Spams von gehosteten Systemen?

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
8 messages Options
Reply | Threaded
Open this post in threaded view
|

Spams von gehosteten Systemen?

Tim-Ole
Moin, Liste,

das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand missbraucht wurde. In der Regel haben wir dies schnell erkannt und abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates, aber gelegentlich kommt es leider doch vor, dass unsere Web- oder Mailserver  als Spamschleuder missbraucht werden und auf Blacklists landen.

Mich würde interessieren, mit welchen *postfixseitigen* Methoden oder Techniken das eingrenzbar wäre. Ein Limiting per IP, also ggf. auch von „localhost“? Oder striktem Verbieten von „mynetworks“? Gerade Newsletter, Mails von Webformularen o.ä. sollen ja aber gewollt über die Server verschickt werden.

Vielen Dank im Voraus für etwas Input! :)

Schöne Grüße

Tim-Ole


Reply | Threaded
Open this post in threaded view
|

Re: Spams von gehosteten Systemen?

sebastian@debianfan.de
Viele große Provider lassen den Versand aus ihren Netzen gar nicht mehr zu sondern verlangen ein relaying über die smtp-Server des Providers.



> Am 14.08.2017 um 15:34 schrieb Tim-Ole <[hidden email]>:
>
> Moin, Liste,
>
> das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand missbraucht wurde. In der Regel haben wir dies schnell erkannt und abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates, aber gelegentlich kommt es leider doch vor, dass unsere Web- oder Mailserver  als Spamschleuder missbraucht werden und auf Blacklists landen.
>
> Mich würde interessieren, mit welchen *postfixseitigen* Methoden oder Techniken das eingrenzbar wäre. Ein Limiting per IP, also ggf. auch von „localhost“? Oder striktem Verbieten von „mynetworks“? Gerade Newsletter, Mails von Webformularen o.ä. sollen ja aber gewollt über die Server verschickt werden.
>
> Vielen Dank im Voraus für etwas Input! :)
>
> Schöne Grüße
>
> Tim-Ole
>
>

Reply | Threaded
Open this post in threaded view
|

AW: Spams von gehosteten Systemen?

Harald Witt
In reply to this post by Tim-Ole
Hallo Tim-Ole,

hatte exakt das gleiche Problem.

PolicyD V2 (Cluebringer) war die Super-Lösung.

Habe mittels Policies und Quotas die Anzahl der Mails von gehosteten
Mail-Domains (internal) nach extern auf 200 pro Tag begrenzt.
Wenn da ein Account gekackt wird, landet man noch nicht auf einer Blacklist.
Der Betroffene meldet sich dann schon, weil er nicht mehr senden kann.

Dann folgt das Übliche: Malware entfernen, Passwort ändern und dann evtl.
den counter in der Tabelle "quotas_tracking" zurücksetzen.  Mir hat das in
den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf Blacklistst zu
landen.

HTH
Harald

-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]]
Im Auftrag von Tim-Ole
Gesendet: Montag, 14. August 2017 18:35
An: [hidden email]
Betreff: Spams von gehosteten Systemen?

Moin, Liste,

das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich
habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer
wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand
missbraucht wurde. In der Regel haben wir dies schnell erkannt und
abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates,
aber gelegentlich kommt es leider doch vor, dass unsere Web- oder Mailserver
als Spamschleuder missbraucht werden und auf Blacklists landen.

Mich würde interessieren, mit welchen *postfixseitigen* Methoden oder
Techniken das eingrenzbar wäre. Ein Limiting per IP, also ggf. auch von
„localhost“? Oder striktem Verbieten von „mynetworks“? Gerade Newsletter,
Mails von Webformularen o.ä. sollen ja aber gewollt über die Server
verschickt werden.

Vielen Dank im Voraus für etwas Input! :)

Schöne Grüße

Tim-Ole


Reply | Threaded
Open this post in threaded view
|

Re: Spams von gehosteten Systemen?

Tim-Ole
Hallo, Harald,

> hatte exakt das gleiche Problem.
> PolicyD V2 (Cluebringer) war die Super-Lösung.
>
> Mir hat das in
> den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf Blacklistst zu
> landen.

vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich ;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält?

Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus dem „Nichts“ auftauchen - in den Logs kommt die initiale Verbindung dann von 127.0.0.1 zustande :\

Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem Server als prozess, befürchte ich :\


Schöne Grüße

Tim-Ole
Reply | Threaded
Open this post in threaded view
|

Re: Spams von gehosteten Systemen?

Martin Steigerwald
In reply to this post by Tim-Ole
Hallo Tim-Ole.

Tim-Ole - 14.08.17, 18:34:
> das Thema wurde sicherlich schon verschiedentlich hier durchgekaut, aber ich
> habe nichts gefunden, was so ganz konkret passt. Wir hatten jetzt immer
> wieder Fälle, bei denen einer unserer gehosteten Webserver für Spamversand
> missbraucht wurde. In der Regel haben wir dies schnell erkannt und
> abgestellt, und wir ermahnen unsere Kunden auch zu regelmässigen Updates,
> aber gelegentlich kommt es leider doch vor, dass unsere Web- oder
> Mailserver  als Spamschleuder missbraucht werden und auf Blacklists landen.

Von mir nur ein Dankeschön, dass Du da Abhilfe schaffen möchtest.

Ich hab eine ziemlich Liste solcher VMs in meiner sender-Blacklist.

