SPAMMAIL an admin@

classic Classic list List threaded Threaded
25 messages Options
12
Reply | Threaded
Open this post in threaded view
|

SPAMMAIL an admin@

Günther J. Niederwimmer
Hallo Liste,

Ich habe seit neuestem ein Problem mit Postfix ?

Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
weitersenden ?

So eine richtige Spamschleuder halt?

Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem natürlich
ist aber postfix für die Domain example.com zuständig ?

Die User Verwaltung kommt von Dovecot (LDAP).

SPF Record ist gesetzt...

im Moment etwas ratlos............ :-(.

postconf -n
alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
bounce_template_file = /etc/postfix/bounce.de-DE.cf
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
$daemon_directory/$process_name $process_id & sleep 5
html_directory = no
inet_interfaces = all
inet_protocols = all
mail_owner = postfix
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
message_size_limit = 20480000
mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
myhostname = smtp.esslmaier.at
mynetworks = 127.0.0.0/8, 192.168.55.0/24, 217.xxxx.xxx.208/28,
[2a02:xxxx:xxxx:xxxx::]/56
newaliases_path = /usr/bin/newaliases.postfix
non_smtpd_milters = $smtpd_milters
postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
postscreen_access.cidr
postscreen_bare_newline_action = drop
postscreen_bare_newline_enable = yes
postscreen_blacklist_action = drop
postscreen_dnsbl_action = enforce
postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com
ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
[0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
[17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_ttl = 1h
postscreen_dnsbl_whitelist_threshold = -1
postscreen_greet_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_pipelining_enable = yes
postscreen_whitelist_interfaces = static:all
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES
recipient_delimiter = +
relay_domains = hash:/etc/postfix/relay_domains,
sample_directory = /usr/share/doc/postfix-2.11.8/samples
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_type = cyrus
smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
smtp_tls_loglevel = 1
smtp_tls_mandatory_ciphers = high
smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK,
aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
smtp_tls_note_starttls_offer = yes
smtp_tls_protocols = !SSLv2,!SSLv3
smtp_tls_security_level = may
smtp_use_tls = yes
smtpd_helo_required = yes
smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
smtpd_milters = inet:127.0.0.1:8891,inet:127.0.0.1:8893,inet:127.0.0.1:10024
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_auth_destination, permit_mynetworks, reject_unauth_destination, reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = no
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous,
smtpd_sasl_tls_security_options = noanonymous,
smtpd_sasl_type = dovecot
smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
smtpd_tls_CApath = /etc/pki/certs
smtpd_tls_ask_ccert = yes
smtpd_tls_auth_only = no
smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
smtpd_tls_dh1024_param_file = /etc/pki/tls/postfix/private/dh_2048.pem
smtpd_tls_dh512_param_file = /etc/pki/tls/postfix/private/dh_512.pem
smtpd_tls_eecdh_grade = ultra
smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
smtpd_tls_loglevel = 1
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
smtpd_tls_protocols = !SSLv2,!SSLv3
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_use_tls = yes
tls_preempt_cipherlist = yes
tls_random_bytes = 128
transport_maps = hash:/etc/postfix/transport, $relay_domains,
unknown_local_recipient_reject_code = 550
unverified_recipient_reject_code = 577
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_transport = lmtps:inet:mailstore:24

Um jede Hilfe dankbar und auf eine Antwort hoffend,

--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Paul-2
Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
> Hallo Liste,
>
> Ich habe seit neuestem ein Problem mit Postfix ?
>
> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
> weitersenden ?

Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
Auszug aus der Logdatei.

> So eine richtige Spamschleuder halt?
>
> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem natürlich
> ist aber postfix für die Domain example.com zuständig ?

Kann viele Ursachen haben.
Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
bestimmt eingrenzen.

>
> Die User Verwaltung kommt von Dovecot (LDAP).
>
> SPF Record ist gesetzt...
>
> im Moment etwas ratlos............ :-(.
>
> postconf -n
> alias_database = hash:/etc/aliases
> alias_maps = hash:/etc/aliases
> bounce_template_file = /etc/postfix/bounce.de-DE.cf
> broken_sasl_auth_clients = yes
> command_directory = /usr/sbin
> config_directory = /etc/postfix
> daemon_directory = /usr/libexec/postfix
> data_directory = /var/lib/postfix
> debug_peer_level = 2
> debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
> $daemon_directory/$process_name $process_id & sleep 5
> html_directory = no
> inet_interfaces = all
> inet_protocols = all
> mail_owner = postfix
> mailq_path = /usr/bin/mailq.postfix
> manpage_directory = /usr/share/man
> message_size_limit = 20480000
> mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
> myhostname = smtp.esslmaier.at
> mynetworks = 127.0.0.0/8, 192.168.55.0/24, 217.xxxx.xxx.208/28,
> [2a02:xxxx:xxxx:xxxx::]/56
> newaliases_path = /usr/bin/newaliases.postfix
> non_smtpd_milters = $smtpd_milters
> postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
> postscreen_access.cidr
> postscreen_bare_newline_action = drop
> postscreen_bare_newline_enable = yes
> postscreen_blacklist_action = drop
> postscreen_dnsbl_action = enforce
> postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
> postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
> b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
> bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com
> ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
> list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
> list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
> [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
> [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
> postscreen_dnsbl_threshold = 3
> postscreen_dnsbl_ttl = 1h
> postscreen_dnsbl_whitelist_threshold = -1
> postscreen_greet_action = enforce
> postscreen_non_smtp_command_enable = yes
> postscreen_pipelining_enable = yes
> postscreen_whitelist_interfaces = static:all
> queue_directory = /var/spool/postfix
> readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES
> recipient_delimiter = +
> relay_domains = hash:/etc/postfix/relay_domains,
> sample_directory = /usr/share/doc/postfix-2.11.8/samples
> sendmail_path = /usr/sbin/sendmail.postfix
> setgid_group = postdrop
> smtp_sasl_auth_enable = yes
> smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
> smtp_sasl_security_options = noanonymous
> smtp_sasl_type = cyrus
> smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
> smtp_tls_loglevel = 1
> smtp_tls_mandatory_ciphers = high
> smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK,
> aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtp_tls_note_starttls_offer = yes
> smtp_tls_protocols = !SSLv2,!SSLv3
> smtp_tls_security_level = may
> smtp_use_tls = yes
> smtpd_helo_required = yes
> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
> smtpd_milters = inet:127.0.0.1:8891,inet:127.0.0.1:8893,inet:127.0.0.1:10024
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_auth_destination, permit_mynetworks, reject_unauth_destination, reject
> smtpd_sasl_auth_enable = yes
> smtpd_sasl_authenticated_header = no
> smtpd_sasl_path = private/auth
> smtpd_sasl_security_options = noanonymous,
> smtpd_sasl_tls_security_options = noanonymous,
> smtpd_sasl_type = dovecot
> smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
> smtpd_tls_CApath = /etc/pki/certs
> smtpd_tls_ask_ccert = yes
> smtpd_tls_auth_only = no
> smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> smtpd_tls_dh1024_param_file = /etc/pki/tls/postfix/private/dh_2048.pem
> smtpd_tls_dh512_param_file = /etc/pki/tls/postfix/private/dh_512.pem
> smtpd_tls_eecdh_grade = ultra
> smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> smtpd_tls_loglevel = 1
> smtpd_tls_mandatory_ciphers = high
> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> smtpd_tls_protocols = !SSLv2,!SSLv3
> smtpd_tls_received_header = yes
> smtpd_tls_security_level = may
> smtpd_use_tls = yes
> tls_preempt_cipherlist = yes
> tls_random_bytes = 128
> transport_maps = hash:/etc/postfix/transport, $relay_domains,
> unknown_local_recipient_reject_code = 550
> unverified_recipient_reject_code = 577
> virtual_alias_maps = hash:/etc/postfix/virtual
> virtual_transport = lmtps:inet:mailstore:24
>
> Um jede Hilfe dankbar und auf eine Antwort hoffend,
>

Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
Hallo,

ich "dachte" vor solchen Problemen geschützt zu sein mit postscreen DANE DNSBL
amavis usw. dem scheint aber nicht so zu sein :-(.


