Postfix - VPS stuurt spam - Linux en overige clients

maandag 3 november 2014 18:06

Acties:

0 Henk 'm!

Topicstarter

Beste Tweakers

Het probleem
Sinds een aantal dagen heb ik het probleem dat er spam wordt verstuurd vanaf mijn VPS. Nu heb ik gekeken in de mail log en daarin is te zien dat alles vanaf één domein wordt verstuurd. Hierbij worden allemaal namen gegenereerd welke voor het domeinnaam worden geplakt.

3 regels uit de log (er staan er nog veel meer).

Nov  3 15:31:54 SYDNEY postfix/qmgr[17182]: F21335CF565: from=<alta_rush@mijndomeinnaam.nl>, size=786, nrcpt=1 (queue active)
Nov  3 15:31:54 SYDNEY postfix/qmgr[17182]: F34475D0291: from=<karyn_larsen@mijndomeinnaam.nl>, size=799, nrcpt=1 (queue active)
Nov  3 15:31:54 SYDNEY postfix/qmgr[17182]: F11805CA299: from=<enid_raymond@mijndomeinnaam.nl>, size=796, nrcpt=1 (queue active)

Daarnaast probeert hij deze te verzenden naar verschillende emailaccounts (hotmail, yahoo, gmail, etc).
Hierdoor zijn we nu (tijdelijk) geblokkeerd bij meerdere providers.

Wat ik al heb geprobeerd
- Spamassassin geïnstalleerd via een tutorial, deze is ingesteld voor Postfix.
- Dat domein (tijdelijk) te blokkeren, maar dat lukte niet.
- Degene die controle heeft over dat domein een SPF record aan te laten maken (heeft diegene nog niet gedaan).

Ik heb nu tijdelijk Postfix uitgezet (om blokkade van Gmail, etc. te voorkomen), maar dit is geen oplossing. Er staan namelijk meerdere domeinnamen op, die ook gewoon mail verwachten.

Weten jullie misschien een oplossing? Gaat het toevoegen van het SPF record hier tegen helpen? En hoe kan ik dit in de toekomst voorkomen?

Alvast bedankt!
Klepje

maandag 3 november 2014 18:08

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Ben je niet gewoon een open relay? (Google die term ff; ik zit mobiel te priegelen

). Of gehacked en komt 't van een van je accounts/klanten?

[ Voor 44% gewijzigd door RobIII op 03-11-2014 18:09 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

maandag 3 november 2014 18:09

Acties:

0 Henk 'm!

_JGC_

Kijk met postqueue -p wat er in de queue staat, grote kans dat je VPS al in diverse blacklists staat en mail al niet afgeleverd kan worden. Vervolgens kan je met postcat -q een ID uit de queue bekijken zodat je aan de headers kunt zien hoe die mail in jouw postfix queue komt.

maandag 3 november 2014 18:10

Acties:

0 Henk 'm!

Thralas

Uit de geposte logregels valt niet af te leiden waar de mail vandaan komt. Kijk eens naar de 'connect from' -regels, en doe daarna wat RobIII suggereert.

maandag 3 november 2014 18:30

Acties:

0 Henk 'm!

klepje

Topicstarter

Had ik al gecheckt op deze website: http://www.mailradar.com/openrelay/
met als uitkomst:
All tested completed! No relays accepted by remote host!
Echter kan dit ook zijn nadat ik al wat dingen had aangepast..

Ik heb in de queue gekeken en daar stonden inderdaad nog 56237 messages in, die had ik al verwijderd voordat ik jullie antwoorden lees, dus kon nu geen postcat -q doen.

Bij die connect from staat er wel vaak dit:

Oct 23 21:54:50 SYDNEY postfix/smtpd[2379]: connect from unknown[63.229.70.60]
Oct 23 21:54:51 SYDNEY postfix/smtpd[2379]: lost connection after AUTH from unknown[63.229.70.60]
Oct 23 21:54:51 SYDNEY postfix/smtpd[2379]: disconnect from unknown[63.229.70.60]

Dat zal dus wel het probleem zijn geweest?

maandag 3 november 2014 18:32

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Grep je log eens op F21335CF565 (een van de spam id's uit je eerste log)?

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 3 november 2014 18:42

Acties:

0 Henk 'm!

Osiris

Sorry hoor en no offence, maar als je dit niet enigszins fatsoenlijk kunt debuggen, ben je dan überhaupt capabel genoeg om een VPS met mailserver te draaien?

Nou ja, mijns inziens is dit topic eigenlijk het antwoord al.

Zorg er op z'n minst voor dat je postfix geen spam meer kan versturen! Dan ook maar geen legitieme mail meer tijdelijk..

maandag 3 november 2014 18:43

Acties:

0 Henk 'm!

klepje

Topicstarter

Kees schreef op maandag 03 november 2014 @ 18:32:
Grep je log eens op F21335CF565 (een van de spam id's uit je eerste log)?

