[Postfixbuch-users] Nach newsletter auf Blacklist
Alexander Busam
alexander.busam at gmx.net
Do Nov 20 15:37:02 CET 2008
-------- Original-Nachricht --------
> Datum: Thu, 20 Nov 2008 12:50:27 +0100
> Von: "Uwe Driessen" <driessen at fblan.de>
> An: "\'Eine Diskussionsliste rund um das Postfix-Buch von Peer Heinlein.\'" <postfixbuch-users at listen.jpberlin.de>
> Betreff: Re: [Postfixbuch-users] Nach newsletter auf Blacklist
> On Behalf Of Alexander Busam
> > Von: Sandy Drobic <postfixbuch-users at japantest.homelinux.com>
> > > Damit bleiben noch einige weitere Möglichkeiten:
> > >
> > > - unter den versandten Mails wurden auch Spamtraps angeschrieben.
> > >
> > > - ein Trojaner im internen Netzwerk ist fleißig am Spammen, ohne dass
> > > dies
> > > über den Mailserver geht, aber eben über die gleiche Firewall und
> damit
> > > die
> > > selbe externe IP wie der Mailserver.
> > >
> >
> > Das ist so langsam auch meine Vermutung. Wir werden die Rechner mal
> durchscannern. Was
> > natürlich zeimlich zeitaufwendig ist. Laut der CBL-blacklist wird die
> AntiMalware-
> > Software von Microsoft und der Stinger von McAfee empfohlen. Sie die
> beiden Tools
> > ausreichend ?
>
> Wie wäre es denn wenn du in der Firewall den Netzwerkverkehr nach außen
> beobachtest und
> schaust wer da so alles wohin pustet?
> Spart dir im Ergebnis evtl. einiges an Arbeit denn es müssen ja nur die
> auffälligen IP's
> kontrolliert und im Zweifel gescannt werden.
>
> Spybot.org, AdWare von Lavasoft.de, HijackThis, aktueller Virenscanner.
> Ist ein System kompromittiert im Zweifelsfall neu aufsetzen egal was die
> Tools gesagt
> haben.
>
> >
> >
> > > Ist sichergestellt, dass NUR der Mailserver Mails senden kann?
> > > Normalerweise
> > > ist die Firewall so eingestellt, dass kein anderer Server/Client auf
> Port
> > > 25
> > > extern zugreifen kann.
> >
> > Ich habe die Firewall vor 2 Tagen so konfiguriert, dass nur noch die
> beiden Mailserver
> > nach außen (port 25) emails verschicken können.
> >
> > Ich hab mir auch nochmal die main.cf angeschaut, wer alles emails
> versenden darf. Da
> > stehen folgende Einträge in gleicher Reihenfolge drin. Ich weiß, der
> letzte Eintrag
> > zählt. Die Konfig ist aber in den letzten Wochen so gewachsen, seit ich
> mich damit
> > beschäftigt habe.
> >
> > smtpd_recipient_restrictions =
> permit_my_networks,reject_unauth_destination
>
> Im Postfix log kannst du genau nachschauen von welcher IP mit welchem
> Absender zu welchem
> Empfänger geschickt wird. Da lässt sich ein wildgewordener Client
> ebenfalls gut mit finden
>
>
> >
> > ...
> > ...
> >
> > smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_mynetworks,
> > check_relay_domains
>
> Da wäre mal ein "postconf -n" interessant. Aus Bruchstücken kann man in
> der Regel nicht so
> sehr viel schließen.
> IP's usw. und sicherheitsrelevante Dinge eindeutig maskieren
>
Hallo,, was postconf -n liefert:
alias_maps = ldap:ldapalias, hash:/etc/aliases
biff = no
broken_sasl_auth_clients = yes
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
debug_peer_level = 2
defer_transports =
delay_warning_time = 4h
disable_dns_lookups = no
disable_mime_output_conversion = no
html_directory = /usr/share/doc/packages/postfix/html
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mail_spool_directory = /var/mail
mailbox_command =
mailbox_size_limit = 0
mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_domains =
masquerade_exceptions = root
message_size_limit = 50000000
mydestination = $myhostname, localhost.$mydomain, mail.hofmann-intern.de
myhostname = mail.hofmann-intern.de
mynetworks_style = subnet
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relay_domains = hofmann-foerdertechnik.com
relayhost =
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_sasl_auth_enable = no
smtp_tls_cert_file = /etc/ssl/zertifikate/mailservercert.pem
smtp_tls_key_file = /etc/ssl/zertifikate/mailserverkey.pem
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_client_restrictions =
smtpd_enforce_tls = no
smtpd_helo_required = no
smtpd_helo_restrictions =
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, check_relay_domains
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous
smtpd_sender_restrictions = hash:/etc/postfix/access
smtpd_tls_CAfile = /etc/ssl/zertifikate/demoCA/cacert.pem
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/ssl/zertifikate/mailservercert.pem
smtpd_tls_key_file = /etc/ssl/zertifikate/mailserverkey.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_req_ccert = no
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
strict_8bitmime = yes
strict_rfc821_envelopes = no
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550
virtual_alias_domains = hash:/etc/postfix/virtual
virtual_alias_maps = hash:/etc/postfix/virtual
Die DNS hofmann-intern.de wird nur intern verwendet. Sie ist auch nicht als TLD frei.
Gruß Alex
> >
> > Gruß Alex
> >
>
>
> Mit freundlichen Grüßen
>
> Drießen
>
> --
> Software & Computer
> Uwe Drießen
> Lembergstraße 33
> 67824 Feilbingert
> Tel.: +49 06708 / 660045 Fax: +49 06708 / 661397
>
> --
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
>
> Postfixbuch-users at listen.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users
--
Psssst! Schon vom neuen GMX MultiMessenger gehört? Der kann`s mit allen: http://www.gmx.net/de/go/multimessenger
Mehr Informationen über die Mailingliste Postfixbuch-users