Am Mittwoch, 7. Dezember 2016, 13:17:49 CET schrieb Paul:

> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
> > Hallo Liste,
> >
> > Ich habe seit neuestem ein Problem mit Postfix ?
> >
> > Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
> > weitersenden ?
>
> Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
> Auszug aus der Logdatei.
Ich hänge mal einen Auszug an domain geändert hoffe ich ;-)

> > So eine richtige Spamschleuder halt?
> >
> > Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem
> > natürlich ist aber postfix für die Domain example.com zuständig ?
>
> Kann viele Ursachen haben.
> Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
> bestimmt eingrenzen.
>
> > Die User Verwaltung kommt von Dovecot (LDAP).
> >
> > SPF Record ist gesetzt...
> >
> > im Moment etwas ratlos............ :-(.
> >
> > postconf -n
> > alias_database = hash:/etc/aliases
> > alias_maps = hash:/etc/aliases
> > bounce_template_file = /etc/postfix/bounce.de-DE.cf
> > broken_sasl_auth_clients = yes
> > command_directory = /usr/sbin
> > config_directory = /etc/postfix
> > daemon_directory = /usr/libexec/postfix
> > data_directory = /var/lib/postfix
> > debug_peer_level = 2
> > debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
> > $daemon_directory/$process_name $process_id & sleep 5
> > html_directory = no
> > inet_interfaces = all
> > inet_protocols = all
> > mail_owner = postfix
> > mailq_path = /usr/bin/mailq.postfix
> > manpage_directory = /usr/share/man
> > message_size_limit = 20480000
> > mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
> > myhostname = smtp.esslmaier.at
> > mynetworks = 127.0.0.0/8, 192.168.55.0/24, 217.xxxx.xxx.208/28,
> > [2a02:xxxx:xxxx:xxxx::]/56
> > newaliases_path = /usr/bin/newaliases.postfix
> > non_smtpd_milters = $smtpd_milters
> > postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
> > postscreen_access.cidr
> > postscreen_bare_newline_action = drop
> > postscreen_bare_newline_enable = yes
> > postscreen_blacklist_action = drop
> > postscreen_dnsbl_action = enforce
> > postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
> > postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
> > b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
> > bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com
> > ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
> > list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
> > list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
> > [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
> > [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
> > postscreen_dnsbl_threshold = 3
> > postscreen_dnsbl_ttl = 1h
> > postscreen_dnsbl_whitelist_threshold = -1
> > postscreen_greet_action = enforce
> > postscreen_non_smtp_command_enable = yes
> > postscreen_pipelining_enable = yes
> > postscreen_whitelist_interfaces = static:all
> > queue_directory = /var/spool/postfix
> > readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES
> > recipient_delimiter = +
> > relay_domains = hash:/etc/postfix/relay_domains,
> > sample_directory = /usr/share/doc/postfix-2.11.8/samples
> > sendmail_path = /usr/sbin/sendmail.postfix
> > setgid_group = postdrop
> > smtp_sasl_auth_enable = yes
> > smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
> > smtp_sasl_security_options = noanonymous
> > smtp_sasl_type = cyrus
> > smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
> > smtp_tls_loglevel = 1
> > smtp_tls_mandatory_ciphers = high
> > smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
> > PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
> > CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
> > smtp_tls_note_starttls_offer = yes
> > smtp_tls_protocols = !SSLv2,!SSLv3
> > smtp_tls_security_level = may
> > smtp_use_tls = yes
> > smtpd_helo_required = yes
> > smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
> > smtpd_milters =
> > inet:127.0.0.1:8891,inet:127.0.0.1:8893,inet:127.0.0.1:10024
> > smtpd_recipient_restrictions = permit_sasl_authenticated,
> > permit_auth_destination, permit_mynetworks, reject_unauth_destination,
> > reject smtpd_sasl_auth_enable = yes
> > smtpd_sasl_authenticated_header = no
> > smtpd_sasl_path = private/auth
> > smtpd_sasl_security_options = noanonymous,
> > smtpd_sasl_tls_security_options = noanonymous,
> > smtpd_sasl_type = dovecot
> > smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
> > smtpd_tls_CApath = /etc/pki/certs
> > smtpd_tls_ask_ccert = yes
> > smtpd_tls_auth_only = no
> > smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> > smtpd_tls_dh1024_param_file = /etc/pki/tls/postfix/private/dh_2048.pem
> > smtpd_tls_dh512_param_file = /etc/pki/tls/postfix/private/dh_512.pem
> > smtpd_tls_eecdh_grade = ultra
> > smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> > smtpd_tls_loglevel = 1
> > smtpd_tls_mandatory_ciphers = high
> > smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
> > PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
> > smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> > smtpd_tls_protocols = !SSLv2,!SSLv3
> > smtpd_tls_received_header = yes
> > smtpd_tls_security_level = may
> > smtpd_use_tls = yes
> > tls_preempt_cipherlist = yes
> > tls_random_bytes = 128
> > transport_maps = hash:/etc/postfix/transport, $relay_domains,
> > unknown_local_recipient_reject_code = 550
> > unverified_recipient_reject_code = 577
> > virtual_alias_maps = hash:/etc/postfix/virtual
> > virtual_transport = lmtps:inet:mailstore:24
> >
> > Um jede Hilfe dankbar und auf eine Antwort hoffend,

--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer

maillog.txt.zip (23K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Jens Adam-2
In reply to this post by Günther J. Niederwimmer

> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer <[hidden email]>:
>
> Hallo Liste,
>
> Ich habe seit neuestem ein Problem mit Postfix ?
>
> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
> weitersenden ?
>
> So eine richtige Spamschleuder halt?
>
> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem natürlich
> ist aber postfix für die Domain example.com zuständig ?

