[Postfixbuch-users] Mailserver wird angegriffen

[Sven Löschner]

Hallo,

Ich habe einen Mailserver, der seit ein paar Tagen angegriffen wird.
Anfänglich Angriffe lagen wohl an einem PHP Webmail Formular, welches nicht
richtig abgesichert war. Nun kann ich diese Fehlerquelle aber ausschließen
und bekomme noch täglich sehr viele Log-Meldungen, bei denen ich gerne
sicher gehen würde, dass sie ungefährlich sind. Falls sie es nicht sind,
kann mir hier evtl. jemand sagen, was da falsch laufen könnte.

Das Hauptproblem ist glaube ich, dass versucht wird Mails über wwwrun (der
Apache-user) zu verschicken.

Log-Art Nummer 1, die oft auftritt:

Transcript of session follows.

 Out: 220 mailserver.meinedomain.de ESMTP Postfix
 In:  EHLO red.mydnspages.com
 Out: 250-mailserver.meinedomain.de
 Out: 250-PIPELINING
 Out: 250-SIZE 102400000
 Out: 250-VRFY
 Out: 250-ETRN
 Out: 250-AUTH PLAIN LOGIN
 Out: 250-AUTH=PLAIN LOGIN
 Out: 250-ENHANCEDSTATUSCODES
 Out: 250-8BITMIME
 Out: 250 DSN
 In:  MAIL FROM:<howitz at red.mydnspages.com> SIZE=3296
 Out: 250 2.1.0 Ok
 In:  RCPT TO:<improveyourlife at mailserver.meinedomain.de>
 Out: 450 4.1.1 <improveyourlife at mailserver.meinedomain.de>: Recipient
address
     rejected: User unknown in local recipient table
 In:  DATA
 Out: 454 4.5.1 Error: no valid recipients
 In:  QUIT
 Out: 221 2.0.0 Bye


Log-Art Nummer 2:

Unexpected response from mail.charter.net[209.225.8.224].

Transcript of session follows.

 In:  220 charter.net ESMTP
 Out: EHLO mailserver.Unexpected response from
mail.charter.net[209.225.8.224].

Transcript of session follows.

 In:  220 charter.net ESMTP
 Out: EHLO mailserver.meinedomain.de
 In:  250-charter.net
 In:  250-8BITMIME
 In:  250 SIZE 15728640
 Out: MAIL FROM:<wwwrun at mailserver.meinedomain.de> SIZE=1712
 In:  250 sender <wwwrun at mailserver.meinedomain.de> ok
 Out: RCPT TO:<detroit224 at charter.net>
 In:  501 #5.1.1 bad address detroit224 at charter.net
 Out: RSET
 In:  250 reset
 Out: QUIT