[Postfixbuch-users] Spamming über SMTP Auth
Sandy Drobic
postfixbuch-users at japantest.homelinux.com
So Feb 25 21:45:50 CET 2007
Andreas Jung wrote:
> Hallo,
>
> ich habe Postfix 2.2.1 auf Suse 9.3 laufen.
>
> Seit kurzer Zeit sehe ich, dass sich Spammer über SMTP (SASL) einloggen und dann relayen. Ich dachte eigentlich, dass mein System dicht ist, aber offensichtlich nicht.
> Ich habe nur zwei Accounts für SASL konfiguriert aber die Spammer können sich
> doch offenbar über webmaster at meinedomain.de einloggen. Einen entsprechenden Account habe ich aber nie eingetragen.Ich finde aber auch nicht raus wieso die SASL Authentikation nicht funktioniert
>
> Der betreffende Tail meiner main.cf sieht so aus:
An dieser Stelle sage ich meistens schon "Danke, aber lieber die Ausgabe
von 'postconf -n' posten, meinetwegen auch anonymisiert (aber wenn, dann
korrekt anonymisiert).
> # sasl config
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = no
Damit sollte kein smtp auth möglich sein.
> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $myhostname
> smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks
Kannst du rauswerfen, da dahinter keine ablehnenden Checks sind. Es wird
also IMMER erlaubt, egal ob in mynetworks oder über smtp auth.
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_mynetworks,
> reject_unauth_destination,
> reject_unknown_sender_domain,
> reject_non_fqdn_sender
> reject_rbl_client relays.ordb.org,
ordb.org ist sein Wochen tot, wie dir auch dein Log sagt. Sie wird auch
nicht wieder auferstehen, begrabe sie also anständig.
> reject_rbl_client blackholes.easynet.nl,
> reject_rbl_client cbl.abuseat.org,
> reject_rbl_client proxies.blackholes.wirehub.net,
> reject_rbl_client bl.spamcop.net,
> reject_rbl_client sbl.spamhaus.org,
> reject_rbl_client opm.blitzed.org,
Du kannst sbl, cbl und opm über sbl-xbl.spamhaus.org gemeinsam abfragen.
Da du auch njabl.org abfragst, kannst du direkt zen.spamhaus.org verwenden
und sparst so drei Abfragen.
> reject_rbl_client dnsbl.njabl.org,
> reject_rbl_client list.dsbl.org,
> reject_rbl_client multihop.dsbl.org,
> check_policy_service inet:127.0.0.1:2501,
> permit
>
> policy_time_limit=3600
>
> #smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
>
>
> ## tls config
> smtpd_use_tls = yes
> smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
> smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
> smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
>
> Die smtp.conf von SASL2 sieht so aus:
>
> h592443:/etc/postfix # cat /etc/sasl2/smtpd.conf
> pwcheck_method: saslauthd
> mech_list: plain login
>
> Weiss jemand wieso offenbar jeder authenifiziert wird? Ich komme wirklich nicht
> dahinter.
Entweder ein schlechtes Passwort, oder ein abgehörtes Passwort
(smtpd_tls_auth_only = yes wird für saslauthd dringend empfohlen!).
Ändere dies Passwörter und erlaube smtp auth nur über TLS verschlüsselt.
--
Sandy
Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Mehr Informationen über die Mailingliste Postfixbuch-users