Kann Keyhelp mich sperren? [SOLVED]

[Pyragony]

@ Jolinar,
kannst du damit was anfangen? Ich nicht.
Die Mail kam auch nicht als unzustellbar zurück.

Code: Select all

2023-11-28 06:54:32 	postfix/qmgr 	2DDF65780910: removed
2023-11-28 06:54:32 	postfix/pipe 	2DDF65780910: to=<root@buffalo.startdedicated.de>, relay=dovecot, delay=0.22, delays=0.03/0.02/0/0.17, dsn=5.1.1, status=bounced (user unknown. Command output: lda(root@buffalo.startdedicated.de): Error: net_connect_unix(/run/dovecot/stats-writer) failed: Permission denied )
2023-11-28 06:54:32 	postfix/local 	2DDF65780910: passing <root@buffalo.startdedicated.de> to transport=dovecot
2023-11-28 06:54:32 	postfix/qmgr 	F359057808F3: removed
2023-11-28 06:54:32 	postfix/qmgr 	2DDF65780910: from=<>, size=2547, nrcpt=1 (queue active)
2023-11-28 06:54:32 	postfix/bounce 	F359057808F3: sender non-delivery notification: 2DDF65780910
2023-11-28 06:54:32 	postfix/cleanup 	2DDF65780910: message-id=<20231128055432.2DDF65780910@buffalo.startdedicated.de>
2023-11-28 06:54:32 	postfix/smtp 	F359057808F3: to=<root@alpha339.startdedicated.de>, relay=none, delay=0.23, delays=0.18/0.04/0/0, dsn=5.4.6, status=bounced (mail for alpha339.startdedicated.de loops back to myself)
2023-11-28 06:54:32 	postfix/qmgr 	F359057808F3: from=<root@buffalo.startdedicated.de>, size=426, nrcpt=1 (queue active)
2023-11-28 06:54:32 	postfix/cleanup 	F359057808F3: message-id=<20231128055431.F359057808F3@buffalo.startdedicated.de>
2023-11-28 06:54:31 	postfix/pickup 	F359057808F3: uid=0 from=<root@buffalo.startdedicated.de>

[Tobi]

Deine E-Mail Adresse lautet wirklich root@buffalo.startdedicated.de?

Ganz sicher?
Echt jetzt?

[Pyragony]

nein. Das hat Keyhelp von alleine gemacht. Die Mailadresse existiert nicht und wurde auch von mir nicht eingerichtet.
Im übrigen wäre ich dir dankbar, die TLD nicht in klarer Schrift zu veröffentlichen. Warum muß ich jetzt wohl nicht erklären.

[Tobi]

Willst du mich veralbern?
Wer hat denn damit angefangen?

2023-11-28 06:54:32 postfix/pipe 2DDF65780910: to=<root@buffalo.startdedicated.de>, relay=dovecot, delay=0.22, delays=0.03/0.02/0/0.17, dsn=5.1.1, status=bounced (user unknown. Command output: lda(root@buffalo.startdedicated.de): Error: net_connect_unix(/run/dovecot/stats-writer) failed: Permission denied )

[Pyragony]

Uppssssss..... sorry Tobi, ich dachte, ich hätte es als Bild eingestellt.
Da muß ich mich wohl jetzt selber in den A----- treten.

[Tobi]

Nachdem wir das geklärt haben…

Die Mailadresse denkt sich KeyHelp nicht aus, sondern die setzt sich aus dem local-Part (hier: root) und dem Servernamen zusammen.

Wenn also der Servername welcher nicht genannt werden darf nicht der deinige ist, stimmt deine gesamte Konfiguration von KeyHelp nicht.

[Alexander]

Ich habe einen Punkt entdeckt, den es vorher nicht gab innerhalb des Panels von Keyhelp.

Den Punkt gibts übrigens schon seit Januar 2016.

[Pyragony]

Doch Tobi, es ist meiner.

@ Alexander,
ist mir in der Vergangenheit nie aufgefallen, weil nach der Installation von Keyhelp alles funktionierte, wie es sein soll.

Wo also liegt das Problem? Ich habe gerade mal einen Virenscan am laufen. Wenn der fertig ist, sollte ich ja eine Nachricht bekommen.
Dann sehen wir weiter.

Ich muß allerdings anmerken, dass ich in der Verrgangenheit immer eine interne Mailadresse genommen habe. Da scheint es wohl zu funktionieren.
Jetzt ist es eine externe.

[Tobi]

Dein Servername hat beispielsweise nicht mal einen A Record und deine Fragen zeigen, dass du nicht wirklich Ahnung von der Materie hast.

Bei dem Thema um welches es in deinem Forum geht wäre ein „bulletproof-managed Hosting“ das was du brauchst.
Am besten mit vorgeschaltetem Cloudflare für dein Forum.

Und du solltest dringend auf eine aktiv supportete Forensoftware umsteigen.

