[Postfixbuch-users] abuse.net

Daniel Sepeur mlists at eomis.de
So Sep 26 15:39:56 CEST 2004


High :-)

> > Das heisst, sendmail für jeden sperren und keine Mails mehr über 
> > php-programm bzw. perl-scripte akzeptieren? Wenn nicht, was 
> meinst Du 
> > mit "Befehle sperren"?
> 
> sendmail selbst zu sperren, wird problematisch.  Manche Programme, 
> wie z.B. cron, verschicken darüber Fehlermeldungen.

Yo, ich weiss. Daher kann und werde ich das auch nicht tun :-)

> Aber es muss ja ein Skript geben, das der Webserver ausgeführt hat.  
> Schau Dir das vielleicht mal an.  Wird das überhaupt benötigt?  
> Darf überhaupt ein User derartige Skripte anlegen?

Da gabs zwei FormMail-Skripte. Bis vor 2 Wochen ist alles in Butter
gewesen. Ich war nicht gelistet in irgendwelchen Datenbanken und auch
abuse.net kannte mich nicht. Dann verreckte ein Server meines Kunden.
Ich, nett wie ich bin, nehme alle seine Webs und Mail-Accounts zu mir
auf die Maschine, während ich seine Maschine neu herrichte.
Und genau seit diesem Zeitraum scheine ich Probleme zu haben. Ich habs
aber erst gestern gemerkt und die Skripte abgeschaltet. Der Kunde
braucht die Möglichkeit, Sendmail von PHP oder PERL aus direkt
anzusprechen. Und er darf solche Skripte auch in seinem CGI-BIN
Verzeichnis anlegen.
Die Skripte sind jetzt jedenfalls mal deaktiviert und ich schaue, was
sich tut. Wenn ich den Helpdesk des AOL-Postmasters richtig verstanden
habe, könnte der Spuk in 24 bis 48 Stunden wieder vorüber sein. Wenn ich
mehr als 24 Stunden keinen SPAM an AOL schicke, dann würden die mich
automatisch aus ihrer Blockliste (und eben aus der von abuse.net)
entfernen (wers glaubt wird selig).

> > Ja, wwwrun ist mein WebServer. Das ist richtig. Schon seit geraumer 
> > Zeit. Aber was heisst sicher machen? Meine Kunden wollen PHPen und 
> > PERLen und irgendwie wollen die auch mailen. Also müssen 
> sie, wenn sie 
> > nicht auf den STMP-Server aufsetzen können mit ihren MailScripten, 
> > doch über Sendmail gehen.
> 
> Was sind das für Skripte?  Kann man da die Empfängeradresse selbst 
> eingeben?  Oder dienen die als "Feedback-Formular"?  Dann wäre ja 
> die Empfängeradresse fest und darf nicht, auch nicht durch einen 
> entsprechenden Aufruf des Skriptes, geändert werden.

Die Recipients sind in den Programmen zwar fest eingegeben, aber es wäre
denkbar, dass sie auch irgendwie anders übergeben werden. Ich bin leider
kein Hacker, aber ich denke, dass man einer werden muss, um seinen
eigenen Server im Netz stehen zu haben. Ganz schön dämlich, die Welt da
draussen.

> > > Weil Deine Apache offen ist.
> >
> > Das verstehe ich immer noch nicht so ganz. Klar, über wwwrun werden 
> > nach sendmail mails geschickt, wenn jemand ein WebFormular 
> einsetzt. 
> > Logisch. Aber das ist eigentlich mehr oder weniger normal. 
> Im Grunde 
> > wären doch die Skripte sicher zu machen nicht nicht die 
> Möglichkeit zu 
> > entziehen, Sendmail generell zu benutzen.
> 
> Wenn Du das Versenden von Mails über Skripte prinzipiell erlauben 
> willst, müssen, wie Du sagt, die Skripte selbst sicher sein.  Also 
> auf jeden Fall die Empfängeradresse fest einstellen.  Ggf. kann man 
> ja auch über eine Art Bremse nachdenken.  So nach dem Motto, mehr 
> als x Mails pro y Minuten dürfen nicht verschickt werden.

Ja das stimmt. Wie implementiert man aber sowas in Postfix? Ich habe
folgende Einstellungen z.B. in der main.cf:

smtpd_recipient_limit = 5
smtp_destination_recipient_limit = 5

Das hilft aber nicht bzw. stellt Postfix nix damit an. Ich stellte ja
fest, dass die Anzahl der Recipients beim Missbrauch bei zwischen 400
und 600 lag. Von daher wollte ich das erstmal begrenzen. Geht aber
scheinbar nicht. Schade :-(

Hat einer eine gute Idee, wie man so eine Bremse einbauen könnte?

Daniel




Mehr Informationen über die Mailingliste Postfixbuch-users