und
> mynetworks.
>
Das ist interessant. Auf diesem Server ist das so konfiguriert:
master.cf:
smtp-amavis unix - - n - 6 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
127.0.0.1:10025 inet n - n - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o
receive_override_options=no_header_body_checks,no_unknown_recipient_checks
main.cf
content_filter=smtp-amavis:[127.0.0.1]:10024
amavis:
@mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 );
Wie kann ich das jetzt stoppen? Ist es besser den amavis nicht in der
main.cf zu deklarieren, sondern direkt in der master.cf?
Soll ich bei mynetworks nur 127.0.0.1 reinschreiben?
Holm
Mehr Informationen über die Mailingliste Postfixbuch-users