Ja, wenn man sich die 'smtpd_recipient_checks' so anschaut, auch kein Wunder:

smtpd_recipient_restrictions =
  reject_invalid_hostname  
  permit_sasl_authenticated
  permit_auth_destination
  permit_mynetworks
  reject_unauth_destination
  reject

(ich hab das mal mit den helo_restrictions gemerged, best-practice und so)

Zum Vergleich mal meine (minimal gekürzt):

smtpd_relay_restrictions =
  reject_unauth_pipelining
  reject_invalid_helo_hostname
  reject_non_fqdn_helo_hostname
  reject_non_fqdn_sender
  reject_non_fqdn_recipient
  reject_unlisted_sender
  reject_unknown_sender_domain
  reject_unknown_recipient_domain
  permit_mynetworks
  reject_unauth_destination
smtpd_recipient_restrictions =
  reject_unlisted_recipient
  permit_mynetworks
  check_client_access texthash:/etc/postfix/chk_client
  check_helo_access regexp:/etc/postfix/chk_helo
  check_sender_access regexp:/etc/postfix/chk_sender
  check_recipient_access regexp:/etc/postfix/chk_recipient
 #  reject_unknown_client_hostname
 #  reject_unknown_helo_hostname
 #  ^ die beiden habe ich aktiv, ist aber vermutlich einigen Leuten zu restriktiv
  check_recipient_access regexp:/etc/postfix/spampd
smtpd_data_restrictions = reject_multi_recipient_bounce

Als absolutes Minimum empfehle ich wenigstens die reject_non_fqdn_ und reject_unlisted_ (genau dein Problem) Restrictions, und zwar VOR permit_auth_destination (was hat das überhaupt da verloren?).
Ansonsten interessiert deinen Postfix den Part vor dem @ einfach gar nicht.

> Die User Verwaltung kommt von Dovecot (LDAP).

Sehe ich in dem Output nicht, wird aber vermutlich hinter dem "virtual_*" liegen.

Gruß,
Jens


Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Kai Fürstenberg
In reply to this post by Günther J. Niederwimmer
Hi Günter,

Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
> smtpd_recipient_restrictions = permit_sasl_authenticated,
> permit_auth_destination, permit_mynetworks, reject_unauth_destination, reject

Laut Postfix-Doku überprüft permit_auth_destination nur, ob dein Postfix
für die Domäne zuständig ist und erlaubt demnach die Einlieferung, denn
er ist ja für die Domäne zuständig.

"Permit the request when [...] the resolved RCPT TO domain matches
$mydestination, $inet_interfaces, $proxy_interfaces,
$virtual_alias_domains, or $virtual_mailbox_domains, and the address
contains no sender-specified routing (user@elsewhere@domain)."

Du musst vermutlich etwas wie "reject_unverified_recipient" davor setzen
oder anderweitig prüfen, ob der User überhaupt existiert.

--
Kai Fürstenberg

PM an: kai at fuerstenberg punkt ws

Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Paul-2
In reply to this post by Günther J. Niederwimmer
Am 07.12.2016 um 13:31 schrieb Günther J. Niederwimmer:
> Hallo,
>
> ich "dachte" vor solchen Problemen geschützt zu sein mit postscreen DANE DNSBL
> amavis usw. dem scheint aber nicht so zu sein :-(.

Nein, das sind bloß Werkzeuge und schützen einen nicht automatisch.

> Am Mittwoch, 7. Dezember 2016, 13:17:49 CET schrieb Paul:
>> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
>>> Hallo Liste,
>>>
>>> Ich habe seit neuestem ein Problem mit Postfix ?
>>>
>>> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
>>> weitersenden ?
>>
>> Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
>> Auszug aus der Logdatei.
>
> Ich hänge mal einen Auszug an domain geändert hoffe ich ;-)

>>> So eine richtige Spamschleuder halt?

So wie es aussieht, ist der Server tatsächlich eine Spamschleuder.
Du solltest den Versand nach Extern stoppen bis du die Ursache behoben hast.

Ich habe gehofft anhand deines Auszugs zu sehen, wie die Mails
eingeliefert worden sind. Das ist damit ledier nicht möglich.

Anders als du ursprünglich angenommen hast, ist sehr wahrscheinlich
nicht das Problem, dass dein Server Mails für admin@ annimmt. In die
Richtung würde ich später prüfen.

Schau erstmal woher die Mails kommen.

Was ergibt denn das hier bei dir?

grep 85A30C0289B4 /var/log/mail.log



>>>
>>> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem
>>> natürlich ist aber postfix für die Domain example.com zuständig ?
>>
>> Kann viele Ursachen haben.
>> Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
>> bestimmt eingrenzen.
>>
>>> Die User Verwaltung kommt von Dovecot (LDAP).
>>>
>>> SPF Record ist gesetzt...
>>>
>>> im Moment etwas ratlos............ :-(.
>>>
>>> postconf -n
>>> alias_database = hash:/etc/aliases
>>> alias_maps = hash:/etc/aliases
>>> bounce_template_file = /etc/postfix/bounce.de-DE.cf
>>> broken_sasl_auth_clients = yes
>>> command_directory = /usr/sbin
>>> config_directory = /etc/postfix
>>> daemon_directory = /usr/libexec/postfix
>>> data_directory = /var/lib/postfix
>>> debug_peer_level = 2
>>> debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
>>> $daemon_directory/$process_name $process_id & sleep 5
>>> html_directory = no
>>> inet_interfaces = all
>>> inet_protocols = all
>>> mail_owner = postfix
>>> mailq_path = /usr/bin/mailq.postfix
>>> manpage_directory = /usr/share/man
>>> message_size_limit = 20480000
>>> mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
>>> myhostname = smtp.esslmaier.at
>>> mynetworks = 127.0.0.0/8, 192.168.55.0/24, 217.xxxx.xxx.208/28,
>>> [2a02:xxxx:xxxx:xxxx::]/56
>>> newaliases_path = /usr/bin/newaliases.postfix
>>> non_smtpd_milters = $smtpd_milters
>>> postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
>>> postscreen_access.cidr
>>> postscreen_bare_newline_action = drop
>>> postscreen_bare_newline_enable = yes
>>> postscreen_blacklist_action = drop
>>> postscreen_dnsbl_action = enforce
>>> postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
>>> postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
>>> b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
>>> bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com
>>> ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
>>> list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
>>> list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
>>> [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
>>> [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
>>> postscreen_dnsbl_threshold = 3
>>> postscreen_dnsbl_ttl = 1h
>>> postscreen_dnsbl_whitelist_threshold = -1
>>> postscreen_greet_action = enforce
>>> postscreen_non_smtp_command_enable = yes
>>> postscreen_pipelining_enable = yes
>>> postscreen_whitelist_interfaces = static:all
>>> queue_directory = /var/spool/postfix
>>> readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES
>>> recipient_delimiter = +
>>> relay_domains = hash:/etc/postfix/relay_domains,
>>> sample_directory = /usr/share/doc/postfix-2.11.8/samples
>>> sendmail_path = /usr/sbin/sendmail.postfix
>>> setgid_group = postdrop
>>> smtp_sasl_auth_enable = yes
>>> smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
>>> smtp_sasl_security_options = noanonymous
>>> smtp_sasl_type = cyrus
>>> smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
>>> smtp_tls_loglevel = 1
>>> smtp_tls_mandatory_ciphers = high
>>> smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
>>> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
>>> CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
>>> smtp_tls_note_starttls_offer = yes
>>> smtp_tls_protocols = !SSLv2,!SSLv3
>>> smtp_tls_security_level = may
>>> smtp_use_tls = yes
>>> smtpd_helo_required = yes
>>> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
>>> smtpd_milters =
>>> inet:127.0.0.1:8891,inet:127.0.0.1:8893,inet:127.0.0.1:10024
>>> smtpd_recipient_restrictions = permit_sasl_authenticated,
>>> permit_auth_destination, permit_mynetworks, reject_unauth_destination,
>>> reject smtpd_sasl_auth_enable = yes
>>> smtpd_sasl_authenticated_header = no
>>> smtpd_sasl_path = private/auth
>>> smtpd_sasl_security_options = noanonymous,
>>> smtpd_sasl_tls_security_options = noanonymous,
>>> smtpd_sasl_type = dovecot
>>> smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
>>> smtpd_tls_CApath = /etc/pki/certs
>>> smtpd_tls_ask_ccert = yes
>>> smtpd_tls_auth_only = no
>>> smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
>>> smtpd_tls_dh1024_param_file = /etc/pki/tls/postfix/private/dh_2048.pem
>>> smtpd_tls_dh512_param_file = /etc/pki/tls/postfix/private/dh_512.pem
>>> smtpd_tls_eecdh_grade = ultra
>>> smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
>>> smtpd_tls_loglevel = 1
>>> smtpd_tls_mandatory_ciphers = high
>>> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
>>> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>>> smtpd_tls_protocols = !SSLv2,!SSLv3
>>> smtpd_tls_received_header = yes
>>> smtpd_tls_security_level = may
>>> smtpd_use_tls = yes
>>> tls_preempt_cipherlist = yes
>>> tls_random_bytes = 128
>>> transport_maps = hash:/etc/postfix/transport, $relay_domains,
>>> unknown_local_recipient_reject_code = 550
>>> unverified_recipient_reject_code = 577
>>> virtual_alias_maps = hash:/etc/postfix/virtual
>>> virtual_transport = lmtps:inet:mailstore:24
>>>
>>> Um jede Hilfe dankbar und auf eine Antwort hoffend,
>
>

Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
Am Mittwoch, 7. Dezember 2016, 14:18:29 CET schrieb Paul:

> Am 07.12.2016 um 13:31 schrieb Günther J. Niederwimmer:
> > Hallo,
> >
> > ich "dachte" vor solchen Problemen geschützt zu sein mit postscreen DANE
> > DNSBL amavis usw. dem scheint aber nicht so zu sein :-(.
>
> Nein, das sind bloß Werkzeuge und schützen einen nicht automatisch.
>
> > Am Mittwoch, 7. Dezember 2016, 13:17:49 CET schrieb Paul:
> >> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
> >>> Hallo Liste,
> >>>
> >>> Ich habe seit neuestem ein Problem mit Postfix ?
> >>>
> >>> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
> >>> weitersenden ?
> >>
> >> Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
> >> Auszug aus der Logdatei.
> >
> > Ich hänge mal einen Auszug an domain geändert hoffe ich ;-)
> >
> >>> So eine richtige Spamschleuder halt?
>
> So wie es aussieht, ist der Server tatsächlich eine Spamschleuder.
> Du solltest den Versand nach Extern stoppen bis du die Ursache behoben hast.
>
> Ich habe gehofft anhand deines Auszugs zu sehen, wie die Mails
> eingeliefert worden sind. Das ist damit ledier nicht möglich.
>
> Anders als du ursprünglich angenommen hast, ist sehr wahrscheinlich
> nicht das Problem, dass dein Server Mails für admin@ annimmt. In die
> Richtung würde ich später prüfen.
>
> Schau erstmal woher die Mails kommen.
>
> Was ergibt denn das hier bei dir?
>
> grep 85A30C0289B4 /var/log/mail.log
wie das auf einmal passiert ist ist mir nicht klar ?
das Teil läuft jetzt fast ein Jahr und hatte noch nie Probleme ?
Aber anscheinend ist etwas "FAUL" ?

Ich habe das mal angehängt :-(.

Es ist ja noch eine ander Mail gekommen mit Hilfe da werde ich gleich mal was
ändern, hoffe es funktioniert dann noch ?

> >>> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem
> >>> natürlich ist aber postfix für die Domain example.com zuständig ?
> >>
> >> Kann viele Ursachen haben.
> >> Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
> >> bestimmt eingrenzen.
> >>
> >>> Die User Verwaltung kommt von Dovecot (LDAP).
> >>>
> >>> SPF Record ist gesetzt...
> >>>
> >>> im Moment etwas ratlos............ :-(.
> >>>

> >>> Um jede Hilfe dankbar und auf eine Antwort hoffend,


--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer

maillog (24K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
Am Mittwoch, 7. Dezember 2016, 15:43:03 CET schrieb Günther J. Niederwimmer:

> Am Mittwoch, 7. Dezember 2016, 14:18:29 CET schrieb Paul:
> > Am 07.12.2016 um 13:31 schrieb Günther J. Niederwimmer:
> > > Hallo,
> > >
> > > ich "dachte" vor solchen Problemen geschützt zu sein mit postscreen DANE
> > > DNSBL amavis usw. dem scheint aber nicht so zu sein :-(.
> >
> > Nein, das sind bloß Werkzeuge und schützen einen nicht automatisch.
> >
> > > Am Mittwoch, 7. Dezember 2016, 13:17:49 CET schrieb Paul:
> > >> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
> > >>> Hallo Liste,
> > >>>
> > >>> Ich habe seit neuestem ein Problem mit Postfix ?
> > >>>
> > >>> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte
> > >>> Sie
> > >>> weitersenden ?
> > >>
> > >> Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
> > >> Auszug aus der Logdatei.
> > >
> > > Ich hänge mal einen Auszug an domain geändert hoffe ich ;-)
> > >
> > >>> So eine richtige Spamschleuder halt?
> >
> > So wie es aussieht, ist der Server tatsächlich eine Spamschleuder.
> > Du solltest den Versand nach Extern stoppen bis du die Ursache behoben
> > hast.
> >
> > Ich habe gehofft anhand deines Auszugs zu sehen, wie die Mails
> > eingeliefert worden sind. Das ist damit ledier nicht möglich.
> >
> > Anders als du ursprünglich angenommen hast, ist sehr wahrscheinlich
> > nicht das Problem, dass dein Server Mails für admin@ annimmt. In die
> > Richtung würde ich später prüfen.
> >
> > Schau erstmal woher die Mails kommen.
> >
Hallo,

das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze wieder
ablehnen ?

Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT from
[61.28.225.91]:54559: 550 5.7.1 Service unavailable; client [61.28.225.91]
blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
helo=<mail.sna.com.vn>



> > Was ergibt denn das hier bei dir?
> >
> > grep 85A30C0289B4 /var/log/mail.log
>
> wie das auf einmal passiert ist ist mir nicht klar ?
> das Teil läuft jetzt fast ein Jahr und hatte noch nie Probleme ?
> Aber anscheinend ist etwas "FAUL" ?
>
> Ich habe das mal angehängt :-(.
>
> Es ist ja noch eine ander Mail gekommen mit Hilfe da werde ich gleich mal
> was ändern, hoffe es funktioniert dann noch ?
>
> > >>> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem
> > >>> natürlich ist aber postfix für die Domain example.com zuständig ?
> > >>
> > >> Kann viele Ursachen haben.
> > >> Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
> > >> bestimmt eingrenzen.
> > >>
> > >>> Die User Verwaltung kommt von Dovecot (LDAP).
> > >>>
> > >>> SPF Record ist gesetzt...
> > >>>
> > >>> im Moment etwas ratlos............ :-(.
> > >>>
> > >>>
> > >>> Um jede Hilfe dankbar und auf eine Antwort hoffend,


--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Jens Adam-2

> Am 07.12.2016 um 17:12 schrieb Günther J. Niederwimmer <[hidden email]>:
>
> Hallo,
>
> das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze wieder
> ablehnen ?
>
> Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT from
> [61.28.225.91]:54559: 550 5.7.1 Service unavailable; client [61.28.225.91]
> blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
> helo=<mail.sna.com.vn>

Der postscreen hat mit der ganzen Sache nichts zu tun, ignorier den bitte.
Vorher war der Host halt einfach nur noch nicht auf einer DNSBL gelandet.

Gruß,
Jens
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
Am Mittwoch, 7. Dezember 2016, 17:16:37 CET schrieb Jens Adam:

> > Am 07.12.2016 um 17:12 schrieb Günther J. Niederwimmer <[hidden email]>:
> >
> > Hallo,
> >
> > das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze
> > wieder ablehnen ?
> >
> > Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT from
> > [61.28.225.91]:54559: 550 5.7.1 Service unavailable; client [61.28.225.91]
> > blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
> > helo=<mail.sna.com.vn>
>
> Der postscreen hat mit der ganzen Sache nichts zu tun, ignorier den bitte.
> Vorher war der Host halt einfach nur noch nicht auf einer DNSBL gelandet.

Ich meinte auch eher das NOQUEUE:, oder verstehe ich das falsch ?
 
--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Gregor Hermens
In reply to this post by Günther J. Niederwimmer
Hallo Günther,

Am Mittwoch, 7. Dezember 2016 schrieb Günther J. Niederwimmer:
> das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze
> wieder ablehnen ?
>
> Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT from
> [61.28.225.91]:54559: 550 5.7.1 Service unavailable; client [61.28.225.91]
> blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
> helo=<mail.sna.com.vn>

hier steht der Client auf einer Blacklist, die du in Postscreen eingebunden
hast. Ob die Mail ansonsten nicht doch angenommen worden wäre, ist nicht
gesagt...

Gruß,
Gregor
--
     @mazing           fon +49 8142 6528665
  Gregor Hermens       fax +49 8142 6528669
Brucker Strasse 12  [hidden email]
D-82216 Gernlinden    http://www.a-mazing.de/
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Paul-2
In reply to this post by Günther J. Niederwimmer
Am 07.12.2016 um 17:20 schrieb Günther J. Niederwimmer:

> Am Mittwoch, 7. Dezember 2016, 17:16:37 CET schrieb Jens Adam:
>>> Am 07.12.2016 um 17:12 schrieb Günther J. Niederwimmer <[hidden email]>:
>>>
>>> Hallo,
>>>
>>> das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze
>>> wieder ablehnen ?
>>>
>>> Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT from
>>> [61.28.225.91]:54559: 550 5.7.1 Service unavailable; client [61.28.225.91]
>>> blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
>>> helo=<mail.sna.com.vn>
>>
>> Der postscreen hat mit der ganzen Sache nichts zu tun, ignorier den bitte.
>> Vorher war der Host halt einfach nur noch nicht auf einer DNSBL gelandet.
>
> Ich meinte auch eher das NOQUEUE:, oder verstehe ich das falsch ?

Wahrscheinlich Letzteres.
Du verschwendest Zeit mit falschen Vermutungen, während dein Mailsystem
Spam millionenfach verschickt.

Geh doch bitte strategisch vor und fang vorne an.

Woher kommt der Spam?
Von deinem System oder von fremden Systemen?

Gruß,
Paul
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Markus Heinze
In reply to this post by Günther J. Niederwimmer
Moin moin,

ich vermisse den initialen connect from im Logfile, ich vermute mal das
dieser Rechner Mail und Webserver ist, daher denke ich mal das eine
Website gehackt wurde und localhost wird eh per default vom Postfix
vertraut und er spammt demnach wild los, mal die php x headers loggen
lassen dann findet man die Schwachstelle

lg max

Am 07.12.2016 um 13:31 schrieb Günther J. Niederwimmer:

