Sign in to follow this  
sd12

Wird mein Mailserver als Spamschleuder verwendet?

Recommended Posts

Ich habe den Verdacht, dass mein Mailserver ein Sicherheitsleck hat. Warum denke ich das?

Folgende Errormails erhalte ich regelmässig:
QUOTE
Your message did not reach some or all of the intended recipients.

Sent: Thu, 10 Aug 2006 04:04:31 -0480
Subject: find that perfect timepiece

The following recipient(s) could not be reached:

[email protected]
Error Type: SMTP
Error Description: Error message from remote server
Message: 550 5.7.1 Rejected (k7A3vUed018915) 84.74.99.223 is blacklisted by DCC. Details http://www.hispeed.ch/dcc.



MailDaemon
hMailServer


Kann mal mer den Mailserver auf Löcher checken? mail.domain.ch

Zum guten Glück hat der Relay von cablecom DCC aktiviert, dan wird der Schund wenigstens nicht versandt...

Share this post


Link to post
Share on other sites
QUOTE (B @ Do 10.8.2006, 8:06)
Kann mal mer den Mailserver auf Löcher checken? mail.domain.ch

Ich bin zwar nicht der große Mailserver-Spezialist.

Aber mit

CODE
telnet mail.domain.ch. 25


kann ich eine Verbindung herstellen, wenn ich das richtig sehe, dann könnte ich darüber auch Mails versenden.

Meine Server sind gegen solche Dinge zunächst durch die Firewall geschützt. Aber auch innerhalb der Mailserver-Konfiguration (Win2003) kann ich explizit festlegen, welchen Servern der Zugriff und welchen die Weitergabe erlaubt ist. Wenn ein neuer interner Server dazu käme, dann müßte ich dessen IP-Nummer auf dem SMTP-Server zunächst explizit erlauben.

Bei dir scheinen zumindest alle IP-Adressen zugreifen zu dürfen.

Share this post


Link to post
Share on other sites
Also ein offenes Relay hast Du schonmal nicht. Obs sonst Löcher hat, wüsste ich nicht, ich kenn den hMailserver nicht. Macht der vielleicht irgendwelche Logs, so dass Du eine bestimmte Nachricht zurückverfolgen könntest? Ansonsten wirds sehr schwierig.

Griessli
Irene

Share this post


Link to post
Share on other sites
QUOTE (Irene @ Do 10.8.2006, 9:52)
Also ein offenes Relay hast Du schonmal nicht.

Aber da ich direkt darauf zugreifen kann, ist das doch viel schlimmer als ein Relay?


So, jetzt habe ich das mal bei mir getestet, meiner aktuellen IP in der Firewall den Zugriff auf Port 25 gestattet.

CODE
telnet 80.237.183.228 25

wird abgelehnt, obwohl es die Firewall für meinen Rechner zuläßt.

CODE
telnet mail.domain.ch 25


wird akzeptiert und baut eine Verbindung auf.

Wenn ich die Befehlsfolge wüßte, müßte ich Mails über mail.domain.ch direkt versenden können.

Share this post


Link to post
Share on other sites
QUOTE (jAuer @ Do 10.8.2006, 11:06)
Aber da ich direkt darauf zugreifen kann, ist das doch viel schlimmer als ein Relay?

Ich gehe davon aus, dass der Mailserver eigene Konten verwaltet. Also muss er ja erreichbar sein - wie sonst soll ein Mailserver von draussen bei ihm ein Mail abliefern können?

QUOTE (jAuer @ Do 10.8.2006, 11:06)
wird akzeptiert und baut eine Verbindung auf.
Wenn ich die Befehlsfolge wüßte, müßte ich Mails über mail.domain.ch direkt versenden können.

Ich weiss die Folge und habs ausprobiert - Beni's Server akzeptiert keine Mail an nicht-lokale Konten, wenn der Sender nicht authentifiziert ist. Also absolut sauberes Verhalten.

Griessli
Irene

Share this post


Link to post
Share on other sites
Hallo Beni,

Ja, dein Mailserver ist offen, aber authentication ist ON.

Versuch mit SMTP:
CODE

220 mail.domain.ch ESMTP
helo speedy.gonzales.net
250 Hello.
mail from: [email protected]
250 OK
rcpt to: [email protected]
530 SMTP authentication is required.


Aha, du hast einen ESMTP Server, also dann:
CODE

220 mail.domain.ch ESMTP
ehlo shiva.jussieu.fr
250-hmailserver
250-SIZE
250 AUTH LOGIN
MAIL FROM: <[email protected]> [email protected]
250 OK
rcpt [email protected]
530 SMTP authentication is required.


TURN und VRFY sind disallowed, gut.
Ich habe auch noch auf AUTH rumgehämmert, bin aber nicht reingekommen wink.gif

Ich schlage dir vor, das Logfile anzusehen. Aber so wie ich es sehe, kommt man ohne Authentication nicht durch.

Meine Versuch kannst du ja anhand des oben kopierten Codes finden.

ph34r.gif Your white hat hacker ph34r.gif
Cheers, René

Share this post


Link to post
Share on other sites
QUOTE (Irene @ Do 10.8.2006, 10:18)
Ich weiss die Folge und habs ausprobiert - Beni's Server akzeptiert keine Mail an nicht-lokale Konten, wenn der Sender nicht authentifiziert ist. Also absolut sauberes Verhalten.

