[Postfixbuch-users] Problem mit Spam via Webseite :-(

Christian Schoepplein chris at schoeppi.net
Sa Jun 2 20:08:11 CEST 2012


Hallo zusammen,

wir betreiben einen Server auf dem WEB, Mail und MySQL zusammen läuft. 
Seit einer Woche landet dieser Server regelmäßig auf irgendwelchen 
Blacklists und ich finde einfach nicht den Übeltäter, wahrscheinlich ein 
PHP- oder Perl-Skript, das zum Versenden von Mails genutzt wird :-(.

Ich sehe in den Maillogs, dass von localhost connectet wird, daher gehe 
ich von einem PHP- oder Perl-Skript aus. Nur selbst wenn ich in den 
Webserverlogs rumsuche und ungefähr zur Zeit wo diese Mails verschickt 
wurden nach verdächtigen Einträgen schaue, finde ich leider nichts, es 
sind nicht verdächtig viele gleiche Seitenaufrufe für einen Account zu 
finden, etc. Langsam gehen mir leider die Ideen aus und ich weiß 
nichtmehr, wo und wie ich vernünftig suchen soll :-(.

Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den 
entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode, jeder 
Account hat sein eigenes access- und error-Log. Für postfix gibts ein 
großes Log, wie üblich. Kann man dann mail- oder webserverseitig 
irgendwelche Einstellungen vornehmen, um den Mißbrauch von schlecht 
programmierten Skripten zu vermeiden oder wenigstens den Versand von 
Mails auf ein Maß einzudämmen, dass der Server nicht gleich auf einer 
Blacklist landet und man noch reagieren kann?

Über jede Hilfe oder guten Tipp würde ich mich sehr freuen!

Viele Grüße und schonmal danke,

   Christian




Mehr Informationen über die Mailingliste Postfixbuch-users