Toon posts:

Ubuntu mailserver verstuurt spam, hoe te verhelpen?

Pagina: 1
Acties:

dinsdag 11 juni 2013 11:11

Acties:
  • 0 Henk 'm!
  • Wtrdk
  • Registratie: Mei 2006
  • Laatst online: 03-09 11:39

Wtrdk

Topicstarter
Ik heb thuis een homeserver staan met Ubuntu 12.10 server editie. Ik gebruik hem voornamelijk als mediaserver (sabnzbd, couchpotato, sickbeard, headphones).
Sinds 2 maanden heb ik er ook een mailserver op ingericht volgens deze tutorial:
http://www.exratione.com/...04-postfix-dovecot-mysql/

Dat werkt prima, tot ik gisteren ineens geen internetverbinding via Ziggo meer had. Een telefoontje met de servicedesk leerde mij dat er grote hoeveelheden spam werden verstuurd via Ziggo vanaf mijn ip-adres.
Ik dacht dat ik mijn mailserver voldoende had dichtgetimmerd volgens bovenstaande tutorial, maar blijkbaar niet voldoende.
Wat kan ik doen om mijn mailserver beter te beveiligen?

In /etc/postfix/main.cf heb ik als relayhost smtp.ziggo.nl ingevuld, maar dat is blijkbaar niet zo'n goede zet... Weet iemand wat ik hier wel moet invullen?

Overigens, als ik via verschillende testsites test of ik een openrelay heb krijg ik overal de melding dat dat niet zo is... (http://mxtoolbox.com/diagnostic.aspx http://www.mailradar.com/openrelay/)

Ik ben zoals jullie merken nogal een n00b op het gebied van mailservers...

dinsdag 11 juni 2013 11:20

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 02-10 22:26

Hero of Time

Moderator LNX

There is only one Legend

Het eerste wat je doet, is /var/log/mail.log bekijken. Hoeveel mail en van wie en waar komen ze allemaal. Houd ook rekening met cronjobs, die mailen naar je gebruiker, maar als je postfix verkeerd hebt ingesteld, zal deze het allemaal naar je relay host sturen. Die is overigens wel goed, want zonder kan je niet mailen. Je moet gebruik maken van de mailserver van je provider als je een consumenten lijn hebt, tenzij het door de provider is toegestaan je eigen mailserver te draaien (maar zal dan op andere poorten moeten werken).

Wat wil je trouwens met een mailserver?

Commandline FTW | Tweakt met mate

dinsdag 11 juni 2013 12:30

Acties:
  • 0 Henk 'm!
  • Wtrdk
  • Registratie: Mei 2006
  • Laatst online: 03-09 11:39

Wtrdk

Topicstarter
Op dit moment kan ik niet bij de server, maar ik zal vanavond inderdaad de logging gaan bekijken.
Ik heb, voor zover ik nu weet, geen cronjobs draaien die mails versturen. Volgens Ziggo gebeurde het in de nacht van zondag op maandag, daarvoor werd er nauwelijks mail gestuurd.

Er zijn meerdere redenen waarom ik een eigen mailserver draai:
-hobbyisme (willen leren hoe de techniek werkt)
-mijn kinderen leren met e-mail om te gaan, en de boel kunnen controleren
-emailadressen met eigen domeinnaam gebruiken (ik heb alleen een domeinnaam zonder hostingpakket)

Ik weet dat daar andere mogelijkheden voor zijn, maar hobbyisme (lekker puzzelen om de boel aan de praat te krijgen) is mijn belangrijkste reden.

Update:
Ik heb de mailserver maar gedeactiveerd. Bleek dat er in één nacht 2500 mails waren verstuurd. Ik weet te weinig hoe dit tegen te gaan, dus dan maar uitzetten ;)
Mocht iemand nog een goede tip hebben, dan hou ik me aanbevolen!

[ Voor 14% gewijzigd door Wtrdk op 12-06-2013 08:44 ]

woensdag 12 juni 2013 11:45

Acties:
  • 0 Henk 'm!
  • Kreekje
  • Registratie: Februari 2013
  • Laatst online: 02-10 09:30

Kreekje

Dit is wel een goede, uitgebreide tutorial die ik gevolgd heb voor het opzetten van mijn mailserver. Het is wel voor Debian maar denk dat je er wel veel uit kunt halen/leren. http://workaround.org/ispmail/squeeze

EDIT:
En hier kan je makkelijk controleren of je een open relay server hebt ( wat je dus niet wil ). ;)
http://www.mailradar.com/openrelay/

[ Voor 25% gewijzigd door Kreekje op 12-06-2013 11:46 ]

Vruger, toen de bakken nog van hout waren en we moesten zoepe om de stoof aan te houden.

woensdag 12 juni 2013 11:49

Acties:
  • 0 Henk 'm!
  • Midas.e
  • Registratie: Juni 2008
  • Laatst online: 30-09 10:12

Midas.e

Is handig met dinges

9/10 keer ligt dit niet zozeer aan de setup ervan maar aan de gebruikte usernames + passwords. Zorg ervoor dat deze wel veilig genoeg zijn. Je maillog zal je snel genoeg zeggen waar er vandaan verstuurt wordt.

