[Postfixbuch-users] unbewusst ein openrelay

Sandy Drobic postfixbuch-users at japantest.homelinux.com
Do Sep 28 22:33:42 CEST 2006


Florian Mahlecke wrote:
> Ralf Hildebrandt schrieb:
> 
>>> ja apache laeuft. naja in den logs sind jede menge error meldungen von
>>> php seiten eines freundes der mit seinem kram auf dem server liegt.
>>>
>>> vielleicht sollte ich da mal anfangen ;)
>> Und vergiss die Keule nicht. Der hat sicher irgendein Mailsendescript
>> was missbraucht werden kann...
> 
> das passt jetzt vielleicht vom thema nicht ganz in die mailingliste 
> hier, aber gibt es in den logs irgend 'ne standartmeldung nach der man 
> suchen koennte oder evtl. eine andere moeglichkeit das entsprechende 
> script ausfindig zu machen ?

Grundsätzlich solltest du herausfinden, wie die Mail eingeliefert wurde. 
Dies steht auf jeden Fall im Log. Schau in der Ausgabe von "mailq" nach 
der Queue-ID und suche im Maillog danach, verfolge sie durch 
content_filter bis zur Einlieferung zurück.
- ein "postfix/pickup..." bei der Einlieferung bedeutet, dass sie über das 
Sendmail-Binary /usr/sbin/sendmail eingeliefert wurden, was auf einen 
Missbrauch des Apache hindeuten würde.
- ein "postfix/smtpd[...]: connect from ..." bedeutet, die Mail kam über 
Postfix herein, dann musst du nach der Ursache suchen, warum diese Mail 
zugelassen wurde. Nett sind in diesem Zusammenhang regexp Ausdrücke in 
virtual, die die Empfängervalidierung zunichte machen.

Sandy
-- 
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com




Mehr Informationen über die Mailingliste Postfixbuch-users