[Postfixbuch-users] Problem mit Spam via Webseite :-(

[Mathias Jeschke]

Am 11.06.12 20:29, schrieb Holm Kapschitzki:

> Ich kenne das unter anderem auch so, dass Spam versendet wird von
> Prozessen, die auf dem Server unter dem User gestartet werden, die gar
> nichts mit dem eigentlichen Mailsystem zu tun haben und schon gar nicht
> im Maillog stehen. Da hilft die Konfiguration von Postfix nicht. Es
> hilft aber ein Script zu starten, welches Userprozesse killt, die zu
> lange laufen und unbekannt ist. Wenn Du zum Bsp. ein Prozess hast, z.
> Bsp. ein Perlscript, was durch eine Sicherheitslücke in Wordpressplugins
> gestartet wurde, dann mach mal ein lsof auf den Prozess. Dann sieht man
> wie Verbindungen auf Port 25 gestartet werden und darüber wird dann
> fleißig Spam versendet und der Server landet auf der Blacklist.

Was auch hilft, solange das "böse" Skript keine root-Rechte hat,
ist die Zuhilfenahme des Linux-Kernels (hier: Netfilter/IPtables):

$ iptables -A OUTPUT -m owner --uid-owner postfix \
  -p tcp --dport 25 -j ACCEPT
$ iptables -A OUTPUT \! -o lo -p tcp --dport 25 -j REJECT

Das weist ausgehende Verbindungen an Zielport 25 zurück[*], wenn diese
nicht von einem Prozess des Benutzers "postfix" aufgebaut werden.


[*] Eine Ausnahme für localhost-Verbindung dürfte i.d.R. sinnvoll sein.

Gruß,
Mathias.