> Hallo,
>
> ich "dachte" vor solchen Problemen geschützt zu sein mit postscreen DANE DNSBL
> amavis usw. dem scheint aber nicht so zu sein :-(.
>
>
> Am Mittwoch, 7. Dezember 2016, 13:17:49 CET schrieb Paul:
>> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
>>> Hallo Liste,
>>>
>>> Ich habe seit neuestem ein Problem mit Postfix ?
>>>
>>> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
>>> weitersenden ?
>> Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
>> Auszug aus der Logdatei.
> Ich hänge mal einen Auszug an domain geändert hoffe ich ;-)
>
>>> So eine richtige Spamschleuder halt?
>>>
>>> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem
>>> natürlich ist aber postfix für die Domain example.com zuständig ?
>> Kann viele Ursachen haben.
>> Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
>> bestimmt eingrenzen.
>>
>>> Die User Verwaltung kommt von Dovecot (LDAP).
>>>
>>> SPF Record ist gesetzt...
>>>
>>> im Moment etwas ratlos............ :-(.
>>>
>>> postconf -n
>>> alias_database = hash:/etc/aliases
>>> alias_maps = hash:/etc/aliases
>>> bounce_template_file = /etc/postfix/bounce.de-DE.cf
>>> broken_sasl_auth_clients = yes
>>> command_directory = /usr/sbin
>>> config_directory = /etc/postfix
>>> daemon_directory = /usr/libexec/postfix
>>> data_directory = /var/lib/postfix
>>> debug_peer_level = 2
>>> debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
>>> $daemon_directory/$process_name $process_id & sleep 5
>>> html_directory = no
>>> inet_interfaces = all
>>> inet_protocols = all
>>> mail_owner = postfix
>>> mailq_path = /usr/bin/mailq.postfix
>>> manpage_directory = /usr/share/man
>>> message_size_limit = 20480000
>>> mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
>>> myhostname = smtp.esslmaier.at
>>> mynetworks = 127.0.0.0/8, 192.168.55.0/24, 217.xxxx.xxx.208/28,
>>> [2a02:xxxx:xxxx:xxxx::]/56
>>> newaliases_path = /usr/bin/newaliases.postfix
>>> non_smtpd_milters = $smtpd_milters
>>> postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
>>> postscreen_access.cidr
>>> postscreen_bare_newline_action = drop
>>> postscreen_bare_newline_enable = yes
>>> postscreen_blacklist_action = drop
>>> postscreen_dnsbl_action = enforce
>>> postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
>>> postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
>>> b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
>>> bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net dnsbl.cobion.com
>>> ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
>>> list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
>>> list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
>>> [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2 wl.mailspike.net=127.0.0.
>>> [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
>>> postscreen_dnsbl_threshold = 3
>>> postscreen_dnsbl_ttl = 1h
>>> postscreen_dnsbl_whitelist_threshold = -1
>>> postscreen_greet_action = enforce
>>> postscreen_non_smtp_command_enable = yes
>>> postscreen_pipelining_enable = yes
>>> postscreen_whitelist_interfaces = static:all
>>> queue_directory = /var/spool/postfix
>>> readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES
>>> recipient_delimiter = +
>>> relay_domains = hash:/etc/postfix/relay_domains,
>>> sample_directory = /usr/share/doc/postfix-2.11.8/samples
>>> sendmail_path = /usr/sbin/sendmail.postfix
>>> setgid_group = postdrop
>>> smtp_sasl_auth_enable = yes
>>> smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
>>> smtp_sasl_security_options = noanonymous
>>> smtp_sasl_type = cyrus
>>> smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
>>> smtp_tls_loglevel = 1
>>> smtp_tls_mandatory_ciphers = high
>>> smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
>>> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
>>> CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
>>> smtp_tls_note_starttls_offer = yes
>>> smtp_tls_protocols = !SSLv2,!SSLv3
>>> smtp_tls_security_level = may
>>> smtp_use_tls = yes
>>> smtpd_helo_required = yes
>>> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
>>> smtpd_milters =
>>> inet:127.0.0.1:8891,inet:127.0.0.1:8893,inet:127.0.0.1:10024
>>> smtpd_recipient_restrictions = permit_sasl_authenticated,
>>> permit_auth_destination, permit_mynetworks, reject_unauth_destination,
>>> reject smtpd_sasl_auth_enable = yes
>>> smtpd_sasl_authenticated_header = no
>>> smtpd_sasl_path = private/auth
>>> smtpd_sasl_security_options = noanonymous,
>>> smtpd_sasl_tls_security_options = noanonymous,
>>> smtpd_sasl_type = dovecot
>>> smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
>>> smtpd_tls_CApath = /etc/pki/certs
>>> smtpd_tls_ask_ccert = yes
>>> smtpd_tls_auth_only = no
>>> smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
>>> smtpd_tls_dh1024_param_file = /etc/pki/tls/postfix/private/dh_2048.pem
>>> smtpd_tls_dh512_param_file = /etc/pki/tls/postfix/private/dh_512.pem
>>> smtpd_tls_eecdh_grade = ultra
>>> smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
>>> smtpd_tls_loglevel = 1
>>> smtpd_tls_mandatory_ciphers = high
>>> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5,
>>> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES, CBC3-SHA
>>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
>>> smtpd_tls_protocols = !SSLv2,!SSLv3
>>> smtpd_tls_received_header = yes
>>> smtpd_tls_security_level = may
>>> smtpd_use_tls = yes
>>> tls_preempt_cipherlist = yes
>>> tls_random_bytes = 128
>>> transport_maps = hash:/etc/postfix/transport, $relay_domains,
>>> unknown_local_recipient_reject_code = 550
>>> unverified_recipient_reject_code = 577
>>> virtual_alias_maps = hash:/etc/postfix/virtual
>>> virtual_transport = lmtps:inet:mailstore:24
>>>
>>> Um jede Hilfe dankbar und auf eine Antwort hoffend,
>

Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
In reply to this post by Paul-2
Am Mittwoch, 7. Dezember 2016, 17:38:12 CET schrieb Paul:

> Am 07.12.2016 um 17:20 schrieb Günther J. Niederwimmer:
> > Am Mittwoch, 7. Dezember 2016, 17:16:37 CET schrieb Jens Adam:
> >>> Am 07.12.2016 um 17:12 schrieb Günther J. Niederwimmer
> >>> <[hidden email]>:
> >>>
> >>> Hallo,
> >>>
> >>> das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze
> >>> wieder ablehnen ?
> >>>
> >>> Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT
> >>> from
> >>> [61.28.225.91]:54559: 550 5.7.1 Service unavailable; client
> >>> [61.28.225.91]
> >>> blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
> >>> helo=<mail.sna.com.vn>
> >>
> >> Der postscreen hat mit der ganzen Sache nichts zu tun, ignorier den
> >> bitte.
> >> Vorher war der Host halt einfach nur noch nicht auf einer DNSBL gelandet.
> >
> > Ich meinte auch eher das NOQUEUE:, oder verstehe ich das falsch ?
>
> Wahrscheinlich Letzteres.
> Du verschwendest Zeit mit falschen Vermutungen, während dein Mailsystem
> Spam millionenfach verschickt.

Im Moment verschickt das System NICHTS an Spam ;-).
mailq = bringt keinen Spam

> Geh doch bitte strategisch vor und fang vorne an.

Das ganze hat begonnen weil mein Postfix über [hidden email] die Spammails
angenommen hat und dann weitersenden wollte ?

Im Moment scheint es, postfix nimmt die Mails nicht mehr an und bringt wieder
ein korrektes NOQUEUE für admin ??

Ich werde aber immer noch bombadiert von
 : NOQUEUE: reject: RCPT from [61.28.225.91]
aber jetzt funktioniert nicht nur NOQUEUE wieder, sondern auch DNSBL erkennt
die bösartige IP .......


Hoffe das es jetzt so bleibt werde am aufpassen und in der Zwischenzeit
nochmal nachlesen ob ich darüber etwas finde.

> Von deinem System oder von fremden Systemen?
Von einem fremden System.......

--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Michael Grundmann-2
In reply to this post by Paul-2
Am 07.12.16 um 17:38 schrieb Paul:

Hi,
ich mag jetzt nicht wissen, ob meine Vorgehensweise so zum Ziel führt
oder gar als unsinnig anzusehen ist, aber

Zuerst hätte ich die betreffende eMail from|to auf Hold gestellt
header_checks = regexp:/bla/header_checks.regexp

cat header_checks.regexp

/^To:.*?@example\.com/ HOLD
könnte auch From sein

Dieser Kandidat macht gar nix mehr.
Alle zusätzlichen Dienste deaktivieren -> kein amavis, postscreen, ...
-> einfach nur postfixen

Dann ganz in Ruhe mit tcpdump checken woher die eMails kommen
z. B.: tcpdump -n -i eth0 port 25

Das ganze Szenario ist zu einfach als daraus ein Problem zu machen - es
ist ja schon da! Also, locker bleiben und suchen.


> Woher kommt der Spam?
> Von deinem System oder von fremden Systemen?
>
> Gruß,
> Paul
>


--
Gruß Michael

Wenn du verstehst, was du tust, wirst du nichts lernen

0x790E12D2.asc (3K) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
In reply to this post by Markus Heinze
Hallo,

Am Mittwoch, 7. Dezember 2016, 19:49:13 CET schrieb Markus Heinze:
> Moin moin,
>
> ich vermisse den initialen connect from im Logfile, ich vermute mal das
> dieser Rechner Mail und Webserver ist, daher denke ich mal das eine
> Website gehackt wurde und localhost wird eh per default vom Postfix
> vertraut und er spammt demnach wild los, mal die php x headers loggen
> lassen dann findet man die Schwachstelle

Nein das ist ein KVM Server nur für die Mails.
 

