postfix mailspam

jeg skal se mere af din error log for at sige om det kommer fra din server -

prøv evt at sætte noget i denne stil ind i /etc/postfix/main.cf:

smtpd_helo_required = yes

smtpd_helo_restrictions = permit_mynetworks, reject_invalid_hostname, reject_invalid_hostname, reject_non_fqdn_hostname

smtpd_sender_restrictions = permit_sasl_authenticated,reject_unauth_pipelining, reject_unknown_sender_domain, reject_non_fqdn_sender,  reject_rhsbl_sender, dsn.rfc-ignorant.org

smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks, reject_unauth_destination, reject_non_fqdn_recipient

default_rbl_reply = $rbl_code Service unavailable; $rbl_class [$rbl_what] blocked using $rbl_domain${rbl_reason?; $rbl_reason}

disable_vrfy_command = yes

smtpd_etrn_restriction = reject

smtpd_recipient_limit = 128

smtpd_timeout = 180

har lige prøvet at skrive det ind i min main.cf, får stadig en masse linier i min log...

du får lige lidt mere af loggen nu :) :
......
Nov 12 00:52:36 localhost postfix/qmgr[5024]: 6FFE037162: from=<>, size=2954, nrcpt=1 (queue active)
Nov 12 00:52:36 localhost postfix/smtpd[5105]: 850BD37137: client=unknown[192.168.2.1]
Nov 12 00:52:36 localhost postfix/smtp[5059]: 92983370F1: to=<evelyn86593254@hotmail.com>, relay=mx2.hotmail.com[65.54.252.230], delay=4, status=sent (250  <20031111235232.92983370F1@pandia.dk> Queued mail for delivery)
Nov 12 00:52:36 localhost postfix/smtpd[5105]: 850BD37137: reject: RCPT from unknown[192.168.2.1]: 504 <torinaga>: Sender address rejected: need fully-qualified address; from=<torinaga> to=<jaellis@libra.seed.net.tw> proto=ESMTP helo=<221.195.156.184>
Nov 12 00:52:37 localhost postfix/cleanup[5092]: 5D2063712D: message-id=<20031111235235.5D2063712D@pandia.dk>
Nov 12 00:52:37 localhost postfix/qmgr[5024]: 5D2063712D: from=<8uuiwdf@ms68.hinet.net>, size=1259, nrcpt=1 (queue active)
Nov 12 00:52:38 localhost postfix/smtpd[5106]: 00537370F1: client=unknown[192.168.2.1]
Nov 12 00:52:38 localhost postfix/smtpd[5089]: 1C2D13715F: client=unknown[192.168.2.1]
Nov 12 00:52:38 localhost postfix/smtpd[5105]: disconnect from unknown[192.168.2.1]
Nov 12 00:52:38 localhost postfix/smtp[5088]: connect to ms68a.hinet.net[168.95.5.68]: server refused mail service (port 25)
Nov 12 00:52:38 localhost postfix/smtp[5088]: 9CA6537133: to=<7Xuiwdf@ms68.hinet.net>, relay=none, delay=21, status=deferred (connect to ms68a.hinet.net[168.95.5.68]: server refused mail service)
Nov 12 00:52:39 localhost postfix/smtp[5067]: 80B073714E: to=<evenfang@giga.net.tw>, relay=mailin.giga.net.tw[203.133.1.15], delay=18, status=bounced (host mailin.giga.net.tw[203.133.1.15] said: 550 Error: Message content rejected (in reply to end of DATA command))
Nov 12 00:52:39 localhost postfix/cleanup[5092]: 3B77C37171: message-id=<20031111235239.3B77C37171@pandia.dk>
Nov 12 00:52:39 localhost postfix/qmgr[5024]: 3B77C37171: from=<>, size=2954, nrcpt=1 (queue active)
Nov 12 00:52:39 localhost postfix/cleanup[5107]: 1C2D13715F: message-id=<20031111235238.1C2D13715F@pandia.dk>
Nov 12 00:52:39 localhost postfix/qmgr[5024]: 1C2D13715F: from=<8Wuiwdf@ms68.hinet.net>, size=1274, nrcpt=1 (queue active)
Nov 12 00:52:40 localhost postfix/cleanup[5098]: 00537370F1: message-id=<20031111235238.00537370F1@pandia.dk>
Nov 12 00:52:40 localhost postfix/smtpd[5089]: CD9D73714E: client=unknown[192.168.2.1]
Nov 12 00:52:40 localhost postfix/smtp[5058]: D2D433715E: to=<k0778@ms13.hinet.net>, relay=ms13a.hinet.net[168.95.5.13], delay=8, status=sent (250 FAA23075 Message accepted for delivery)
Nov 12 00:52:41 localhost postfix/qmgr[5024]: 00537370F1: from=<andy@keo.gameserver.nu>, size=12942, nrcpt=1 (queue active)
Nov 12 00:52:42 localhost postfix/smtp[5086]: 1C2D13715F: to=<ever10@iris.seed.net.tw>, relay=mx.seed.net.tw[139.175.54.239], delay=4, status=sent (250 OK id=1AJgVb-0009im-L0)
Nov 12 00:52:42 localhost postfix/smtp[5045]: 3877537117: to=<everasia@giga.net.tw>, relay=mailin.giga.net.tw[203.133.1.15], delay=18, status=bounced (host mailin.giga.net.tw[203.133.1.15] said: 550 Error: Message content rejected (in reply to end of DATA command))
Nov 12 00:52:42 localhost postfix/cleanup[5092]: 9F4ED3715F: message-id=<20031111235242.9F4ED3715F@pandia.dk>
Nov 12 00:52:42 localhost postfix/qmgr[5024]: 9F4ED3715F: from=<>, size=2954, nrcpt=1 (queue active)
Nov 12 00:52:42 localhost postfix/cleanup[5115]: CD9D73714E: message-id=<20031111235240.CD9D73714E@pandia.dk>
Nov 12 00:52:42 localhost postfix/smtpd[5106]: A993137117: client=unknown[192.168.2.1]
Nov 12 00:52:42 localhost postfix/qmgr[5024]: CD9D73714E: from=<3Zuiwdf@ms68.hinet.net>, size=1258, nrcpt=1 (queue active)
........

