[Postfixbuch-users] Mailserver wird angegriffen
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
Di Aug 15 12:35:10 CEST 2006
Sven Löschner wrote:
> Hallo,
>
> Ich habe einen Mailserver, der seit ein paar Tagen angegriffen wird.
> Anfänglich Angriffe lagen wohl an einem PHP Webmail Formular, welches nicht
> richtig abgesichert war. Nun kann ich diese Fehlerquelle aber ausschließen
> und bekomme noch täglich sehr viele Log-Meldungen, bei denen ich gerne
> sicher gehen würde, dass sie ungefährlich sind. Falls sie es nicht sind,
> kann mir hier evtl. jemand sagen, was da falsch laufen könnte.
>
> Das Hauptproblem ist glaube ich, dass versucht wird Mails über wwwrun (der
> Apache-user) zu verschicken.
>
> Log-Art Nummer 1, die oft auftritt:
>
> Transcript of session follows.
>
> Out: 220 mailserver.meinedomain.de ESMTP Postfix
> In: EHLO red.mydnspages.com
> Out: 250-mailserver.meinedomain.de
> Out: 250-PIPELINING
> Out: 250-SIZE 102400000
> Out: 250-VRFY
> Out: 250-ETRN
> Out: 250-AUTH PLAIN LOGIN
> Out: 250-AUTH=PLAIN LOGIN
> Out: 250-ENHANCEDSTATUSCODES
> Out: 250-8BITMIME
> Out: 250 DSN
> In: MAIL FROM:<howitz at red.mydnspages.com> SIZE=3296
> Out: 250 2.1.0 Ok
> In: RCPT TO:<improveyourlife at mailserver.meinedomain.de>
> Out: 450 4.1.1 <improveyourlife at mailserver.meinedomain.de>: Recipient
> address
> rejected: User unknown in local recipient table
> In: DATA
> Out: 454 4.5.1 Error: no valid recipients
> In: QUIT
> Out: 221 2.0.0 Bye
Der übliche Spamversuch an einen ungültigen Empfänger in der eigenen
Domain. Du solltest den Code aber auf 550 setzen, wenn die Validierung der
lokalen Empfänger funktioniert. Sonst versuchen auch normale Server
tagelang, eine ungültige Adresse immer wieder zuzustellen.
Ansonsten aber kein besonderer Anlass für Besorgnis.
> Log-Art Nummer 2:
>
> Unexpected response from mail.charter.net[209.225.8.224].
>
> Transcript of session follows.
>
> In: 220 charter.net ESMTP
> Out: EHLO mailserver.Unexpected response from
> mail.charter.net[209.225.8.224].
>
> Transcript of session follows.
>
> In: 220 charter.net ESMTP
> Out: EHLO mailserver.meinedomain.de
> In: 250-charter.net
> In: 250-8BITMIME
> In: 250 SIZE 15728640
> Out: MAIL FROM:<wwwrun at mailserver.meinedomain.de> SIZE=1712
> In: 250 sender <wwwrun at mailserver.meinedomain.de> ok
> Out: RCPT TO:<detroit224 at charter.net>
> In: 501 #5.1.1 bad address detroit224 at charter.net
> Out: RSET
> In: 250 reset
> Out: QUIT
Das ist ein Transcript von deinem smtp, wenn dein Server versucht, eine
Mail zu verschicken, aber die Empfängeradresse abgewiesen wird. Obwohl der
Fehlercode etwas seltsam ist.
Sandy
Mehr Informationen über die Mailingliste Postfixbuch-users