[Postfixbuch-users] Spam-Versand via Localhost

Werner Flamme w.flamme at web.de
Sa Jan 19 11:40:31 CET 2013


[19.01.2013 10:59] [Dominic Pratt]:
> Hi Leute,
> 
> momentan habe ich einen Kunden, von dessen Server Spam versendet wird - 
> vermutlich über den Apachen.
> 
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
>     localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
>     client=localhost.localdomain[127.0.0.1]
>     Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
>     message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
>     Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
>     from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
>     Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
>     to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
>     dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>     Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
>     message-id=<20130118173319.ABF30B10BA7 at server17.xxx.de>
>     Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
>     non-delivery notification: ABF30B10BA7
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
>     size=3206, nrcpt=1 (queue active)
>     Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
> 
> server17.xxx.de ist die betroffene Maschine, die einen 
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier 
> zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Wo siehst Du qmail? Wenn Du qmgr meinst: das ist eine Komponente von
Postfix. Siehe z. B. die Abbildung 4.2 in der 3. Auflage von Peers
Postfix-Buch (auf S. 97).

> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige 
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Du willst Dir ansehen, wie man a) jedem Webhost einen separaten Absender
zuweist und b) verhindert, dass jemand, der ein Formular ausfüllt, den
Absender faken kann, indem er bestimmte Sachen im Text eingibt, mit
denen das Webmailer-Script nichts anfangen kann außer den Absender zu
verpfriemeln. Du könntest auf Peers Servern bleiben, wenn Du dazu z. B.
mal
<http://www.jpberlin.de/web/faq/faq-webspace/faq_webspace_email_injection/>
liest ;-)

Ein Rootkit zu schreiben, um Spam zu versenden, ist ein Aufwand, den man
nicht treiben muss. Rootkits machen wichtigere Sachen als sich sofort
selbst durch Spamversand zu verraten.

Gruß
Werner



Mehr Informationen über die Mailingliste Postfixbuch-users