Spamversand über meinen Server

[Pyragony]

Hallo all,
jeder der einen eigenen Server hat, kennt das Problem.
Irgendwann ist deine IP bei Spamhaus auf der schwarzen Liste.
Frage: Wie kann ich bei Keyhelp oder in Postfix den Mailausgang begrenzen.
Ich selber versende nur sehr selten Mails an meine Mitglieder.
Das meiste was rausgeht sind Aktivierungsmails (am Tag vielleicht zwei bis drei Stück).
Zwischenzeitlich bin ich bei der Telekom geblockt wegen dieser Sch......
Gut, das läßt sich ja mit einer neuen IP beheben, nützt aber nicht viel, weil sie in ein paar Tagen ja wieder verseucht ist.

Wer hat gute Vorschläge.

[BloodOfPanda]

Hallo,

ggf. solltest du nach dem Grund suchen warum du auf solch Listen landest, wenn du nur drei Mails am Tag versendest sollt das nicht dass Problem sein.

Prüf mal die Qualität deiner Mails mit mail-tester.com oder ähnlichen Seiten bzw. schau dir deinen Mail.log mal genauer an.

Was möchtest du denn genau begrenzen wenn du eh nur ne Handvoll Mails versendest?

Grüße Panda // Marcel

[Pyragony]

Hallo Panda,
danke für deine Vorschläge, aber die Tests habe ich schon hinter mir.
Da ist alles okay. Daran liegt es nicht.
Ich lande ausschließlich nur bei Spamhaus in der XBL-Liste, d.h. über meinen Server werden Viren oder Exploids versendet aber kein SPAM in Form von HAM (Versand für Viagra und sonstiges). Das ist es also nicht. Spam ist also der falsche Ausdruck.

In der mail.log habe ich zu diesem Zeitpunkt (Spamhaus gibt den Zeitpunkt des Blacklistings aus) folgenden Eintrag, der sich laufend wiederholt:

Code: Select all

Nov 18 11:23:14 alpha339 postfix/submission/smtpd[28361]: connect from localhost[127.0.0.1]
Nov 18 11:23:14 alpha339 postfix/submission/smtpd[28361]: lost connection after CONNECT from localhost[127.0.0.1]
Nov 18 11:23:14 alpha339 postfix/submission/smtpd[28361]: disconnect from localhost[127.0.0.1] commands=0/0
Nov 18 11:23:14 alpha339 dovecot: pop3-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, TLS handshaking: SSL_accept() syscall failed: Success, session=<HD7J/160iOR/AAAB>
Nov 18 11:23:14 alpha339 dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=127.0.0.1, lip=127.0.0.1, TLS handshaking: SSL_accept() syscall failed: Success, session=<UkbJ/160DKx/AAAB>

Das einzige was sich vorlaufend ändert ist die Session=<xxxxxxxxxxx>.

Diese Einträge wiederholen sich, bis ich auf der Blockliste lande. Dann geht nichts mehr raus, es ist aber auch nichts in der Warteschleife zu sehen. Die bleibt bei Null.
Kurzum heißt das, die Mails laufen nicht über das Adminpanel, denn es gibt bei solchen Versand immer unzustrellbare Mailadressen, die man dann ja sehen würde. Sie laufen also direkt über den localhost.

Diese Einträge sind sonst nie vorhanden. Keine brauchbare IP vorhanden.

Also: Meine Frage war uns ist: Wie kann ich den Mailausgang begrenzen, so sagen wir mal höchstens zwei Mails pro Stunde den Server verlassen dürfen.
Bei der Plesk war das einfach.

https://docs.plesk.com/de-DE/onyx/admin ... pam.71349/

Aber wie funktionert das bei Keyhelp?

[Tobi]

Wenn über deinen Server tatsächlich Viren und Exploits versandt werden solltest du mal wirklich nachprüfen wie es dazu kommen kann.
Die Mailanzahl pro Tag zu begrenzen lindert doch nur die Symptome aber ist bei weitem keine Lösung.

Als verantwortungsvoller Admin solltest du dir auch überlegen den Service so lange einzustellen bis das Problem behoben ist.

BTW: Eine neue IP ist keine Lösung...

[Florian]

Hallo,

häufig geschieht so ein Versand auch nicht über den Postfix, meisten läuft dort ein versteckter Prozess. Daher sollte man mittels "lsof -i" mal prüfen was für Verbindungen der Server aufgebaut hat.

[Pyragony]

Hallo Tobi, ich weiß, dass das keine Lösung ist.

Deshalb auch meine Frage, wie ich den Mailausgang begrenzen kann.

