Exim en virus?

donderdag 27 oktober 2016 08:55

Acties:

0 Henk 'm!

Topicstarter

Ik heb gisteren ineens een 10tal meldingen in /var/log/exim4/paniclog staan:
Unable to open private key file for reading: /etc/exim4/dkim/[domain].private.pem

Deze bestanden bestaan niet, en dus kunnen ze ook niet gelezen worden. Maar waarom worden deze überhaupt aangevraagd?

In mijn exim config staat:
DKIM_DOMAIN = ${sg{${lc:{$domain:$h_from:
}}}:{^secure\}{}}

Dus ik snap waarom hij naar dit bestand vraagt. Alleen mag hij volgens mij helemaal niet vanuit andere adressen versturen, en dus had hij dit nooit aan mogen roepen.

Waarom ik aan een virus denk? Mijn vader had een mail account op mijn server. En een van de domeinnamen is een site voor een evenement waar hij vrijwilliger is (15 man ongeveer) en hij is niet heel erg computer technisch onderlegd. Zou dus zomaar kunnen.

Clamav geeft niks, dus gok van niet. Maar wil dit wel zeker weten. Pc van mijn ouders ook clean volgens Windows defender.

Maar waar zou ik verder kunnen kijken? De domeinen zijn allemaal typisch NL domeinen en zijn allemaal dingen waar mijn ouders contact zouden kunnen hebben, hetnet, Gmail, emte, mrkortingscode etc.

Betreft Exim4 op Debian Jessie, volledig geüpdate

donderdag 27 oktober 2016 20:24

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Hoe open staat je mailserver? Kan namelijk ook zijn dat iets of iemand jouw server probeert te misbruiken als open relay. Kan ook natuurlijk een config fout zijn van hun client en jouw server proberen te gebruiken om te versturen van die domeinen, ipv de mailserver van het domein zelf.

Commandline FTW | Tweakt met mate

donderdag 27 oktober 2016 22:06

Acties:

0 Henk 'm!

Paultje3181

Topicstarter

Je bedoelt qua firewall?
netstat -lntu:

code:

Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:2022            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:10024         0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 mijnip:587     0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:587           0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:783           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:12345           0.0.0.0:*               LISTEN
tcp        0      0 mijnip:25      0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:443             0.0.0.0:*               LISTEN
tcp6       0      0 :::993                  :::*                    LISTEN
tcp6       0      0 :::2022                 :::*                    LISTEN
tcp6       0      0 :::2221                 :::*                    LISTEN
tcp6       0      0 :::143                  :::*                    LISTEN
tcp6       0      0 :::21                   :::*                    LISTEN
udp        0      0 0.0.0.0:39973           0.0.0.0:*
udp        0      0 10.10.10.1:123          0.0.0.0:*
udp        0      0 mijnip:123     0.0.0.0:*
udp        0      0 127.0.0.1:123           0.0.0.0:*
udp        0      0 0.0.0.0:123             0.0.0.0:*
udp        0      0 0.0.0.0:1194            0.0.0.0:*
udp        0      0 0.0.0.0:5353            0.0.0.0:*
udp        0      0 0.0.0.0:10000           0.0.0.0:*
udp6       0      0 :::123                  :::*
udp6       0      0 :::43161                :::*
udp6       0      0 :::5353                 :::*

Volgens mij dus voldoende dicht toch? Of kunnen er nog meer zaken dicht?

donderdag 27 oktober 2016 22:24

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Nee, qua wat de config in de server zelf toestaat. Is die van buiten bereikbaar en kan je via jouw server naar iedereen zomaar mailen, of wordt er bepaald welke domeinen er uitgaand zijn voor 'm?

Commandline FTW | Tweakt met mate

donderdag 27 oktober 2016 22:25

Acties:

0 Henk 'm!

Paultje3181

Topicstarter

O, sorry. Wordt allemaal via mysql queries geregeld volgens mij. In welk stuk van de config zou dit precies moeten staan?

donderdag 27 oktober 2016 22:32

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Geen idee, ik heb exim nooit zo geconfigureerd. Sterker nog, in alle gevallen heb ik 't vervangen voor Postfix om even snel een MTA te hebben die de mail intern verder stuurt naar de server die het uiteindelijk afhandelt.

Commandline FTW | Tweakt met mate

donderdag 27 oktober 2016 22:34

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

netstat heeft niks met je firewall te maken.
netstat laat zien welke poorten door applicaties in gebruik zijn, niet welke door de firewall worden gesloten.

Gebruik 'iptables -L' om je firewall te bekijken.

Ik heb het even gecontroleerd en je mailserver is via internet bereikbaar. Niks mis mee als je e-mail wil ontvangen maar je moet wel weten waar je mee bezig bent.

HoT heeft het denk ik over een "open relay". Dat is een mailserver die zomaar mail van anderen doorstuurt.

Ik heb het voor je gecontroleerd, je lijkt op dit moment geen open relay te hebben, maar dit is verplichte kennis als je een mailserver draait. Ik bedoel het niet vervelend, maar als je niet weet wat een open relay is moet je echt een beetje bijlezen. Het draaien van een mailserver brengt een zeker verantwoordelijkheid met zich mee want als je het fout doet heeft heel internet er last van.

Dat alles gezegd hebbende, ik zie dat er ook een webserver draait op dat systeem. Virussen die mailserver besmetten zijn er niet zo veel. Inbreken via een website gebeurt echter aan de lopende band. Draait er misschien een website die niet helemaal up to date is?

Kun je in de maillogs niet zien of er vreemde mail verstuurd wordt en waar die dan vandaan komt?

PS. Misschien is het verstandiger om je IP-adres niet op internet te posten.

This post is warranted for the full amount you paid me for it.

dinsdag 1 november 2016 21:46

Acties:

0 Henk 'm!

Squ1zZy

CAPSLOCK2000 schreef op donderdag 27 oktober 2016 @ 22:34:
PS. Misschien is het verstandiger om je IP-adres niet op internet te posten.

Welk IP-adres? 127.0.0.1? Ik ga die gelijk proberen te hacken!

Connection lost by peer...

dinsdag 1 november 2016 22:09

Acties:

0 Henk 'm!

gekkie

Paultje3181 schreef op donderdag 27 oktober 2016 @ 08:55:
Ik heb gisteren ineens een 10tal meldingen in /var/log/exim4/paniclog staan:
Unable to open private key file for reading: /etc/exim4/dkim/[domain].private.pem

Deze bestanden bestaan niet, en dus kunnen ze ook niet gelezen worden. Maar waarom worden deze überhaupt aangevraagd?

In mijn exim config staat:
DKIM_DOMAIN = ${sg{${lc:{$domain:$h_from:
}}}:{^secure\}{}}

Aangezien de foutmelding gaat over je dkim key file lijkt het me handig om even in de documentatie op te zoeken welke parameter daar over gaat. (hint: dkim_private_key).
Kortom wat is daar geconfigureerd ?
Overigens kan dat weer uit een Macro of uit een SQL query komen, dus vanuit daar het spoor zien terug te volgen door je config heen.

En is het DKIM gedeelte: 1) een default config, 2) uit een turtorial 3) zelf geknutseld uit de docs ?

[ Voor 15% gewijzigd door gekkie op 01-11-2016 22:18 ]

Vraag

Alle reacties