[Postfixbuch-users] Nach newsletter auf Blacklist

Andre Tann atann at gmx.net
Do Nov 20 15:42:08 CET 2008


Alexander Busam, Donnerstag, 20. November 2008 12:11: 

> Das ist so langsam auch meine Vermutung. Wir werden die Rechner
> mal durchscannern. Was natürlich zeimlich zeitaufwendig ist. Laut
> der CBL-blacklist wird die AntiMalware-Software von Microsoft und
> der Stinger von McAfee empfohlen. Sie die beiden Tools
> ausreichend ?

So würde ich nicht anfangen. Setz Dich mit einer Kiste direkt an 
eure ausgehende Internet-Leitung, und schneide mit 
tcpdump/wireshark mit, wer so alles nach draußen quatscht, und was 
er so erzählt. Ich weiß jetzt nicht, wie das bei euch gehen könnte, 
denn Switches könnten eine gewisse Spaßbremse sein, weil Du nicht 
hörst, was andere so reden. Es gibt Switches, bei denen kann man 
Ports gezielt replizieren (die sind das bissal teurer), oder Du 
hängst irgendwo noch einen Hub rein, falls Du noch sowas rumliegen 
hast.

Auf diese Weise siehst Du genau, was läuft. Und dann kannst Du 
gezielt die Rechner untersuchen, von denen aus Spam versandt wird.


> Ich habe die Firewall vor 2 Tagen so konfiguriert, dass nur noch
> die beiden Mailserver nach außen (port 25) emails verschicken
> können.

Wenn das so ist, dann solltest Du während Deiner Schnüfflerei die 
Ports wieder aufmachen. Sonst können die Zombies nicht mehr nach 
draußen reden, und Du kannst auch nicht mehr zuhören und den 
Störenfried dingfest machen.


> Ich hab mir auch nochmal die main.cf angeschaut, wer alles emails
> versenden darf. Da stehen folgende Einträge in gleicher
> Reihenfolge drin. Ich weiß, der letzte Eintrag zählt. Die Konfig
> ist aber in den letzten Wochen so gewachsen, seit ich mich damit
> beschäftigt habe.

Was hindert Dich daran, die gewachsene Konfiguration in eine 
sinnvoll strukturierte Konfiguration zu überführen? Das vermehrt 
die Übersichtlichkeit, und mindert Fehlerquellen.

-- 
Andre Tann




Mehr Informationen über die Mailingliste Postfixbuch-users