[Postfixbuch-users] Mailserver wird angegriffen

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Di Aug 15 12:35:10 CEST 2006 

Sven Löschner wrote:
> Hallo,
> 
> Ich habe einen Mailserver, der seit ein paar Tagen angegriffen wird.
> Anfänglich Angriffe lagen wohl an einem PHP Webmail Formular, welches nicht
> richtig abgesichert war. Nun kann ich diese Fehlerquelle aber ausschließen
> und bekomme noch täglich sehr viele Log-Meldungen, bei denen ich gerne
> sicher gehen würde, dass sie ungefährlich sind. Falls sie es nicht sind,
> kann mir hier evtl. jemand sagen, was da falsch laufen könnte.
> 
> Das Hauptproblem ist glaube ich, dass versucht wird Mails über wwwrun (der
> Apache-user) zu verschicken.
> 
> Log-Art Nummer 1, die oft auftritt:
> 
> Transcript of session follows.
> 
>  Out: 220 mailserver.meinedomain.de ESMTP Postfix
>  In:  EHLO red.mydnspages.com
>  Out: 250-mailserver.meinedomain.de
>  Out: 250-PIPELINING
>  Out: 250-SIZE 102400000
>  Out: 250-VRFY
>  Out: 250-ETRN
>  Out: 250-AUTH PLAIN LOGIN
>  Out: 250-AUTH=PLAIN LOGIN
>  Out: 250-ENHANCEDSTATUSCODES
>  Out: 250-8BITMIME
>  Out: 250 DSN
>  In:  MAIL FROM:<howitz at red.mydnspages.com> SIZE=3296
>  Out: 250 2.1.0 Ok
>  In:  RCPT TO:<improveyourlife at mailserver.meinedomain.de>
>  Out: 450 4.1.1 <improveyourlife at mailserver.meinedomain.de>: Recipient
> address
>      rejected: User unknown in local recipient table
>  In:  DATA
>  Out: 454 4.5.1 Error: no valid recipients
>  In:  QUIT
>  Out: 221 2.0.0 Bye

Der übliche Spamversuch an einen ungültigen Empfänger in der eigenen 
Domain. Du solltest den Code aber auf 550 setzen, wenn die Validierung der 
lokalen Empfänger funktioniert. Sonst versuchen auch normale Server 
tagelang, eine ungültige Adresse immer wieder zuzustellen.

Ansonsten aber kein besonderer Anlass für Besorgnis.

> Log-Art Nummer 2:
> 
> Unexpected response from mail.charter.net[209.225.8.224].
> 
> Transcript of session follows.
> 
>  In:  220 charter.net ESMTP
>  Out: EHLO mailserver.Unexpected response from
> mail.charter.net[209.225.8.224].
> 
> Transcript of session follows.
> 
>  In:  220 charter.net ESMTP
>  Out: EHLO mailserver.meinedomain.de
>  In:  250-charter.net
>  In:  250-8BITMIME
>  In:  250 SIZE 15728640
>  Out: MAIL FROM:<wwwrun at mailserver.meinedomain.de> SIZE=1712
>  In:  250 sender <wwwrun at mailserver.meinedomain.de> ok
>  Out: RCPT TO:<detroit224 at charter.net>
>  In:  501 #5.1.1 bad address detroit224 at charter.net
>  Out: RSET
>  In:  250 reset
>  Out: QUIT

Das ist ein Transcript von deinem smtp, wenn dein Server versucht, eine 
Mail zu verschicken, aber die Empfängeradresse abgewiesen wird. Obwohl der 
Fehlercode etwas seltsam ist.

Sandy

Mehr Informationen über die Mailingliste Postfixbuch-users