[Pyragony]

@ Tobi, ich weiß ja nicht, für wie blöd du mich hälst.
Der A - Record ist schon seid 2008 eingetragen und das bei Cloudflare.
Ich weiß nicht, woher du diese Weisheiten her nimmst.
Wahrscheinlich nur vermutet.
Und wenn du mal ins YaBB-Forum schaust, ich habe dort einiges geschrieben über Perl-Module und Upgrades auf den Server.
Außerdem, wer sagt dir, dass YaBB Sicherheitslücken hat? Hat es nämlich nicht und das haben wir ausführlich getestet.
Wenn die Angriffe auf den FTP, IMAP und POP3 gingen, dann hat wohl YaBB am wenigsten damit zu tun.
So, ich ich habe einiges getan, um den Server sicherer zu machen. Jetzt werde ich nur noch den Port für SSH ändern.
Erzählt mir jetzt keiner, dass ich das in der Firewall berücksichtigen muß.
Tobi, mit dem letzten Kommentar von dir hast mich richtig sauer gemacht. Den hättest dir angesichts der Beweise von mir sparen können.
Und mein Problem konnte ich auch lösen und das war ganz einfach.
Einfach ein internes Postfach angelegt und schon werden die Mails mit der Rootbezeichnung dorthin geleitet.
Externe Anbieter lehnen die Mails ab, weil die nötigen Standartsicherheitssyteme wie DKIM und SPF fehlen.
So einfach ist das.

[Tobi]

Keine Ahnung was du da denkst zu tun,
Ich habe über mxtoolbox deine DNS Einträge geprüft und für buffalo gibt es weder einen A Record noch einen MX Record.

https://mxtoolbox.com/SuperTool.aspx?ac ... n=toolpage

https://mxtoolbox.com/SuperTool.aspx?ac ... n=toolpage


Cloudflare hatte ich tatsächlich übersehen. Das zumindest läuft bei dir.

[xister]

@ Tobi, ich weiß ja nicht, für wie blöd du mich hälst.
Der A - Record ist schon seid 2008 eingetragen und das bei Cloudflare.
Ich weiß nicht, woher du diese Weisheiten her nimmst.
Wahrscheinlich nur vermutet.

Also deine Screenshots wiederlegen nicht Tobis Aussage, die vollkommen zutreffend ist.
Er sprach vom Hostname und der wird in deinen Screenshots nicht dargestellt, sondern lediglich deine Forum URL.

Bzgl. Sicherheit des Forums.
Du hast noch nicht gefunden, worüber der Angriff stattgefunden hat, also auch keinen Belegbaren Beweis, dass es nicht doch über die Forensoftware passiert ist. Solange du nicht das Einfallstor ausgemacht hast, bleibt diese Möglichkeit noch immer bestehen. Nur weil der Täter ein "Alibi" hat, heißt es nicht, dass er unschuldig ist

[Pyragony]

@Tobi
... es ist allgemein bekannt, das mxtoolbox in dieser Hinsicht mit Cloudflare Probleme hat.
Ich habe da auch lange gebraucht, dahinter zu kommen.
Sie zeigen immer noch 4 Probleme an, die gar nicht vorhanden sind.
Ich ignoriere das, weil ich weiß, dass es stimmt.
Der spf stimmt zu 100%, trotzdem Fehlermeldung.
SOA stimmt auch, trotzdem Fehlermeldung.
SMTP Banner ist auch vorhanden, trotzdem Fehlermeldung.

Lange Zeit haben sie auch über dmarc gejammert. Erst seit ich das nichtmehr über sie laufen lasse, ist da Ruhe und komischerweise keine Fehlermeldung mehr.


@xsister
mach mal die Augen auf. Der steht sehr wohl im MX-Record und da gehört er auch hin und nicht in den A-Record.

Den Angriff herauszufinden ist nicht so einfach. Den Server habe ich so gut wie möglich jetzt abgesichert.
Was es bringt, wird sich zeigen. Jetzt läuft er erst einmal stabil.

Und nein, an der YaBB-Software liegt es definitiv nicht.

[tab-kh]

Wie ist denn nun die richtige Domain von "buffalo"? Mittels dig und dem Namen aus dem Log und dem DNS-Screenshot habe ich jetzt drei - nein, sogar vier - Namen, von denen drei auflösbar sind und einer nicht. Alle fangen mit "buffalo" an. Ob diese babylonische Sprachverwirrung Absicht ist oder nicht, kannst nur du wissen.

Klar ist, der Servername aus dem Mail-Log hat keinen A-record. Die restlichen drei enden mit ".anti-scam.de". Der MX hat einen A-record, die beiden restlichen haben zwei Domainnamen hintereinander am Ende, davon ist der mit 2x anti-scam.de hintereinander auflösbar, der andere (buffalo.start....de.anti-scam.de) ebenfalls.

[OlliTheDarkness]

Nur weil der Täter ein "Alibi" hat, heißt es nicht, dass er unschuldig ist

Jetzt hör aber auf

Du zerstörst grade alles , an was das deutsche Rechtssystem glaubt.