kører du noget på din server - cgi-scripts eller i den stil, som kan sende mails

nop... jeg har en php webmail (squerrelmail) men den skulle jo helst ikke skabe det problem... det har den ikke gjort hidtil...

du skal lige huske at lave en "postfix reload" for at ændringerne træder i kraft (mener jeg).

har du "lsof" programmet - det kan være at der er nogen som har installeret en bagdør på din maskine og sender igennem den - derfor optræder din maskine som afsender.

Det er: service postfix restart
For at genstarte postfix
:-)

tja - du kan give kommandoen "reload" til postfix-serveren selv

OK, bruger altid den anden :-)

lsof? hvad er det? og hvor kan jeg evt. hente det?

lsof - list of open files er et program

du kan evt finde det på rpmfind.net

du bruger det med

lsof -i  (så får du alle programmer som holder en forbindelse åben til din maskine)

hm, nej jeg har ikke lsof installeret... men jeg har ps og netstat og det eneste jeg kan se er at der kører extrem mange smtp og mysql processer (mysql fordi den bruges til at hente addresser og domæner i)...

ok

har du prøvet at portskanne din maskine ? evt med nmap

øh, netstat -a er vel en portscanning?

så vidt jeg lige kan se, er nmap et x-program... gui... jeg har ingen gui på min server...

der findes også en commandline udgave af nmap:

nmap localhost

Starting nmap 3.27 ( www.insecure.org/nmap/ ) at 2003-11-12 22:59 CET
Interesting ports on babe (127.0.0.1):
(The 1608 ports scanned but not shown below are in state: closed)
Port      State      Service
22/tcp    open        ssh
25/tcp    open        smtp
53/tcp    open        domain
80/tcp    open        http
110/tcp    open        pop-3
111/tcp    open        sunrpc
139/tcp    open        netbios-ssn
143/tcp    open        imap2
445/tcp    open        microsoft-ds
631/tcp    open        ipp
901/tcp    open        samba-swat
953/tcp    open        rndc
995/tcp    open        pop3s
2401/tcp  open        cvspserver
3306/tcp  open        mysql

Nmap run completed -- 1 IP address (1 host up) scanned in 0.659 seconds

tja - netstat burde give alle processer - problemet er hvis der er blevet installeret en bagdør, så bliver der som regel installeret nogle nye udgaver af programmerne som viser processerne (netstat og lign) som ikke viser bagdørsprogrammet

hmm, nmap viser følgende:

PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
25/tcp  open  smtp
80/tcp  open  http
110/tcp  open  pop-3
143/tcp  open  imap
3306/tcp open  mysql

jeg kunne måske prøve at geninstallere postfix mailprogrammet?

hmm, hjalp heller ikke...

kan jeg evt logge ind på din maskine og kigge selv ?

mn, tjo, har du icq, messenger eller noget?

ja - ellers kan du sende en mail til mfalck@mfalck.dk

jeg har nok ikke tid førend i weekenden dog

Mit netværk er stillet op, så jeg har en router(nat funktion) som er koblet til internettet.
efter routeren er der endnu en router m/ firewall og derefter switch med klienter.

WAN -> R1 -> R2 ->Switch

loggen siger konstant at R2 connecter til mailen's smtp(25) og sender en masse spam ud? mail'en kommer fra WAN for når jeg lukker port-25 i R1 stopper det... Det er heller ikke en af mine andre lokale computere, som er koblet til switchen, for jeg har prøvet at fjerne alle andre kabler, så kun serveren er online...

hmm .. kan det være en af klienterne som er blevet hacket og bruges som spamgateway ?

undskyld jeg læste ikke indenad

er router 2 en hardwareløsning - hvis det er en firewall kan du så ikke se hvorfra forbindelsen oprettes fra ?

Fandt ud af det var noget med router nr 2, som oversatte alle inkomne ip'er så de så ud som om de kom fra den-selv...

smid lige et svar, så deler jeg pointene ud...

ok