> lg max
>
> Am 07.12.2016 um 13:31 schrieb Günther J. Niederwimmer:
> > Hallo,
> >
> > ich "dachte" vor solchen Problemen geschützt zu sein mit postscreen DANE
> > DNSBL amavis usw. dem scheint aber nicht so zu sein :-(.
> >
> > Am Mittwoch, 7. Dezember 2016, 13:17:49 CET schrieb Paul:
> >> Am 07.12.2016 um 12:34 schrieb Günther J. Niederwimmer:
> >>> Hallo Liste,
> >>>
> >>> Ich habe seit neuestem ein Problem mit Postfix ?
> >>>
> >>> Das Teil nimmt auf einmal Mails für [hidden email] an und möchte Sie
> >>> weitersenden ?
> >>
> >> Schick mal bitte zu einem solchen Versandvorgang, einen vollständigen
> >> Auszug aus der Logdatei.
> >
> > Ich hänge mal einen Auszug an domain geändert hoffe ich ;-)
> >
> >>> So eine richtige Spamschleuder halt?
> >>>
> >>> Die Frage dabei, ich habe gar keinen User "admin" auf dem Mailsystem
> >>> natürlich ist aber postfix für die Domain example.com zuständig ?
> >>
> >> Kann viele Ursachen haben.
> >> Mit einem Protokollauszug eines konkreten Versandvorgang, kann man das
> >> bestimmt eingrenzen.
> >>
> >>> Die User Verwaltung kommt von Dovecot (LDAP).
> >>>
> >>> SPF Record ist gesetzt...
> >>>
> >>> im Moment etwas ratlos............ :-(.
> >>>
> >>> postconf -n
> >>> alias_database = hash:/etc/aliases
> >>> alias_maps = hash:/etc/aliases
> >>> bounce_template_file = /etc/postfix/bounce.de-DE.cf
> >>> broken_sasl_auth_clients = yes
> >>> command_directory = /usr/sbin
> >>> config_directory = /etc/postfix
> >>> daemon_directory = /usr/libexec/postfix
> >>> data_directory = /var/lib/postfix
> >>> debug_peer_level = 2
> >>> debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd
> >>> $daemon_directory/$process_name $process_id & sleep 5
> >>> html_directory = no
> >>> inet_interfaces = all
> >>> inet_protocols = all
> >>> mail_owner = postfix
> >>> mailq_path = /usr/bin/mailq.postfix
> >>> manpage_directory = /usr/share/man
> >>> message_size_limit = 20480000
> >>> mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
> >>> myhostname = smtp.esslmaier.at
> >>> mynetworks = 127.0.0.0/8, 192.168.55.0/24, 217.xxxx.xxx.208/28,
> >>> [2a02:xxxx:xxxx:xxxx::]/56
> >>> newaliases_path = /usr/bin/newaliases.postfix
> >>> non_smtpd_milters = $smtpd_milters
> >>> postscreen_access_list = permit_mynetworks cidr:/etc/postfix/
> >>> postscreen_access.cidr
> >>> postscreen_bare_newline_action = drop
> >>> postscreen_bare_newline_enable = yes
> >>> postscreen_blacklist_action = drop
> >>> postscreen_dnsbl_action = enforce
> >>> postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
> >>> postscreen_dnsbl_sites = zen.spamhaus.org*3 bl.mailspike.net*3
> >>> b.barracudacentral.org*2 bad.psky.me*2 psbl.surriel.com bl.blocklist.de
> >>> bl.spamcop.net spam.spamrats.com bl.spameatingmonkey.net
> >>> dnsbl.cobion.com
> >>> ix.dnsbl.manitu.net hostkarma.junkemailfilter.com dnsbl.inps.de
> >>> list.dnswl.org=127.0.[0..255].0*-1 list.dnswl.org=127.0.[0..255].1*-2
> >>> list.dnswl.org=127.0.[0..255].[2..3]*-3 iadb.isipp.com=127.0.[0..255].
> >>> [0..255]*-2 iadb.isipp.com=127.3.100.[6..200]*-2
> >>> wl.mailspike.net=127.0.0.
> >>> [17;18]*-1 wl.mailspike.net=127.0.0.[19;20]*-2
> >>> postscreen_dnsbl_threshold = 3
> >>> postscreen_dnsbl_ttl = 1h
> >>> postscreen_dnsbl_whitelist_threshold = -1
> >>> postscreen_greet_action = enforce
> >>> postscreen_non_smtp_command_enable = yes
> >>> postscreen_pipelining_enable = yes
> >>> postscreen_whitelist_interfaces = static:all
> >>> queue_directory = /var/spool/postfix
> >>> readme_directory = /usr/share/doc/postfix-2.11.8/README_FILES
> >>> recipient_delimiter = +
> >>> relay_domains = hash:/etc/postfix/relay_domains,
> >>> sample_directory = /usr/share/doc/postfix-2.11.8/samples
> >>> sendmail_path = /usr/sbin/sendmail.postfix
> >>> setgid_group = postdrop
> >>> smtp_sasl_auth_enable = yes
> >>> smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
> >>> smtp_sasl_security_options = noanonymous
> >>> smtp_sasl_type = cyrus
> >>> smtp_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
> >>> smtp_tls_loglevel = 1
> >>> smtp_tls_mandatory_ciphers = high
> >>> smtp_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4,
> >>> MD5,
> >>> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
> >>> CBC3-SHA smtp_tls_mandatory_protocols = !SSLv2,!SSLv3
> >>> smtp_tls_note_starttls_offer = yes
> >>> smtp_tls_protocols = !SSLv2,!SSLv3
> >>> smtp_tls_security_level = may
> >>> smtp_use_tls = yes
> >>> smtpd_helo_required = yes
> >>> smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname
> >>> smtpd_milters =
> >>> inet:127.0.0.1:8891,inet:127.0.0.1:8893,inet:127.0.0.1:10024
> >>> smtpd_recipient_restrictions = permit_sasl_authenticated,
> >>> permit_auth_destination, permit_mynetworks, reject_unauth_destination,
> >>> reject smtpd_sasl_auth_enable = yes
> >>> smtpd_sasl_authenticated_header = no
> >>> smtpd_sasl_path = private/auth
> >>> smtpd_sasl_security_options = noanonymous,
> >>> smtpd_sasl_tls_security_options = noanonymous,
> >>> smtpd_sasl_type = dovecot
> >>> smtpd_tls_CAfile = /etc/pki/tls/certs/ca-bundle.crt
> >>> smtpd_tls_CApath = /etc/pki/certs
> >>> smtpd_tls_ask_ccert = yes
> >>> smtpd_tls_auth_only = no
> >>> smtpd_tls_cert_file = /etc/pki/tls/postfix/certs/post_cert.pem
> >>> smtpd_tls_dh1024_param_file = /etc/pki/tls/postfix/private/dh_2048.pem
> >>> smtpd_tls_dh512_param_file = /etc/pki/tls/postfix/private/dh_512.pem
> >>> smtpd_tls_eecdh_grade = ultra
> >>> smtpd_tls_key_file = /etc/pki/tls/postfix/private/post_key.pem
> >>> smtpd_tls_loglevel = 1
> >>> smtpd_tls_mandatory_ciphers = high
> >>> smtpd_tls_mandatory_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4,
> >>> MD5,
> >>> PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDB3-SHA, KRB5-DES,
> >>> CBC3-SHA
> >>> smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3
> >>> smtpd_tls_protocols = !SSLv2,!SSLv3
> >>> smtpd_tls_received_header = yes
> >>> smtpd_tls_security_level = may
> >>> smtpd_use_tls = yes
> >>> tls_preempt_cipherlist = yes
> >>> tls_random_bytes = 128
> >>> transport_maps = hash:/etc/postfix/transport, $relay_domains,
> >>> unknown_local_recipient_reject_code = 550
> >>> unverified_recipient_reject_code = 577
> >>> virtual_alias_maps = hash:/etc/postfix/virtual
> >>> virtual_transport = lmtps:inet:mailstore:24
> >>>
> >>> Um jede Hilfe dankbar und auf eine Antwort hoffend,