Danke,
--
Martin
Reply | Threaded
Open this post in threaded view
|

AW: Spams von gehosteten Systemen?

Harald Witt
In reply to this post by Tim-Ole
Hallo Tom-Ole,

das Ganze ist schon etwas verwirrend, wenn man da so rumgoogelt.
Ich glaube Peer hat mich irgendwann mal auf die richtige Fährte gebracht -
Danke Peer!

Ein PolicyD (ein policy deamon) nutzt die seit Version 2.1 in Postfix
vorhandene Schnittstelle, um externe "Programme" Entscheidungen auf Grund
von Regeln (policies) treffen zu lassen, was mit einer E-Mail passieren
soll. Der Vater von Postfix (Wietse Venema) hat diese Schnittstelle
implementiert, um die komplexen und vor allem über die Zeit sehr dynamischen
Sachen aus dem SMTP-Core rauszuhalten.

Die Zauberei findet in der main.cf von postfix statt:
smtpd_recipient_restrictions =  check_policy_service inet:127.0.0.1:10031,
...

Das auf Port 10031 ist Cluebringer. Auf Port 10023 läuft postgray. Und da
gibt es ja auch noch policyd-weight um das Filtern von Spam zu wichten :-)

Verwirrt? Nein,  denn Cluebringer bringt einiges davon zusammen (Access
Control, EHLO Checks, SPF Checks, Greylisting,  Quotas, ..). Deshelab der
Name PolicyD V2 (Cluebringer). Aber Cluebringer ist eben "nur" einer von
einigen policyd's!

Knie dich da mal richtig rein. Ich bin sicher, dass das dein Problem löst
:-)
Harald


-----Ursprüngliche Nachricht-----
Von: Postfixbuch-users [mailto:[hidden email]]
Im Auftrag von Tim-Ole
Gesendet: Montag, 14. August 2017 20:32
An: Diskussionen und Support rund um Postfix
Betreff: Re: Spams von gehosteten Systemen?

Hallo, Harald,

> hatte exakt das gleiche Problem.
> PolicyD V2 (Cluebringer) war die Super-Lösung.
>
> Mir hat das in
> den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf
> Blacklistst zu landen.

vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich
;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur
nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die
aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält?

Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus
dem „Nichts“ auftauchen - in den Logs kommt die initiale Verbindung dann von
127.0.0.1 zustande :\

Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem
Server als prozess, befürchte ich :\


Schöne Grüße

Tim-Ole=

Reply | Threaded
Open this post in threaded view
|

Re: Spams von gehosteten Systemen?

Paul-2
In reply to this post by Tim-Ole
Am 14.08.2017 um 20:31 schrieb Tim-Ole:

> Hallo, Harald,
>
>> hatte exakt das gleiche Problem.
>> PolicyD V2 (Cluebringer) war die Super-Lösung.
>>
>> Mir hat das in
>> den letzten 2 Jahren mindestens 15 Mal den A.. gerettet, auf Blacklistst zu
>> landen.
>
> vielen Dank für die umgehende Rückmeldung - ich glaube, so etwas suche ich ;) Ich bin auf Cluebringer auch schon beim Googeln gestossen, wusste das nur nicht so recht einzuordnen. Policyd nutzen wir natürlich. Ist das dann die aktuellere Variante des Policyd, die nebenbei noch den Cluebringer enthält?
>
> Was mir immer wieder Rätselraten bereitet, sind die Mails, die scheinbar aus dem „Nichts“ auftauchen - in den Logs kommt die initiale Verbindung dann von 127.0.0.1 zustande :\
>
> Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt auf dem Server als prozess, befürchte ich :\

Pass mal den Wert für mail.log in der php.ini an.
So solltest du sehen können, welches PHP-Skript die Mail erzeugt.

http://php.net/manual/de/mail.configuration.php

Gruß,
Paul

Reply | Threaded
Open this post in threaded view
|

Re: Spams von gehosteten Systemen?

Thomas Schwenski
Hallo Tim-Ole,

Am 15.08.17 um 09:38 schrieb Paul:

 >> Vermutlich läuft in solchen Fällen das Spammerscript bereits direkt
 >> auf dem Server als prozess, befürchte ich :\
 >
 > Pass mal den Wert für mail.log in der php.ini an.
 > So solltest du sehen können, welches PHP-Skript die Mail erzeugt.
 >
 > http://php.net/manual/de/mail.configuration.php

Ich würde generell den Standard-Mailversand in PHP abschalten und nur
authentifizierte Versender (z.B. über PHPMailer) zulassen.

Wenn es machbar ist, dann mach auf allen Ports (25, 465, 587) die
Vertrauensstellung von localhost raus bzw. lasse localhost maximal an
eigene Empfänger zu.
(Damit es keine Wechselwirkungen mit irgendwelchen Mail-versendenen
Diensten gibt, die wichtig sind.)

Der Kunde kann sich auch für seine Newsletter, Foren, Shopsysteme,
was-auch-immer authentifizieren.
Vorteil ist, dass Du sofort weißt, welche Mailbox kompromittiert ist und
dass Kunden auch nur von existierenden Adressen/Aliasen aus Mails
versenden (No-Reply etc. lässt sich ja dann über den Mailheader lösen,
aber DSN kämen immer an das Absenderpostfach).

Viele Grüße

--
Thomas Schwenski
mailto:[hidden email]