Hacktheplanet / PVOutput

woensdag 12 juni 2013 11:51

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Het hoeft ook niet je mailserver te zijn geweest he, sluit andere applicaties niet uit


btw ik dacht dat ziggo poort 25 blokkeerde, zo ja is de kans op een open relay tamelijk klein. of heb je zakelijk ?

Iperf

woensdag 12 juni 2013 11:53

Acties:
  • 0 Henk 'm!
  • WHiZZi
  • Registratie: Januari 2001
  • Laatst online: 02-10 10:06

WHiZZi

Museumdirecteurtje

zijn postfix relayed naar de SMTP-server van Ziggo ;)

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

woensdag 12 juni 2013 11:58

Acties:
  • 0 Henk 'm!

Verwijderd

Meh, vaak is zoiets niet een slecht geconfigureerde mailserver. Eerder een besmette Windows machine ergens in je netwerk. Mocht je tóch een open relay zijn, zie je dat dat snel genoeg je in logs.

woensdag 12 juni 2013 12:43

Acties:
  • 0 Henk 'm!
  • vanaalten
  • Registratie: September 2002
  • Nu online

vanaalten

Nou, als Ziggo je afsluit omdat je blijkbaar mail verstuurd *via de Ziggo relayhost*, dan is het wel vrijwel zeker dat het via Postfix gaat - immers, op welke andere manier zou het bij die relayhost kunnen komen? Kan mij niet voorstellen dat malware op een windows machine daar naartoe stuurt.

Dus komt toch weer neer op logfiles bekijken.

En dan kan het zomaar zijn dat de mailserver zelf goed is ingericht, maar er een webserver met applicatie draait die van buitenaf mail kan versturen.

donderdag 13 juni 2013 08:46

Acties:
  • 0 Henk 'm!
  • Wtrdk
  • Registratie: Mei 2006
  • Laatst online: 03-09 11:39

Wtrdk

Topicstarter
Ik heb de Postfix-service nu gestopt, durf er niet meer mee te experimenteren. Ziggo gaf middels een brief aan dat als het binnen een maand nog een keer gebeurt ze me meerdere dagen gaan afsluiten.
Ik denk dat ik mijn experiment maar als mislukt ga beschouwen...
Of helpt het instellen van een andere relayhost? Het schijnt makkelijk te zijn om GMail als relayhost te gebruiken. Dan heeft Ziggo er toch geen last meer van? Of gaat het hen om het gebruik van port 25?
Is er misschien een manier om Postfix te stoppen als er bijvoorbeeld meer dan 10 mails in een kwartier zijn verstuurd?

donderdag 13 juni 2013 08:58

Acties:
  • 0 Henk 'm!
  • LEDfan
  • Registratie: Juni 2012
  • Laatst online: 09:13

LEDfan

Huur een VPS bij een provider waar mail server is toegestaan, kan je er op los experimenteren :).

(Ik zit bij corgitech.com, zeer goede service )

donderdag 13 juni 2013 10:13

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 02-10 22:26

Hero of Time

Moderator LNX

There is only one Legend

Je bent van ziggo afgesloten omdat je via hun mailserver stuurt. Ze zien in hun logs (of krijgen er een alert van eigenlijk waar 't systeem dan weer automatisch op reageert) dat een bepaald IP extreem veel verbinding maakt of mails stuurt. Ik heb 't op werk ook gehad, we verstuurden via hun server (wel de zakelijke variant) en werd van de server gekickt. Als ze onze lijn hadden platgegooid, hadden ze een gigantische claim gekregen, maar dat terzijde. Belletje naar hun KS en 't was opgelost, maar ben wel gaan zoeken waarom 't zoveel was. Ik heb als gevolg hiervan een aanpassing in postfix gedaan om het aantal te versturen emails te beperken.

Als je trouwens met een mailserver wilt experimenteren, kan je dat 't beste doen in een virtuele omgeving en je poorten al helemaal niet forwarden. En ga je logs nou eens bekijken, hier staat precies in welk IP adres er zo veel mail heeft verstuurd via je server.

