[Postfixbuch-users] verseuchte Spamuser

Andre Hübner andre.huebner at gmx.de
Mi Feb 18 11:03:17 CET 2009


Hallo Liste,

habe aktuell das Problem das Spam direkt von eingeloggten Usern auf dem 
Server in die Warteschlange gestellt wird.
Offenbar handelt es sich um kompromittierte Systeme der User wo irgendwelche 
Trojaner aktiv geworden sind.
Teilweise wird der Spam von extern per smtp-auth eingeliefert was ich durch 
ein paar smtpd-limits verzögere.
Teilweise werden aber auch Scripte per ftp  hochgeladen die dann 
automatisiert aufgerufen werden und die Mails so direkt vom Server aus 
einliefern.
Hier fehlt mir momentan noch das richtge Mittel dies zu verhindern oder zu 
verzögern. Diese Scripte werden dann auch automatisiert gelöscht so das ich 
nur die Einträge in den ftp-Logs finde aber die Scripte selber nicht mehr. 
Mit den Scripten könnte ich dann Signaturen für unseren Scanner machen was 
bei anderen Schadprogrammen schon gut geholfen hat.
Für die internen Scripte fehlt mir momentan der Ansatz. Ich kann ja nicht 
einfach pop-before-smtp deaktivieren oder $mynetworks nicht mehr zulassen 
damit diese scripte ins leere laufen
Gibt es etwas sinnvolles was ich da tun könnte?

Danke,
Andre 




Mehr Informationen über die Mailingliste Postfixbuch-users