Spam X-Mailer: Mailer v1.0 krijg het niet gevonden - Privacy en beveiliging

Vraag

donderdag 29 september 2016 15:59

Acties:

HEY! Dat ben ik!

Topicstarter

Mijn vraag

Mijn postfix queue vult zich onwillekeurig met een aantal mailtjes richting random @aol.com @gmail.com etc. adressen. De header van de mailtjes geeft als bron Spam X-Mailer: Mailer v1.0 aan. Dus ik in de mail.log kijken en daar zie ik dat het mailtje door de client=localhost[::1] worden aangeboden.

Nu logte ik preventief de phpmail functie al in een /var/log/phpmail.log, dit heb ik destijds ingesteld door in de php.ini dit te zetten

code:

1 2	mail.add_x_header = On mail.log = /var/log/phpmail.log

Echter logt deze de X-Mailer: PHPMailer wat mijns inziens iets anders is dan X-Mailer: Mailer v1.0

Ik gebruik
Apache 2.4.10
PHP 5.6.23
Postfix 2.11.3

Ik heb het los van de phpmail log ook gekeken of het in 1 van de virtuele hosts zit dmv een scan met ispprotect en maldetect. Alle gevonden resultaten heb ik verwijderd. Tevens heb ik alle suggesties hier ook bekeken voor oplossingen https://www.google.nl/web...22x-mailer+mailer+v1.0%22

Echter blijft de spam aanhouden ook na deze maatregelen.

Dus ten einde raad toch maar eens vragen of iemand hier een idee heeft..

En toevallig vind ik dus van niet! :-)

Alle reacties

maandag 3 oktober 2016 09:26

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Inmiddels een stap verder gegaan en toch iets gevonden waar mee ik kan vinden WAT er precies verstuurd en HOE. Echter werkt dat nog niet 100% http://karl.kornel.us/201...-your-shared-web-service/

In de firewall log ik nu welke UID er verzend via

code:

Oct  3 08:50:18 naam kernel: [41244279.481081] Outbound email: IN= OUT=eth0 SRC=IP DST=98.136.216.25 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=21001 DF PROTO=TCP SPT=53983 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0 UID=114 GID=118
Oct  3 08:50:21 naam kernel: [41244282.860162] Outbound email: IN= OUT=eth0 SRC=IP DST=82.197.217.244 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=34302 DF PROTO=TCP SPT=52730 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0 UID=114 GID=118
Oct  3 08:53:15 naam kernel: [41244456.616701] Outbound email: IN= OUT=eth0 SRC=IP DST=82.197.217.244 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=7177 DF PROTO=TCP SPT=52779 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Oct  3 08:53:16 naam kernel: [41244457.614776] Outbound email: IN= OUT=eth0 SRC=IP DST=82.197.217.244 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=7178 DF PROTO=TCP SPT=52779 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0
Oct  3 08:53:18 naam kernel: [41244459.620404] Outbound email: IN= OUT=eth0 SRC=IP DST=82.197.217.244 LEN=60 TOS=0x10 PREC=0x00 TTL=64 ID=7179 DF PROTO=TCP SPT=52779 DPT=25 WINDOW=29200 RES=0x00 SYN URGP=0 UID=0 GID=0

De UID=114 is de postfix gebruiker.. en dus log ik via auditctl op postfix auditctl -w /usr/sbin/postfix -p x -k sending_mail
zoals ook aangegeven in de tutorial. Echter komt het "sending_mail" gedeelte totaal niet voor in de auditctl. Iemand enig idee hoe dit kan ?

En toevallig vind ik dus van niet! :-)

zondag 9 oktober 2016 10:14

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Okay..... Don't ask me why maar op 1 of andere manier viel het mij ineens op dat de connecties van localhost IPV6 leken te komen

code:

1	postfix/smtpd[25745]: connect from localhost[::1]

En aangezien ik IPV6 niet gebruik heb ik deze bij postfix compleet uitgeschakeld... Ik heb nu sinds 4 dagen geen last meer van spam.

En toevallig vind ik dus van niet! :-)

zondag 9 oktober 2016 23:36

Acties:

Brahiewahiewa

boelkloedig

Multispeed schreef op zondag 09 oktober 2016 @ 10:14:
Okay..... Don't ask me why maar op 1 of andere manier viel het mij ineens op dat de connecties van localhost IPV6 leken te komen
code:
1
postfix/smtpd[25745]: connect from localhost[::1]
En aangezien ik IPV6 niet gebruik heb ik deze bij postfix compleet uitgeschakeld... Ik heb nu sinds 4 dagen geen last meer van spam.

