[Postfixbuch-users] Problem mit Spam via Webseite :-(

[Andreas Ernst]

Am 02.06.2012 20:08, schrieb Christian Schoepplein:
> Hallo zusammen,
>
> wir betreiben einen Server auf dem WEB, Mail und MySQL zusammen läuft.
> Seit einer Woche landet dieser Server regelmäßig auf irgendwelchen
> Blacklists und ich finde einfach nicht den Übeltäter, wahrscheinlich ein
> PHP- oder Perl-Skript, das zum Versenden von Mails genutzt wird :-(.
>
> Ich sehe in den Maillogs, dass von localhost connectet wird, daher gehe
> ich von einem PHP- oder Perl-Skript aus. Nur selbst wenn ich in den
> Webserverlogs rumsuche und ungefähr zur Zeit wo diese Mails verschickt
> wurden nach verdächtigen Einträgen schaue, finde ich leider nichts, es
> sind nicht verdächtig viele gleiche Seitenaufrufe für einen Account zu
> finden, etc. Langsam gehen mir leider die Ideen aus und ich weiß
> nichtmehr, wo und wie ich vernünftig suchen soll :-(.
>
> Wie geht ihr denn in solchen Fällen vor, also wie sucht ihr nach den
> entsprechenden Skripts, etc.? Die Webseiten laufen im fcgi-Mode, jeder
> Account hat sein eigenes access- und error-Log. Für postfix gibts ein
> großes Log, wie üblich. Kann man dann mail- oder webserverseitig
> irgendwelche Einstellungen vornehmen, um den Mißbrauch von schlecht
> programmierten Skripten zu vermeiden oder wenigstens den Versand von
> Mails auf ein Maß einzudämmen, dass der Server nicht gleich auf einer
> Blacklist landet und man noch reagieren kann?

Ich habe in den vhosts von Apache folgende Parameter:

php_admin_value sendmail_from <mail>
php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mail>

<mail> - Mailadresse von vhost Kunden

Die tauchen dann im Log auf.

-- 
ae | Andreas Ernst | IT Spektrum
Postfach 5, 65612 Beselich
Schupbacher Str. 32, 65614 Beselich, Germany
Tel: +49-6484-91002 Fax: +49-6484-91003
ae at ae-online.de | www.ae-online.de
www.parcelchecker.de | www.tachyon-online.de