Thanks für die Info - ich mußte bei mir bis jetzt nur ausgehende Mails konfigurieren, die von einem der internen Server initiiert wurden.


Wenn man allerdings so nicht reinkommt? Liegt die Ursache womöglich nicht in der Konfiguration des SMTP, sondern in einem unsicheren Script, das per Mail Header Injection für Spam genutzt werden kann?

Share this post


Link to post
Share on other sites
QUOTE (jAuer @ Do 10.8.2006, 11:36)
Wenn man allerdings so nicht reinkommt? Liegt die Ursache womöglich nicht in der Konfiguration des SMTP, sondern in einem unsicheren Script, das per Mail Header Injection für Spam genutzt werden kann?

Es ist noch nicht gesagt, dass man so nicht reinkommt. Es kann sein, dass der Mailserver bei gewissen Befehlen heikel reagiert, dass beispielsweise ein Buffer Overflow provoziert werden kann oder sonstwas Altbekanntes.

Kann aber auch sein, dass der Server irgendwo sonst - auf einem anderen Port bezw. Dienst - ein Loch hat und darüber dann Mails initiiert werden. Wenn Mails von lokal kommen, wird wahrscheinlich keine Authentifizierung verlangt. Um das rauszufinden, wären eben die Mail-Logs nötig, aber auch andere Kenntnisse des Servers, z.B. Betriebssystem, was läuft sonst für Software/Dienste, wie ist der Schutz gegen aussen konfiguriert (Firewall-Regeln) und so weiter. Ein ziemlich komplexes Problem huh.gif

Griessli
Irene

Share this post


Link to post
Share on other sites
Vielen Dank für die Zahlreichen Antworten.

Gem. http://www.abuse.net/relay.html scheint es Ok. zu sein.
QUOTE
Mail relay testing
Connecting to mail.domain.ch for anonymous test ...

<<< 220 mail.domain.ch ESMTP
>>> HELO www.abuse.net
<<< 250 Hello.
Relay test 1
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<[email protected]>
<<< 530 SMTP authentication is required.
Relay test 2
>>> RSET
<<< 250 OK
>>> MAIL FROM:<spamtest>
<<< 550 The address is not valid...
Relay test 3
>>> RSET
<<< 250 OK
>>> MAIL FROM:<>
<<< 250 OK
>>> RCPT TO:<[email protected]>
<<< 530 SMTP authentication is required.
Relay test 4
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<[email protected]>
<<< 530 SMTP authentication is required.
Relay test 5
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected][84.74.99.223]>
<<< 250 OK
>>> RCPT TO:<[email protected]>
<<< 530 SMTP authentication is required.
Relay test 6
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<securitytest%[email protected]>
<<< 530 SMTP authentication is required.
Relay test 7
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<securitytest%[email protected][84.74.99.223]>
<<< 530 SMTP authentication is required.
Relay test 8
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<"[email protected]">
<<< 530 SMTP authentication is required.
Relay test 9
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<"securitytest%abuse.net">
<<< 530 SMTP authentication is required.
Relay test 10
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<[email protected]@mail.domain.ch>
<<< 530 SMTP authentication is required.
Relay test 11
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<"[email protected]"@mail.domain.ch>
<<< 530 SMTP authentication is required.
Relay test 12
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<[email protected]@[84.74.99.223]>
<<< 530 SMTP authentication is required.
Relay test 13
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<@mail.domain.ch:[email protected]>
<<< 530 SMTP authentication is required.
Relay test 14
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<@[84.74.99.223]:[email protected]>
<<< 530 SMTP authentication is required.
Relay test 15
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<abuse.net!securitytest>
<<< 530 SMTP authentication is required.
Relay test 16
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<abuse.net![email protected]>
<<< 530 SMTP authentication is required.
Relay test 17
>>> RSET
<<< 250 OK
>>> MAIL FROM:<[email protected]>
<<< 250 OK
>>> RCPT TO:<abuse.net![email protected][84.74.99.223]>
<<< 530 SMTP authentication is required.
Relay test result
All tests performed, no relays accepted.

Share this post


Link to post
Share on other sites
Soeben ist mir ein Lichtlein aufgegeangen....

Es ist alles i.O. hab alles sauber dicht gemacht. Wenn ich aber eine Email bekomme, leite ich eine Kopie an meinen Handy Email-Account weiter.

Nätürlich leitet die Regel auch den Spam weiter! Und der Spam wird dann vom DCC von cablecom abgewiesen...

OT: Weiss wer wie man DCC auch einbinden kann? Scheint zuverlässig den Spam zu bekämpfen.

Share this post


Link to post
Share on other sites
Tiptop wink.gif

Wie man DCC einbindet, weiss ich nicht. Allerdings wär ich vorsichtig mit dem Übernehmen von Spamfiltern von Cablecom. Die haben teilweise so harte Filter, dass auch erwünschter Traffic abgewiesen wird.

Ich benutze seit kurzem EWall, das zwischen Internet und Mailserver geschaltet wird und wo man sehr feine Regeln selber definieren kann. Ausserdem hat man mittels Javascript Zugriff auf das gesamte SMTP-Protokoll. Seitdem erhalte ich null Spam mehr, und es gab bisher kein false positive.

Griessli
Irene

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this