Wie kommt Spam-Versand auf meinen Server?

Chris · 25. Mai 2005 um 02:54

Hallo,

habe einen Linux Redhat9 Server. Auf dem Server laeuft sendmail und pop-before-smtp.
Leider gibt es da scheinbar einen Chinesen, der es irgendwie schafft seine Spams ueber meinen Server zu versenden.

Bisher konnte mir noch niemand sagen, wie ich ausfindig machen kann, wie er es das schafft.
Ich habe schon alle access-Logfiles nach einem POST durchgesehen. Und sperre auch immer wieder seine Absender-Adressen. Aber er hat dann im Nu eine neue. Bei IP-Sperren ist es das gleiche.
Kann mir da mal jemand einen Rat geben, wie ich herausfinden kann auf welchem Weg er es schafft seine Spams auf meinem Server abzusenden?

Es muss da doch irgendeinen Weg geben. Mir fehlt wahrscheinlich nur die Erfahrung mit so etwas.

Bin fuer jede konkrete Hilfe dankbar.

Christian

Sebastian · 25. Mai 2005 um 05:43

Hallo,

Kann mir da mal jemand einen Rat geben, wie ich herausfinden
kann auf welchem Weg er es schafft seine Spams auf meinem
Server abzusenden?

Erstens: Sendmail stoppen. sofort und jetzt.

So und solltest Du mal Logfiles posten (mit PRE-Tags formatiert, sonst sind sie eher unlesbar). Wie ist die IP des Servers?

Sebastian

A_J_4b7c14 · 25. Mai 2005 um 10:23

Guten Morgen !

Ich bin in der Linux-Welt diesbezüglich nicht so sehr zuhause, kenne mich daher also mit sendmail nicht aus.
Aber ich würde spontan auf ein offenes Mail-Relay tippen.

Teste doch einfach mal Deinen Maildienst per Telnet. Vielleicht ist das ja schon der Ursprung allen Übels.

http://www.msexchangefaq.de/internet/smtp3.htm

Sebastian · 25. Mai 2005 um 10:46

Hallo,

Ich bin in der Linux-Welt diesbezüglich nicht so sehr zuhause,
kenne mich daher also mit sendmail nicht aus.
Aber ich würde spontan auf ein offenes Mail-Relay tippen.

Ja.

Teste doch einfach mal Deinen Maildienst per Telnet.

Ich bin immernoch der Meinung, hier gibt es erstmal wenig zu testen. Das allererste sollte sein, so eine Belästigung anderer abzustellen. Und dann nach den Ursachen zu forschen.

Ich habe das Gefühl, der OP ist nicht in der Lage, das Problem alleine in der Geschwindigkeit zu lösen, daß ein zwischenzeitliches Abschalten nicht „lohnt“.

Vielleicht ist das ja schon der Ursprung allen Übels.

Ja, recht wahrscheinlich. Man muß jetzt nur noch wissen, aufgrund welcher Einstellung der Server meint, relayen zu dürfen. Dabei könnten die Logfiles helfen. Und ja, die kann man mindestens genausogut lesen, wenn der Server abgeschaltet ist.

Achso: sagte ich schon, daß man den Mailserver umgehend abschalten sollte?

BTW: für Leute, die nicht sehr genau wissen, was sie tun würde ich sendmail nichtempfehlen, eher Postfix (vermutlich ebenfalls dabei) oder auch qmail.

Sendmail kannst Du also jetzt abschalten. Jetzt.

Gruß,

Sebastian

Der_Frank_176821 · 25. Mai 2005 um 13:04

Hallo,

Hi,

Aber ich würde spontan auf ein offenes Mail-Relay tippen.

Ja.

Ich auch. Ergaenzend moechte ich noch hinzufuegen, dass er den Mailserver bitte schnellstens abstellt.

Sendmail kannst Du also jetzt abschalten.

… und am besten nie wieder einschalten.

Gruss vom Frank.

Semjon_Michailowitsch_580bb3 · 25. Mai 2005 um 13:23

Hallo

habe einen Linux Redhat9 Server. Auf dem Server laeuft
sendmail und pop-before-smtp.

http://cert.uni-stuttgart.de/archive/bugtraq/2003/03…

There is a vulnerability in Sendmail versions prior to 
and including 8.12.8. The address parser performs insufficient 
bounds checking in certain conditions due to a char to int 
conversion, making it possible for an attacker to 
<u>take control</u> of the application.

Sehr vorsichtig sein mit sowas. Vor allem bei
fester ip. Jemand könnte verbotene
Sachen über Deinen Server relayen, im Ernstfall
siehst Du dann erstmal dumm aus.

Grüße

CMБ

Chris · 25. Mai 2005 um 20:45

Hallo und danke fuer Deinen guten und konstruktiven Hinweis.

Chris

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]