[Postfixbuch-users] Spamming über SMTP Auth

Sandy Drobic postfixbuch-users at japantest.homelinux.com
So Feb 25 21:45:50 CET 2007 

Andreas Jung wrote:
> Hallo,
> 
> ich habe Postfix 2.2.1 auf Suse 9.3 laufen.
> 
> Seit kurzer Zeit sehe ich, dass sich Spammer über SMTP (SASL) einloggen und dann relayen. Ich dachte eigentlich, dass mein System dicht ist, aber offensichtlich nicht.
> Ich habe nur zwei Accounts für SASL konfiguriert aber die Spammer können sich 
> doch offenbar über webmaster at meinedomain.de einloggen. Einen entsprechenden Account habe ich aber nie eingetragen.Ich finde aber auch nicht raus wieso die SASL Authentikation nicht funktioniert
> 
> Der betreffende Tail meiner main.cf sieht so aus:

An dieser Stelle sage ich meistens schon "Danke, aber lieber die Ausgabe
von 'postconf -n' posten, meinetwegen auch anonymisiert (aber wenn, dann
korrekt anonymisiert).

> # sasl config
> broken_sasl_auth_clients = yes
> smtpd_sasl_auth_enable = no

Damit sollte kein smtp auth möglich sein.

> smtpd_sasl_security_options = noanonymous
> smtpd_sasl_local_domain = $myhostname
> smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks

Kannst du rauswerfen, da dahinter keine ablehnenden Checks sind. Es wird
also IMMER erlaubt, egal ob in mynetworks oder über smtp auth.

> smtpd_recipient_restrictions = permit_sasl_authenticated,
>   permit_mynetworks,
>   reject_unauth_destination,
>   reject_unknown_sender_domain,
>   reject_non_fqdn_sender
>   reject_rbl_client relays.ordb.org,

ordb.org ist sein Wochen tot, wie dir auch dein Log sagt. Sie wird auch
nicht wieder auferstehen, begrabe sie also anständig.

>   reject_rbl_client blackholes.easynet.nl,
>   reject_rbl_client cbl.abuseat.org,
>   reject_rbl_client proxies.blackholes.wirehub.net,
>   reject_rbl_client bl.spamcop.net,
>   reject_rbl_client sbl.spamhaus.org,
>   reject_rbl_client opm.blitzed.org,

Du kannst sbl, cbl und opm über sbl-xbl.spamhaus.org gemeinsam abfragen.
Da du auch njabl.org abfragst, kannst du direkt zen.spamhaus.org verwenden
und sparst so drei Abfragen.

>   reject_rbl_client dnsbl.njabl.org,
>   reject_rbl_client list.dsbl.org,
>   reject_rbl_client multihop.dsbl.org,
>   check_policy_service inet:127.0.0.1:2501,
>   permit
> 
> policy_time_limit=3600
> 
> #smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
> 
> 
> ## tls config
> smtpd_use_tls = yes
> smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
> smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
> smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
> smtpd_tls_loglevel = 1
> smtpd_tls_received_header = yes
> smtpd_tls_session_cache_timeout = 3600s
> 
> Die smtp.conf von SASL2 sieht so aus:
> 
> h592443:/etc/postfix # cat /etc/sasl2/smtpd.conf
> pwcheck_method: saslauthd
> mech_list: plain login
> 
> Weiss jemand wieso offenbar jeder authenifiziert wird? Ich komme wirklich nicht
> dahinter.

Entweder ein schlechtes Passwort, oder ein abgehörtes Passwort
(smtpd_tls_auth_only = yes wird für saslauthd dringend empfohlen!).

Ändere dies Passwörter und erlaube smtp auth nur über TLS verschlüsselt.



-- 
Sandy

Antworten bitte nur in die Mailingliste!
PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Mehr Informationen über die Mailingliste Postfixbuch-users