Nov  3 15:31:54 SYDNEY postfix/qmgr[17182]: F21335CF565: from=<alta_rush@mijndomeinnaam.nl>, size=786, nrcpt=1 (queue active)
Nov  3 15:31:54 SYDNEY postfix/error[17503]: F21335CF565: to=<kinte777@yahoo.com>, relay=none, delay=116874, delays=116874/0/0/0.07, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta6.am0.yahoodns.net[98.136.216.26] while sending RCPT TO)
Nov  3 17:52:08 SYDNEY postfix/qmgr[19610]: F21335CF565: from=<alta_rush@mijndomeinnaam.nl>, size=786, nrcpt=1 (queue active)
Nov  3 17:53:20 SYDNEY postfix/qmgr[20082]: F21335CF565: from=<alta_rush@mijndomeinnaam.nl>, size=786, nrcpt=1 (queue active)
Nov  3 17:53:23 SYDNEY postfix/error[20189]: F21335CF565: to=<kinte777@yahoo.com>, relay=none, delay=125363, delays=125361/2.5/0/0, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)

Kan zijn dat ik al wat weg heb gehaald, heb sommige logs geleegd omdat deze meer dan 5gb waren (en ik wilde testen wat erbij kwam, etc).

Nu krijg ik in ieder geval geen gekke dingen meer in de mail, alleen worden normale mails ook niet meer verstuurd met de melding: "mail transport unavailable"...

maandag 3 november 2014 18:46

Acties:

0 Henk 'm!

gekkie

Altijd slim om even een kopietje van je config en logs te maken voor je met zoiets aan de slag gaat.
Als ik het goed begrijp host je spul van derden .. zou wellicht ook nog ergens een creatief lekke webform kunnen zijn in een of andere gehoste site ?

[ Voor 43% gewijzigd door gekkie op 03-11-2014 18:47 ]

maandag 3 november 2014 18:46

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Is het 'mijndomeinnaam.nl' het domein van jouw systeem?
Draait er op dat systeem ook nog iets anders dan een mailserver?

Ik denk dan vooral aan een webserver.
Het kan zijn dat er een gat in een van je websites zit en dat dit gebruikt wordt om mail te versturen.

This post is warranted for the full amount you paid me for it.

maandag 3 november 2014 18:46

Acties:

0 Henk 'm!

Kees

Serveradmin / BOFH / DoC

Tja, daar is nog niet duidelijk van hoe je de spam binnen hebt gekregen, en aangezien je al opgeruimt hebt lijkt het mij ook sterk dat je dat gaat lukken..

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

maandag 3 november 2014 18:59

Acties:

0 Henk 'm!

klepje

Topicstarter

@Osiris: als je het niet probeert kun je het ook nooit leren..

En ja dit is inderdaad een leermoment voor mij. De spamberichten staan er nu in ieder geval niet meer in en er komen er tot nu toe ook geen meer bij. Nu is echter het enige probleem nog dat de correcte mails ook niet worden verzonden door de "mail transport unavailable" melding.

maandag 3 november 2014 20:44

Acties:

0 Henk 'm!

syl765

Kijk even op mxtoolbox.
http://mxtoolbox.com/blacklists.aspx

Hier kun je kijken of het publieke ip adres van jou mailserver op een blacklist staat. Je kan ook de domeinen controleren enz.

Probeer wel je logs te bewaren. Daar vind je vaak wel aanwijzingen over het hoe en wat als je plots staat te spammen.

Succes.

[ Voor 4% gewijzigd door syl765 op 03-11-2014 20:44 ]

maandag 3 november 2014 20:48

Acties:

0 Henk 'm!

Fish

How much is the fish

En als antwoord op je spf vraag

Nee dat gaat niet werken, spf geeft alleen maar aan voor het domein welke servers valide zijn. Jij verstuurt mail voor andere domeinnamen en je komt keihard weer op een blacklist. (als je zo door doorgaat)

Iperf

maandag 3 november 2014 21:32

Acties:

0 Henk 'm!

Osiris

klepje schreef op maandag 03 november 2014 @ 18:59:
@Osiris: als je het niet probeert kun je het ook nooit leren..

En ja dit is inderdaad een leermoment voor mij. De spamberichten staan er nu in ieder geval niet meer in en er komen er tot nu toe ook geen meer bij. Nu is echter het enige probleem nog dat de correcte mails ook niet worden verzonden door de "mail transport unavailable" melding.

Nou, euh, 't klinkt een beetje als "door schade en schande wordt men wijs", maar dat lijkt me nou niet echt de geëigende manier van aanpakken

Maargoed, daar koop je nu niets meer voor helaas..

Ik zie echter nu je met je volgende "mail transport unavailable" zit ook nog steeds niet zélf met onderzoek komen. Wat heb je zélf opgezocht op internet. Wáár komt dit probleem door. Wáár zit de kink in de kabel. Wat heb je allemaal gevonden. Wat denk je dat er potentieel aan de hand is? Of waar heb je op z'n minst op gezocht?

Je zelfredzaamheid komt wat mij betreft over als nul komma nul, wat me nou niet echt veel vertrouwen in de toekomst geeft.

maandag 3 november 2014 22:24

Acties:

0 Henk 'm!

gekkie

Osiris schreef op maandag 03 november 2014 @ 21:32:
[...]
Je zelfredzaamheid komt wat mij betreft over als nul komma nul, wat me nou niet echt veel vertrouwen in de toekomst geeft.

Ach hij is al van sendmail in het voorjaar .. naar postfix nu .. ik zie wel iets progressie

Misschien gewoon je huidige config maar trashen .. en opnieuw beginnen met een deugdelijke tutorial en zo minimaal mogelijke wijzigingen aanbrengen ? (of eerst met postfix -n eens kijken wat je nou eigenlijk allemaal non-standaard hebt staan in je postfix config ?)