[Postfixbuch-users] mailserver gehackt?
Jens Kruse
j.kruse at econnex.de
Mi Jun 9 15:17:54 CEST 2004
Hallo!
Heute morgen lief mein /var voll und siehe da, seit gestern abend waren
mehrere GB mails über meinen Server 'raus geschickt worden :-(((
Ich setze ein Postfix 1.x auf Debian Woody ein (ständig aktualisiert
falls notwendig). Bisher waren Relayen für hosts mit 'pop-before-smtp'
erlaubt, es gab keine Probleme. Konfigänderungen hat es nicht gegeben,
warum wurde die Maschine nun geknackt?
[] ich hatte einfach nur Glück
[] es gibt einen Postfix Bug, der mir noch nicht bekannt war/ist
[] ich habe mein Postfix falsch konfiguriert
Hier die entsprechenden Konfigs:
main.cf
> # smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> smtpd_banner = $myhostname ESMTP
> setgid_group = postdrop
> biff = no
>
> # appending .domain is the MUA's job.
> append_dot_mydomain = no
> mydomain = domain-kiel.de
> myhostname = mailserver.domain-kiel.de
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
> myorigin = /etc/mailname
> mydestination = domain-kiel.de, mailserver.domain-kiel.de, localhost.domain-kiel.de, localhost
> # relayhost =
> relayhost = smtp.tng.de
> # mynetworks = 127.0.0.0/8
> mynetworks = 127.0.0.0/8, hash:/var/lib/pop-before-smtp/hosts
> mailbox_command = procmail -a "$EXTENSION"
> mailbox_size_limit = 0
> recipient_delimiter = +
>
> # Nur von lokalem Rechner (mailserver) Post annehmen
> inet_interfaces = localhost,1.2.3.4
>
> smtpd_recipient_restrictions =
> check_sender_access hash:/etc/postfix/access,
> check_recipient_access hash:/etc/postfix/access,
> permit_sasl_authenticated,
> permit_mynetworks,
> # permit_mydomain,
> # reject_non_fqdn_recipient,
> # check_client_access hash:/etc/postfix/pop-before-smtp,
> check_client_access hash:/var/lib/pop-before-smtp/hosts,
> # permit_maps_rbl,
> # permit_mx_backup,
> check_relay_domains
>
>
> # Aktiviert STARTTLS wenn Postfix Server ist:
> smtpd_use_tls = yes
>
> # Loggt (nicht) in den Received-Zeilen:
> smtpd_tls_received_header = no
>
> #
> smtpd_tls_key_file = /etc/postfix/key.pem
> smtpd_tls_cert_file = /etc/postfix/cert.pem
> smtpd_tls_CA_file = /etc/postfix/CAcert.pem
>
> body_check = regexp:/etc/postfix/body_checks
>
master.cf
> # ==========================================================================
> # service type private unpriv chroot wakeup maxproc command + args
> # (yes) (yes) (yes) (never) (50)
> # ==========================================================================
> # smtp inet n - - - - smtpd
> smtp inet n - n - - smtpd -v
> #628 inet n - - - - qmqpd
> pickup fifo n - - 60 1 pickup
> cleanup unix n - - - 0 cleanup
> qmgr fifo n - - 300 1 qmgr
> #qmgr fifo n - - 300 1 nqmgr
> rewrite unix - - - - - trivial-rewrite
> bounce unix - - - - 0 bounce
> defer unix - - - - 0 bounce
> flush unix n - - 1000? 0 flush
> smtp unix - - - - - smtp
> showq unix n - - - - showq
> error unix - - - - - error
> local unix - n n - - local
> virtual unix - n n - - virtual
> lmtp unix - - n - - lmtp
> #
> # Interfaces to non-Postfix software. Be sure to examine the manual
> # pages of the non-Postfix software to find out what options it wants.
> # The Cyrus deliver program has changed incompatibly.
> #
> cyrus unix - n n - - pipe
> flags=R user=cyrus argv=/usr/sbin/cyrdeliver -e -m ${extension} ${user}
> uucp unix - n n - - pipe
> flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
> ifmail unix - n n - - pipe
> flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
> bsmtp unix - n n - - pipe
> flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -d -t$nexthop -f$sender $recipient
> scalemail-backend unix - n n - 2 pipe
> flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
>
access:
> domain-kiel.de OK
> hanmail.net 550 We're fighting against SPAM!
> yahoo.ie 550 We're fighting against SPAM!
> yahoo.com 550 We're fighting against SPAM!
> netzero.net 550 We're fighting against SPAM!
> tw 550 We're fighting against SPAM!
> hinet.net 550 We're fighting against SPAM!
> 21cn.com 550 We're fighting against SPAM!
> tom.com 550 We're fighting against SPAM!
> cox.net 550 We're fighting against SPAM!
> doctor179.adsldns.org 550 We're fighting against SPAM!
> mail15.com 550 We're fighting against SPAM!
> rul3z.de 550 We're fighting against SPAM!
Wie gesagt: Bisher war relayen nur für authentifizierte user möglich,
jetzt funzt es mit einem 'telnet mailserver 25' ohne Probleme :-(((
Ich bin mir nicht sicher, ob meine main.cf die ist, für die ich sie
halte; IDS und logs meinen aber, das sie nicht korrumpiert ist ...
* Wo fange ich an zu suchen, bzw noch wichtiger:
* Wie bringe ich postfix wieder sicher zum Laufen? (derzeit ist der
mail-Server down)
Danke für Eure schnellstmöglichen Hinweise!!!
Gruß, Jens
Mehr Informationen über die Mailingliste Postfixbuch-users