@Florian, diese Eingabebefehle sind mir nicht unbekannt.
Es ist alles so, wie es sein soll.

Code: Select all

COMMAND     PID     USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
named       625     bind   21u  IPv6    16028      0t0  TCP *:domain (LISTEN)
named       625     bind   22u  IPv4    16032      0t0  TCP localhost:domain (LI STEN)
named       625     bind   23u  IPv4    16034      0t0  TCP lancia.anti-scam.de:  domain (LISTEN)
named       625     bind   24u  IPv4    16050      0t0  TCP localhost:953 (LISTEN)
named       625     bind  512u  IPv6    16774      0t0  UDP *:domain
named       625     bind  513u  IPv6    16774      0t0  UDP *:domain
named       625     bind  514u  IPv6    16774      0t0  UDP *:domain
named       625     bind  515u  IPv6    16774      0t0  UDP *:domain
named       625     bind  516u  IPv4    16031      0t0  UDP localhost:domain
named       625     bind  517u  IPv4    16031      0t0  UDP localhost:domain
named       625     bind  518u  IPv4    16031      0t0  UDP localhost:domain
named       625     bind  519u  IPv4    16031      0t0  UDP localhost:domain
named       625     bind  520u  IPv4    16033      0t0  UDP lancia.anti-scam.de:                                           domain
named       625     bind  521u  IPv4    16033      0t0  UDP lancia.anti-scam.de:                                           domain
named       625     bind  522u  IPv4    16033      0t0  UDP lancia.anti-scam.de:                                           domain
named       625     bind  523u  IPv4    16033      0t0  UDP lancia.anti-scam.de:                                           domain
opendkim    702 opendkim    3u  IPv4    16763      0t0  TCP localhost:12345 (LISTEN)
sshd        704     root    3u  IPv4    10906      0t0  TCP *:ssh (LISTEN)
sshd        704     root    4u  IPv6    10908      0t0  TCP *:ssh (LISTEN)
postgrey    716 postgrey    5u  IPv4    14878      0t0  TCP localhost:10023 (LISTEN)
spamd      1010     root    5u  IPv4    19594      0t0  TCP localhost:spamd (LISTEN)
mysqld     1029    mysql   19u  IPv4    15113      0t0  TCP localhost:mysql (LISTEN)
mysqld     1029    mysql  246u  IPv4 20725356      0t0  TCP localhost:mysql->localhost:38942 (ESTABLISHED)
mysqld     1029    mysql  301u  IPv4 20726206      0t0  TCP localhost:mysql->localhost:38960 (ESTABLISHED)
spamd\x20  1905     root    5u  IPv4    19594      0t0  TCP localhost:spamd (LISTEN)
spamd\x20  1907     root    5u  IPv4    19594      0t0  TCP localhost:spamd (LISTEN)
apache2    2331 www-data    3u  IPv4 12515918      0t0  TCP *:http (LISTEN)
apache2    2331 www-data    4u  IPv4 12515920      0t0  TCP *:https (LISTEN)
apache2    2332 www-data    3u  IPv4 12515918      0t0  TCP *:http (LISTEN)
apache2    2332 www-data    4u  IPv4 12515920      0t0  TCP *:https (LISTEN)
apache2    2332 www-data   24u  IPv4 22932830      0t0  TCP lancia.anti-scam.de:                                           https->crawl9.bl.semrush.com:14216 (ESTABLISHED)
apache2    2333 www-data    3u  IPv4 12515918      0t0  TCP *:http (LISTEN)
apache2    2333 www-data    4u  IPv4 12515920      0t0  TCP *:https (LISTEN)
apache2    2333 www-data   24u  IPv4 22881181      0t0  TCP lancia.anti-scam.de:                                           https->212.3.194.62:38002 (ESTABLISHED)
apache2    2333 www-data   25u  IPv4 22927244      0t0  TCP lancia.anti-scam.de:                                           https->ninja-crawler5.webmeup.com:48642 (ESTABLISHED)
/usr/sbin  3447   amavis    5u  IPv4 11584245      0t0  TCP localhost:10024 (LISTEN)
/usr/sbin  9605   amavis    5u  IPv4 11584245      0t0  TCP localhost:10024 (LISTEN)
/usr/sbin  9605   amavis   14u  IPv4 20723523      0t0  TCP localhost:38942->localhost:mysql (ESTABLISHED)
/usr/sbin 11962   amavis    5u  IPv4 11584245      0t0  TCP localhost:10024 (LISTEN)
/usr/sbin 11962   amavis   14u  IPv4 20725402      0t0  TCP localhost:38960->localhost:mysql (ESTABLISHED)
master    13809     root   13u  IPv4 11691195      0t0  TCP *:smtp (LISTEN)
master    13809     root   17u  IPv4 11691198      0t0  TCP *:submission (LISTEN)
master    13809     root  116u  IPv4 11691296      0t0  TCP localhost:10025 (LISTEN)
apache2   14764 www-data    3u  IPv4 12515918      0t0  TCP *:http (LISTEN)
apache2   14764 www-data    4u  IPv4 12515920      0t0  TCP *:https (LISTEN)
apache2   14764 www-data   24u  IPv4 22936630      0t0  TCP lancia.anti-scam.de:                                           http->ninja-crawler5.webmeup.com:45918 (ESTABLISHED)
sshd      24811     root    3u  IPv4 22914828      0t0  TCP lancia.anti-scam.de:                                           ssh->p5b0a4c43.dip0.t-ipconnect.de:52324 (ESTABLISHED)
sshd      25721     root    3u  IPv4 22932504      0t0  TCP lancia.anti-scam.de:                                           ssh->180.76.163.4:60496 (ESTABLISHED)
sshd      25723     sshd    3u  IPv4 22932504      0t0  TCP lancia.anti-scam.de:                                           ssh->180.76.163.4:60496 (ESTABLISHED)
sshd      25856     root    3u  IPv4 22927228      0t0  TCP lancia.anti-scam.de:                                           ssh->81.69.19.167:60594 (ESTABLISHED)
sshd      25858     sshd    3u  IPv4 22927228      0t0  TCP lancia.anti-scam.de:                                           ssh->81.69.19.167:60594 (ESTABLISHED)
sshd      26003     root    3u  IPv4 22936617      0t0  TCP lancia.anti-scam.de:                                           ssh->p5b0a4c43.dip0.t-ipconnect.de:52369 (ESTABLISHED)
dovecot   26760     root   15u  IPv4 13608323      0t0  TCP *:sieve (LISTEN)
dovecot   26760     root   16u  IPv6 13608324      0t0  TCP *:sieve (LISTEN)
dovecot   26760     root   27u  IPv4 13608350      0t0  TCP *:pop3 (LISTEN)
dovecot   26760     root   28u  IPv6 13608351      0t0  TCP *:pop3 (LISTEN)
dovecot   26760     root   29u  IPv4 13608352      0t0  TCP *:pop3s (LISTEN)
dovecot   26760     root   30u  IPv6 13608353      0t0  TCP *:pop3s (LISTEN)
dovecot   26760     root   43u  IPv4 13608395      0t0  TCP *:imap2 (LISTEN)
dovecot   26760     root   44u  IPv6 13608396      0t0  TCP *:imap2 (LISTEN)
dovecot   26760     root   45u  IPv4 13608397      0t0  TCP *:imaps (LISTEN)
dovecot   26760     root   46u  IPv6 13608398      0t0  TCP *:imaps (LISTEN)
apache2   26772     root    3u  IPv4 12515918      0t0  TCP *:http (LISTEN)
apache2   26772     root    4u  IPv4 12515920      0t0  TCP *:https (LISTEN)
proftpd   26818  proftpd    0u  IPv6 13615118      0t0  TCP *:ftp (LISTEN)

