Backscatter Postfix

[ Voor 13% gewijzigd door CyBeR op 11-02-2012 15:20 ]

com2,1ghz schreef op zaterdag 11 februari 2012 @ 11:43:
Beste Tweakers,

Een tijd terug had ik ook een topic hierover gestart maar ik krijg het probleem maar niet opgelost.
Sinds december heeft mijn server last van backscatter email. Dat houdt dus in dat er allerlei machines mijn server als relay gebruiken om spam te versturen.
Het probleem is dat mijn systeem dicht zit voor normale pop3/imap gebruikers en dat de authenticatie daarvoor gewoon werkt maar er lokaal enorm veel spam verstuurd wordt. Dan heb ik het over dagelijks 30000 emails die alleen in de queue hangen.

Ik heb alles gecontroleerd wat betreft de recepient en sender restrictions maar ergens wordt er lokaal spam verstuurd.

Nou dacht ik dat mijn server een open relay was. Ik heb daar echt een week lang uren naar gekeken. Elke dag mijn restrictions aangepast of het invloed zou hebben. Elke ochtend wanneer ik wakker word en kijk naar mijn maillog dan zie ik hem weer spammen en moet ik weer de mailserver een half uurtje stopzetten totdat het ophoudt tot in de nacht.

Zelfs wanneer ik Apache en Dovecot uitzet gaat het spammen gewoon door.


Tijdens het spammen wanneer ik netstat -a doe:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 localhost.localdomain:10024 *:* LISTEN tcp 0 0 localhost.localdomain:10025 *:* LISTEN tcp 0 0 *:mysql *:* LISTEN tcp 0 0 *:dyna-access *:* LISTEN tcp 0 0 *:bacula-fd *:* LISTEN tcp 0 0 localhost.localdomain:783 *:* LISTEN tcp 0 0 *:sunrpc *:* LISTEN tcp 0 0 *:smtps *:* LISTEN tcp 0 0 *:785 *:* LISTEN tcp 0 0 *:ftp *:* LISTEN tcp 0 0 localhost.localdomain:ipp *:* LISTEN tcp 0 0 *:smtp *:* LISTEN tcp 0 0 localhost.localdomain:mysql localhost.localdomain:46084 ESTABLISHED tcp 0 0 localhost.localdomain:mysql localhost.localdomain:46086 ESTABLISHED tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38199 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38207 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38206 TIME_WAIT [...] tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38290 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38545 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38289 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38544 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38288 TIME_WAIT tcp 0 0 localhost.localdomain:10025 localhost.localdomain:38303 TIME_WAIT

