[Postfixbuch-users] Trotz SMTP-Auth extreme Spamwellen - Die Lage in den Griff kriegen

Timo Heinrichs theinrichs at netzpepper.de
Do Nov 22 09:50:20 CET 2012


Hi, ich bin's nochmal!

Ich dachte ich hätte die Lösung gefunden, hab ich aber anscheinend nicht. Nochmal zu Erklärung:

Ich vermute, dass jemand mit falschen Logins trotzdem ein SMTP-Auth schafft und extreme Spamwellen verursacht! Ich habe jetzt mal den Auth-Debug im Dovecot angeschaltet:

2012-11-21 11:06:12 auth(default): Info: client out: OK 3       user=info at geheimemail.de        host=78.111.239.46      destuser=info at geheimemail.de    proxy   ssl=any-cert    starttls=Y      pass=777194
2012-11-21 11:06:12 auth-worker(default): Info: sql(info at geheimemail.de,94.198.165.4): query: SELECT NULL AS password, 'Y' as nopassword, host as host, destuser as destuser, 'Y' AS proxy FROM proxy WHERE destuser = 'info at geheimemail.de'
2012-11-21 11:06:12 auth-worker(default): Info: sql(info at geheimemail.de,94.198.165.4): unknown user
2012-11-21 11:06:12 auth-worker(default): Info: sql(info at geheimemail.de,94.198.165.4): query: SELECT NULL AS password, 'Y' as nopassword, b.ip_address as host, a.email as destuser, 'Y' AS proxy, 'any-cert' as 'ssl', 'Y' as starttls FROM mail_user as a LEFT JOIN server_ip as b ON a.server_id = b.server_id WHERE a.email = 'info at geheimemail.de'
2012-11-21 11:06:12 auth(default): Info: client out: OK 52      user=info at geheimemail.de        host=78.111.239.46      destuser=info at geheimemail.de    proxy   ssl=any-cert    starttls=Y      pass=585915
2012-11-21 11:06:13 auth-worker(default): Info: sql(info at geheimemail.de,115.42.228.98): query: SELECT NULL AS password, 'Y' as nopassword, host as host, destuser as destuser, 'Y' AS proxy FROM proxy WHERE destuser = 'info at geheimemail.de'
2012-11-21 11:06:13 auth-worker(default): Info: sql(info at geheimemail.de,115.42.228.98): unknown user
2012-11-21 11:06:13 auth-worker(default): Info: sql(info at geheimemail.de,115.42.228.98): query: SELECT NULL AS password, 'Y' as nopassword, b.ip_address as host, a.email as destuser, 'Y' AS proxy, 'any-cert' as 'ssl', 'Y' as starttls FROM mail_user as a LEFT JOIN server_ip as b ON a.server_id = b.server_id WHERE a.email = 'info at geheimemail.de'

Wie ihr seht, gibt es sogar zwei Passwörter mit denen es wohl klappt! Die sind beide definitiv nicht die richtigen Passwörter. Aber wo ist hier die Sicherheitslücke? Weil einloggen kann ich mich nicht mit dem Passwort!
Kann das am Dovecot-IMAP-Proxy liegen?
_______________________________________________
Postfixbuch-users -- http://www.postfixbuch.de Heinlein Professional Linux Support GmbH

Postfixbuch-users at listen.jpberlin.de
https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users



Mehr Informationen über die Mailingliste Postfixbuch-users