Ich habe auch schon versucht, mit einem Wrapper etwas herauszufinden. Kein Erfolg.
Also: Wie kann ich bei Keyhelp den Postausgang begrenzen?
Wenn der Versender merkt, dass sein Müll nicht rausgeht, gibt er vielleicht irgendwann auf.

[Florian]

Hallo,

es gibt bei Keyhelp keine Begrenzung für ausgehende Nachrichten.

Wenn es ein normaler Mailbenutzer ist, sieht man es indem man mittels grep das Maillog nach sasl_username durchforstet. Häufige Logins sprechen für ein gehacktes Postfach.

Scripte fallen auf in dem man die access_logs nach POST Requests durchsucht.

[Pyragony]

Danke Florian, das war mal eine Auskunft.
Ein gehacktes Postfach kann ich mir allerdings nicht vorstellen, sämtliche Paßwörter sind von Keyhelp generiert worden und werden
alle 4 Wochen neu generiert. Ich werde mir mal die vorgeschlagenen logs genauer ansehen, ob sich da was findet.
Mit Sicherheit kann man aber die Ausgänge per Konsole begrenzen. Mal sehen, wie das funktioniert.

[Florian]

Hallo,

sicher kann man das begrenzen, aber das ist bei so einem Problem nicht zielführend. Das Problem muss gelöst werden. Und wenn, wie bereits erwähnt, der Versand über ein Schadprogramm an Postfix vorbeiläuft, greift auch keine Drossel der Postfächer

[Pyragony]

Hallo Florian, ich bin mal die access.log durchgegangen und habe etwas gefunden, was genau in den Zeitraum paßt.