postconf -n

alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf
command_directory = /usr/sbin
config_directory = /etc/postfix
content_filter = amavisfeed:[127.0.0.1]:10024
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
disable_vrfy_command = yes
home_mailbox = Maildir/
html_directory = no
inet_interfaces = all
invalid_hostname_reject_code = 554
local_recipient_maps = $virtual_mailbox_maps $virtual_alias_maps
mail_owner = postfix
mailbox_size_limit = 409600000
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
message_size_limit = 204800000
multi_recipient_bounce_reject_code = 554
mydestination = $myhostname, localhost.$mydomain
mydomain = orhun.nl
myhostname = mail.orhun.nl
mynetworks_style = host
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases
non_fqdn_reject_code = 554
proxy_read_maps = $local_recipient_maps,$mydestination,$virtual_alias_maps,$virtual_alias_domains,$virtual_mailbox_maps,$virtual_mailbox_domains,$relay_recipient_maps,$relay_domains,$canonical_maps,$sender_canonical_maps,$recipient_canonical_maps,$relocated_maps,$transport_maps,$mynetworks,$smtpd_recipient_restrictions,$virtual_mailbox_limit_maps
queue_directory = /var/spool/postfix
readme_directory = /usr/share/doc/postfix-2.3.3/README_FILES
relay_domains_reject_code = 554
sample_directory = /usr/share/doc/postfix-2.3.3/samples
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_sasl_auth_enable = yes
smtp_sasl_mechanism_filter = plain,login
smtp_sasl_password_maps = mysql:/etc/postfix/smtp_auth.cf
smtp_sasl_security_options = noanonymous
smtp_sender_dependent_authentication = yes
smtp_tls_note_starttls_offer = yes
smtp_tls_security_level = may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name
smtpd_helo_required = yes
smtpd_recipient_restrictions = reject_unauth_pipelining,reject_non_fqdn_recipient,reject_unknown_recipient_domain,permit_sasl_authenticated,reject_unauth_destination
smtpd_reject_unlisted_sender = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_path = private/auth
smtpd_sasl_type = dovecot
smtpd_sender_restrictions = permit_sasl_authenticated,reject_unknown_sender_domain,reject_unauth_destination
smtpd_tls_CAfile = /etc/ssl/postfix/cacert.pem
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/postfix/smtpd.crt
smtpd_tls_key_file = /etc/ssl/postfix/smtpd.key
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
soft_bounce = no
strict_rfc821_envelopes = yes
tls_random_source = dev:/dev/urandom
unknown_address_reject_code = 554
unknown_client_reject_code = 554
unknown_hostname_reject_code = 554
unknown_local_recipient_reject_code = 554
unknown_relay_recipient_reject_code = 554
unknown_virtual_alias_reject_code = 554
unknown_virtual_mailbox_reject_code = 554
unverified_recipient_reject_code = 554
unverified_sender_reject_code = 554
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:1001
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_limit = 0
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 100
virtual_transport = virtual
virtual_uid_maps = static:1001

Een van de spammails:

Feb 11 11:40:55 imparator postfix/lmtp[27401]: CCC5C6AA8A74: to=<fatmasow@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, conn_use=58, delay=33, delays=20/13/0/0.17, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=26611-02-58, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 72696460810F)

Nu is het gewoon zeker dat dit lokaal gebeurd. Ik weet echt niet meer wat het kan zijn. Allerlei open relay tests heb ik geprobeerd en tevens zelf ook met telnetten. Alles werd geblokkeerd wat ook geblokkeerd moest worden. En in de nacht gaat hij weer met spammen en moet ik weer van alles doen om het spammen te stoppen.

Wat heb ik gedaan?
-Alle wachtwoorden aangepast.Dus lokaal en in de database
-Apache stopgezet tijdens het spammen
-Dovecot stopgezet tijdens het spammen
-mail() van php in disabled functions gezet
-Gekeken welke users er ingelogd zijn/waren(alleen ik mag dat)
-Gekeken naar de laatst uitgevoerde commands

Ik wordt hier echt moe van en weet het echt niet meer. Ben echt uren bezig met het dichtzetten van alles, urenlang lopen testen of ik een open relay heb. Dan denk ik ok het zit nu echt goed en de volgende ochtend zie ik hem weer spammen.

Al het mail komt van mijn lokale user 'gokhan' waarmee ik inlog en mijn mailserver hostname is 'mail.orhun.nl'
Dus alle spammail heeft als afzender: 'gokhan@mail.orhun.nl'

Wat staat er op?
-CentOS 5.5
-Dovecot 1.0.7-7
-Postfix 2.7
-Amavisd-new
-Spamassasin
-Maia
-Clamd
-Postfixadmin
-Phpmyadmin
-Wordpress
-Roundcubemail
-vsftpd
-MySQL-server 5.1

Wat is de oorzaak van al deze spam?

com2,1ghz schreef op zaterdag 11 februari 2012 @ 19:00:
[...]
Backscatter kan een gevolg zijn van een mailserver die open relay toestaat.

In mijn situatie wordt de backscatter uitgevoerd vanaf een local user.

Open relay mailtjes zoals 'mail from: <>' wordt gewoon geweigerd.

[ Voor 7% gewijzigd door CyBeR op 11-02-2012 19:12 ]