Dat komt vanzelf weer; je bent nog steeds een open relay

QnJhaGlld2FoaWV3YQ==

maandag 10 oktober 2016 09:54

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Brahiewahiewa schreef op zondag 09 oktober 2016 @ 23:36:
[...]

Dat komt vanzelf weer; je bent nog steeds een open relay

Welke test ik ook doe (automatisch) of (handmatig) die vinden absoluut niet dat ik een open relay ben. Dat is het gekke. Uiteraard ben ik daar mee begonnen om dat te checken

En toevallig vind ik dus van niet! :-)

maandag 10 oktober 2016 10:25

Acties:

Brahiewahiewa

boelkloedig

Dus je theorie is nu dat je voor ip6 een open relay was, maar dat heb je afgevangen door ip6 te disabelen.
En voor ip4 was je sowieso al geen open relay?

Ik weet te weinig van postfix om dat te kunnen ontzenuwen. Maar het klinkt een beetje shaky, imho.

QnJhaGlld2FoaWV3YQ==

maandag 10 oktober 2016 10:38

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Brahiewahiewa schreef op maandag 10 oktober 2016 @ 10:25:
Dus je theorie is nu dat je voor ip6 een open relay was, maar dat heb je afgevangen door ip6 te disabelen.
En voor ip4 was je sowieso al geen open relay?

Ik weet te weinig van postfix om dat te kunnen ontzenuwen. Maar het klinkt een beetje shaky, imho.

Dat snap ik, echter hoe kan ik een open relay zijn voor IPV6 als mijn machine niet eens een publiek of uberhaupt een IPV6 adres heeft..

En idd op ipv4 was ik al geen open relay...

Het probleem was er ook zo van de 1 op de andere dag gek genoeg.

En toevallig vind ik dus van niet! :-)

maandag 10 oktober 2016 11:00

Acties:

WK100

Tja dan heb je jezelf al antwoord gegeven toch? Dit moet via IPv4 gebeurd zijn..

maandag 10 oktober 2016 11:36

Acties:

Brahiewahiewa

boelkloedig

Multispeed schreef op maandag 10 oktober 2016 @ 10:38:
[...]
Dat snap ik, echter hoe kan ik een open relay zijn voor IPV6 als mijn machine niet eens een publiek of uberhaupt een IPV6 adres heeft...

Nou ja, wat ik verontrustend vind is niet zozeer dat het een ip6 adres betrof, maar dat het ::1 was. Localhost, dus. Ik weet niet hoe postfix die ::1 bepaalt. Als postfix die ::1 gewoon overneemt van de client hoeft er niet zoveel aan de hand te zijn. Maar als die ::1 daadwerkelijk jouw localhost is, is je server gecompromitteerd

QnJhaGlld2FoaWV3YQ==

dinsdag 11 oktober 2016 10:35

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

Brahiewahiewa schreef op maandag 10 oktober 2016 @ 11:36:
[...]

Nou ja, wat ik verontrustend vind is niet zozeer dat het een ip6 adres betrof, maar dat het ::1 was. Localhost, dus. Ik weet niet hoe postfix die ::1 bepaalt. Als postfix die ::1 gewoon overneemt van de client hoeft er niet zoveel aan de hand te zijn. Maar als die ::1 daadwerkelijk jouw localhost is, is je server gecompromitteerd

Dat laatste ben/was ik ook bang voor inderdaad.. Echter kreeg ik het op geen enkele manier voor elkaar te vinden via welk proces o.i.d. het verzonden werd. Tot dat ik dit IPV6 dus uitschakelde en het als sneeuw voor de zon verdween

Tjah echt zeker is dat ook niet..

En toevallig vind ik dus van niet! :-)

dinsdag 11 oktober 2016 10:36

Acties:

Multispeed

HEY! Dat ben ik!

Topicstarter

WK100 schreef op maandag 10 oktober 2016 @ 11:00:
Tja dan heb je jezelf al antwoord gegeven toch? Dit moet via IPv4 gebeurd zijn..

Huh ? Dat zou wel heel gek zijn... gezien ik geen open relay ben. En het stopte na het uitzetten van de ipv6 optie in postfix

En toevallig vind ik dus van niet! :-)

Pagina: 1

Reageer