Code: Select all

91.10.90.93 - - [18/Nov/2020:12:26:55 +0100] "POST /ajax.php HTTP/2.0" 200 155 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0"
34.222.188.2 - - [18/Nov/2020:12:27:03 +0100] "\n" 400 3578 "-" "-"

Die 91.10.90.93 ist meine eigene IP, ajax.php ist bestandtei von KeyHelp. Das ist also okay.

Die IP 34.222.188.2 gehört Amazon Technologie, die IP steht bei Spamhaus in der XBL-Liste und auch bei cbl.abuseat.org. Weitere Blacklisten habe ich nicht kontrolliert.
Der Eintrag selber sagt mir so jetzt gar nichts. Dir vielleicht?

Wie kann ich diese IP mit KeyHelp blocken, so dass sie auf den Server nicht mehr zugreifen kann?

oder

wo platziere ich die .htaccess-Datei auf dem Server? (bitte genauen Pfad angeben).

Danke für die Hilfe, ich glaube, wir kommen dem ganzen näher und hilft viellecht auch anderen.

So wie ich das sehe, geht die Sache tatschlich an Postfix vorbei, es würden ja sonst nicht zustellbare Mails in der Warteschlange stehen (oder nicht)?

[OlliTheDarkness]

IP Block über ein und ausgangsregel der FW

[Pyragony]

@OlliTheDarkness
... die Firewall wollte ich eigentlich vermeiden, da es für Debian 10 anscheinend noch keine GUI gibt (oder wurde schon eine entwickelt?).

Bei mir läuft noch Debian 9 und wird es noch einen Weile, bis mein YaBB-Forum überarbeitet wurde. Es gibt hier Perl-Probleme unter Debian 10.
Das ist der Grund, warum mir die .htaccess eigentlich lieber wäre.

Okay, ich habe mal alle IP's von Amazon in der FW geblockt, soweit sie mir bekannt waren mit CIDR, also gleich den ganzen Block.

Jetzt heißt es erst einmal abwarten, was passiert.

[Pyragony]

Hallo,
die Blockierung über die Firewall war schon mal gut. Ich finde aber in der access.log diese Einträge:

192.36.71.133 - - [27/Nov/2020:06:07:23 +0100] "GET /robots.txt HTTP/1.1" 200 4496 "http://best-security.eu/robots.txt" "Go-http-client/1.1"
192.71.42.108 - - [27/Nov/2020:06:07:23 +0100] "GET /humans.txt HTTP/1.1" 404 4512 "http://best-security.eu/humans.txt" "Go-http-client/1.1"
192.71.126.175 - - [27/Nov/2020:06:07:23 +0100] "GET /ads.txt HTTP/1.1" 404 4512 "http://best-security.eu/ads.txt" "Go-http-client/1.1"
192.71.42.108 - - [27/Nov/2020:06:07:23 +0100] "GET / HTTP/1.1" 200 6953 "http://best-security.eu/" "Go-http-client/1.1"

8.210.0.0 - - [16/Nov/2020:12:09:56 +0100] "GET / HTTP/1.1" 200 6953 "http://garagenlan.de" "Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) FxiOS/22.0 Mobile/16B92 Safari/605.1.15"

Rufe ich diese Domains auf, werde ich direkt zur Startseite von Keyhelp geleitet. Kann es ein, dass es sich um einen Scanner handelt, der das Paßwort ausspähen will?

http://best-security.eu
http://garagenlan.de

garagenland erscheint öfters unter verschiedenen IP's


Google gibt keine Auskunft über diese beiden Seiten.

Alle IP´s stehen in der blacklist bei Spamhaus.
Ich habe mal das Cache vom Browser geelert und sämtliche Cookies gelöscht, das Resultat war das gleiche.
Dann mal den Edge-Browser aufgerufen, den ich eigentlich nie nutze, ich werde immer auf die Startseite von Keyhelp geleitet.

Bevor ich jetzt diese IP's blocke, kann mir jemand was dazu sagen?

[Florian]

Hallo,

wenn da der Login von Keyhelp erscheint, dann zeigen die beiden Domains auf die IPs des Servers. Wenn Sie aber im Keyhelp nicht angelegt sind, weiß der Server damit nichts anzufangen und gibt die Standardseite aus. Ggf hat der Eigentümer der Domains vergessen den DNS entsprechend anzupassen.

[Tobi]

Oder du trägst die Domains bei dir ein und machst einen erneuten Redirect auf localhost