--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
In reply to this post by Paul-2
Hallo,

Am Mittwoch, 7. Dezember 2016, 17:38:12 CET schrieb Paul:

> Am 07.12.2016 um 17:20 schrieb Günther J. Niederwimmer:
> > Am Mittwoch, 7. Dezember 2016, 17:16:37 CET schrieb Jens Adam:
> >>> Am 07.12.2016 um 17:12 schrieb Günther J. Niederwimmer
> >>> <[hidden email]>:
> >>>
> >>> Hallo,
> >>>
> >>> das eigenartige an der Sache ist jetzt , jetzt kann postfix das ganze
> >>> wieder ablehnen ?
> >>>
> >>> Dec  7 16:57:16 smtp postfix/postscreen[14664]: NOQUEUE: reject: RCPT
> >>> from
> >>> [61.28.225.91]:54559: 550 5.7.1 Service unavailable; client
> >>> [61.28.225.91]
> >>> blocked using bad.psky.me; from=<>, to=<[hidden email]>, proto=ESMTP,
> >>> helo=<mail.sna.com.vn>
> >>
> >> Der postscreen hat mit der ganzen Sache nichts zu tun, ignorier den
> >> bitte.
> >> Vorher war der Host halt einfach nur noch nicht auf einer DNSBL gelandet.
> >
> > Ich meinte auch eher das NOQUEUE:, oder verstehe ich das falsch ?
>
> Wahrscheinlich Letzteres.
> Du verschwendest Zeit mit falschen Vermutungen, während dein Mailsystem
> Spam millionenfach verschickt.
>
> Geh doch bitte strategisch vor und fang vorne an.

Versuche ich ja !
 
> Woher kommt der Spam?
Von [hidden email] den User admin gibt es aber nicht ????

Jetzt lasse ich den admin@ ... rejecten

aber das hilft auch noch nicht ganz ?

Wie kann es sein das Emails von einem regulären User als Spam missbraucht
werden ?

Also ich habe den User office@......... der bekommt Email die Spam sind und
versendet die aber gleich wieder natürlich auch als spam ?

Schön langsam würde ich wirklich etwas Hilfe brauchen ?

Irgendwie habe ich schön langsam das Gefühl das da beim Dovecot SASL was nicht
stimmt denn ich habe in den Mails eine sasl_auth?

Dec  8 14:35:12 smtp postfix/submission/smtpd[15200]: ECB5DC13D57B:
client=unknown[212.5.38.228], sasl_method=PLAIN, sasusername=[hidden email]
Dec  8 14:35:13 smtp postfix/cleanup[15199]: ECB5DC13D57B: reject: header From:
[hidden email] from unknown[212.58.228]; from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<[127.0.0.1]>: 5.7.1 message
content jected
Dec  8 14:35:13 smtp postfix/submission/smtpd[15200]: D894FC13D57B:
client=unknown[212.5.38.228], sasl_method=PLAIN, sasusername=[hidden email]
Dec  8 14:35:14 smtp postfix/cleanup[15238]: D894FC13D57B: reject: header From:
[hidden email] from unknown[212.58.228]; from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<[127.0.0.1]>: 5.7.1 message
content jected
Dec  8 14:35:14 smtp postfix/submission/smtpd[15200]: CF62DC13D57B:
client=unknown[212.5.38.228], sasl_method=PLAIN, sasusername=[hidden email]
Dec  8 14:35:15 smtp postfix/cleanup[15199]: CF62DC13D57B: reject: header From:
[hidden email] from unknown[212.58.228]; from=<[hidden email]>
to=<[hidden email]> proto=ESMTP helo=<[127.0.0.1]>: 5.7.1 message
content jected
Dec  8 14:35:15 smtp postfix/submission/smtpd[15200]: disconnect from
unknown[212.5.38.228]

> Von deinem System oder von fremden Systemen?
Es kommt von außen ?

--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Winfried Neessen
Hi,

Am 2016-12-08 14:50, schrieb Günther J. Niederwimmer:

> Schön langsam würde ich wirklich etwas Hilfe brauchen ?
>
Dann hol' Dir doch professionelle Hilfe von jemanden der sich damit
auskennt. Gibt genug
Firmen, die sowas anbieten.


Winni
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Günther J. Niederwimmer
Am Donnerstag, 8. Dezember 2016, 14:55:54 CET schrieb Winfried Neessen:
> Hi,
>
> Am 2016-12-08 14:50, schrieb Günther J. Niederwimmer:
> > Schön langsam würde ich wirklich etwas Hilfe brauchen ?
>
> Dann hol' Dir doch professionelle Hilfe von jemanden der sich damit
> auskennt. Gibt genug
> Firmen, die sowas anbieten.
>
Danke für die Antwort ????

--
mit freundlichen Grüßen / best regards,

  Günther J. Niederwimmer
Reply | Threaded
Open this post in threaded view
|

Re: SPAMMAIL an admin@

Werner Flamme
In reply to this post by Günther J. Niederwimmer
Günther J. Niederwimmer [08.12.2016 13:11]:

> Hallo,
>
> Am Mittwoch, 7. Dezember 2016, 19:49:13 CET schrieb Markus Heinze:
>> Moin moin,
>>
>> ich vermisse den initialen connect from im Logfile, ich vermute mal das
>> dieser Rechner Mail und Webserver ist, daher denke ich mal das eine
>> Website gehackt wurde und localhost wird eh per default vom Postfix
>> vertraut und er spammt demnach wild los, mal die php x headers loggen
>> lassen dann findet man die Schwachstelle
>
> Nein das ist ein KVM Server nur für die Mails.
Hallo,

Wie werden die Mails denn ins System geschickt? "grep 'admin@'
/var/log/maillog" - in dem gezipten Log sehe ich nur die Übergabe von
amavis.

Und wie sieht so eine Mail im Header aus? Besonders die
Received-Einträge könnten Hinweis sein.

P.S.: an den Leserechten für
/etc/pki/tls/postfix/private/dh_{512,2048}.pem könntest Du noch
Feintuning vornehmen ;)

Werner

--



signature.asc (484 bytes) Download Attachment
12