Commandline FTW | Tweakt met mate

donderdag 13 juni 2013 13:51

Acties:
  • 0 Henk 'm!
  • deadinspace
  • Registratie: Juni 2001
  • Laatst online: 02-10 20:04

deadinspace

The what goes where now?

Ik acht de kans vrij groot dat het probleem niet aan je postfix configuratie ligt, maar eerder aan misbruik van of inbraak op een andere service op je machine, en dan met name een webservice. Maar zonder verder onderzoek valt daar natuurlijk niks met zekerheid over te zeggen.
w.d schreef op donderdag 13 juni 2013 @ 08:46:
Of helpt het instellen van een andere relayhost? [...]
Je hebt 2500 mails in een nacht gestuurd, en de kans is behoorlijk aanwezig dat dit spam betreft. Dus je gaat maar proberen Ziggo te omzeilen? Ga liever de bron van die mails achterhalen.
LEDfan schreef op donderdag 13 juni 2013 @ 08:58:
Huur een VPS bij een provider waar mail server is toegestaan, kan je er op los experimenteren :).
Zie bovenstaand.

vrijdag 14 juni 2013 09:51

Acties:
  • 0 Henk 'm!
  • Wtrdk
  • Registratie: Mei 2006
  • Laatst online: 03-09 11:39

Wtrdk

Topicstarter
Ik heb de logfile bekeken en alle mails zijn gestuurd vanaf 'root@www.mijndomein.nl'.
Uiteraard probeer ik de bron te achterhalen, wat me overigens nog niet gelukt is. Sinds woensdagochtend staat de mailserver weer aan, zonder portforwarding, en er gebeurt niets meer. Het versterkt mijn gevoel dat er geen interne software mail verstuurt.
Om te voorkomen dat als de mailserver weer op hol slaat en Ziggo mij afsluit zou ik de mail tijdens mijn testperiode via GMail als relayhost willen laten lopen.

vrijdag 14 juni 2013 12:17

Acties:
  • 0 Henk 'm!
  • DutchNutcase
  • Registratie: Augustus 2005
  • Niet online

DutchNutcase

E = mc^2

Post anders eens een (gekuiste) versie van het bewuste log op pastebin met een linkje hier.

Luctor et Emergo || specs

vrijdag 14 juni 2013 12:26

Acties:
  • 0 Henk 'm!
  • pennywiser
  • Registratie: November 2002
  • Laatst online: 02-10 11:01

pennywiser

Draaiene er ook Joomla of andere cms sites op? Worden de spam mails via authenticated smtp verstuurd?

Heb je in main.cf ingesteld welke ip's er allemaal mogen mailen? Post je main.cf ook even, en je mail log. Anders wordt het lastig om je te helpen.

Je mailserver slaat niet op hol, jij hebt het gewoon niet goed ingesteld. Omzeilen van het probleem via Gmail is nogal onverstandig.

vrijdag 14 juni 2013 12:26

Acties:
  • 0 Henk 'm!
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

zie je geen user en ip waarvandaan het mailtje wordt gestuurd ?

wss is je pw geraden maar ja logs dan maar

[ Voor 28% gewijzigd door Fish op 14-06-2013 12:27 ]

Iperf

vrijdag 14 juni 2013 13:21

Acties:
  • 0 Henk 'm!
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 02-10 22:26

Hero of Time

Moderator LNX

There is only one Legend

iemand heeft dus toegang tot je server gehad en jij was 't blijkbaar niet. Vergelijk de tijden van de mails met tijden in je auth.log of uitvoer van 'last'.

Commandline FTW | Tweakt met mate

maandag 17 juni 2013 11:38

Acties:
  • 0 Henk 'm!
  • DVR123
  • Registratie: Maart 2010
  • Laatst online: 14-06 01:20

DVR123

w.d schreef op vrijdag 14 juni 2013 @ 09:51:
Ik heb de logfile bekeken en alle mails zijn gestuurd vanaf 'root@www.mijndomein.nl'.
Uiteraard probeer ik de bron te achterhalen, wat me overigens nog niet gelukt is. Sinds woensdagochtend staat de mailserver weer aan, zonder portforwarding, en er gebeurt niets meer. Het versterkt mijn gevoel dat er geen interne software mail verstuurt.
Om te voorkomen dat als de mailserver weer op hol slaat en Ziggo mij afsluit zou ik de mail tijdens mijn testperiode via GMail als relayhost willen laten lopen.
Je helemaal geen poort 25 gebruiken, alleen voor de relay van ziggo.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq