Temporaere Relaysperrung

[DjCrasher]

Hallo zusammen,
ich habe da heute eine E-Mail von Selfhost bekommen in der es um SPAM-Missbrauch geht.

hier mal ein auszug dieser E-Mail:
.....
leider kann ich Ihnen nicht genau sagen warum Ihr Server Spammails über uns versendet.
Hier die beiden Zeilen aus dem Header welche wichtig sind. Vielleicht Hilft Ihnen dies
weiter (Header werden von unten nach oben gelesen):

Received: from User (93-97-***-***.zone5.bethere.co.uk [93.97.***.***])(Authenticated
sender: username) by ****.de (Postfix) with ESMTPA id 1DDBC1F8002;

=> Hier bekommt Ihr Mailserver von der IP 93.97.***.*** eine Mail, welche von Ihrem
Mailserver Relayed werden soll. Der Versender meldet sich anscheinend mit dem Usernamen
Username (Könnte auch gefälscht sein) an Ihrem Mailserver an.

Received: from unknown (HELO *******)
(postmaster@********) by mailout.selfhost.de with ESMTPA;
20 Jun 2010 23:46:07 -0000

=> Hier sendet Ihr Mailserver die Mail an uns weiter, da Ihr Server wahrscheinlich alle
seine Mails über uns versendet.

Wichtig ist es nun herauszufinden warum Ihr Mailserver Mails von einer fremden IP
annimmt und an uns weiterleitet. Bzw. versucht die Mails über uns zu versenden so als
ob Sie diese versenden würden. Leider kann ich Ihnen aber nicht sagen warum dies Ihr
Server macht.

Frage wie kann ich sowas Verhindern?

Bitte um Hilfe, da mein E-Mailverkehr gesperrt worde ist.

MfG
DjCrasher

 

[haensF]

Relaysperre

Dies ist bei vielen Grösseren Providern ein Problem!
Dynamische Adressen und DYNDNS sind das Thema. Im Forum war noch ein Beitrag zur Thematik der dir evt weiter hilft: http://www.synology-forum.de/showthread.html?t=4926

Ich denk, damit kommst du weiter!!
Gruss haens

 

[magick]

Dies ist bei vielen Grösseren Providern ein Problem!
Dynamische Adressen und DYNDNS sind das Thema. Im Forum war noch ein Beitrag zur Thematik der dir evt weiter hilft: http://www.synology-forum.de/showthread.html?t=4926

Ich denk, damit kommst du weiter!!
Gruss haens

Ich denke mal er benutzt selfhost als Mail-Relay um genau das zu verhindern?

@DJCrasher: Könntest Du mal genauer sagen, was Du eigentlich da tust? Hast Du ne Mailstation am Laufen und jemand benutzt dich als Spamschleuder? Hast Du mehrere Benutzer? Wie ist dein Setup?

 

[DjCrasher]

Hallo zusammen,

zur konfig die habe ich so gemacht wie sie in der Anleitung steht bei "Nutzung der Mailstation mit selfhost.de als eigenständiger Mailserver ".
Auf der DS habe ich beim Reiter MAilstation über all ein hacken, auch bei Spammfilter.

Das komische für mich isur das ich einen User habe mit dem ich erst ein Paar E-Mails verschickt habe. Dieses tat ich über Outlook 2007.

So die DS lief jetzt 4 Wochen ohne das ich etwas gemacht habe, und dann kommt sowas!!!

ich habe bis jetzt nur zwei User auf der DS da ich noch man testen bin.

Laut Selfhost:
Sehr geehrte Damen und Herren,

leider musste ich den o.g. Account temporär zum Relaying von Mails sperren
(POP/IMAP/Webmail sowie der Empfang von Mails sind selbstverständlich weiterhin
funktional).

Über den fraglichen Account sind Spammails verschickt worden; hier exemplarisch die
Header einer der betreffenden Mails:

Habe auch mal auf der Seite von Selfhost geschaut um zusehen ob dort E-Mails rausgegangen sind doch dort sehe ich keine....

Bin etwas sprachlos was dieses angeht.

MfG
DjCrasher

 

[Trolli]

Dann setz doch bitte bei deinen beiden Benutzern mal starke Passwörter ein. Dann kannst Du es ja nochmal versuchen. Existiert denn der von selfhost angegebene Benutzer auf Deinem System?

 

[DjCrasher]

Das komische ist ja das der User nur auf der DS ist und nicht bei Selfhost!!

Deshalb ist es für mich etwas unverständlich...

Aber dis hier her erst mal danke.

 

[Trolli]

Das ist normal. Bei selfhost musst Du keine Benutzer anlegen um Mails zu empfangen oder zu senden. Benutzer auf der DS reicht.

 

[DjCrasher]

Hallo Trolli,

Als denkst du das es einfach nur das blöde PW ist?

Frage hat bei Selfhost schonmal einer son problem gehabt?

Habe schon geschaut doch nicht wirklich etwas gefunden....

MfG
DjCrasher

 

[Trolli]

Ich denke da hat irgendjemand Deinen DS-Account geknackt und verwendet diesen Zugang jetzt als Spamschleuder. Möglicherweise ist das auf ein zu einfaches Passwort zurückzuführen. So ein Passwort kann natürlich auch auf andere Weise abhanden kommen. Ich würde auch mal ein Spybot S&D oder ein ähnliches Programm auf Deinem PC nach Trojanern suchen lassen.

Ich denke jedenfalls nicht, dass das ein Problem ist, das speziell mit Selfhost zusammenhängt.

 

[thedude]

Ich denke jedenfalls nicht, dass das ein Problem ist, das speziell mit Selfhost zusammenhängt.

Ganz genau das wollte ich auch gerade schreiben. Das ist kein selfhost Problem. Auf sowas muss man immer vorbereitet sein wenn man einen eigenen Mailserver betreibt.

Änder die Passwörter und untersuche Deine Systeme GRÜNDLICH auf Trojaner und Backdoors. Womöglich hast Du dir was eingefangen.

gruss
dude

 

[DjCrasher]

Hallo Dude, hallo zusammen,

gibt es eine möglichkeit auf der DS? So das ein Schutz auf der DS immer mit läuft?
z.B. Viren scanner oder etwas was Trojaner/spyware usw. blockieren kann?
Den nur die Firewall finde ich selber etwas wenig....

Kann mir einer sagen wie ich das hier machen kann
> lokale Mailqueue geleert haben und sich keine Spammails mehr darin befinden.

Frage reicht es wenn ich jetzt nur das PW änder, da ich denke das noch sachen in Mailqueue dein sind, diese sollte doch erst leer sein oder???
Zur sicherheit ist meine DS seit dem ich die E-Mail bekommen habe aus....

MfG
DjCrasher

 

[Matthieu]

Wir reden hier von Trojanern etc auf deinem PC und nicht auf der DS! Die läuft mit Linux und ist etwas derartigem gegenüber nicht immun, jedoch nur schwer belangbar. Check also deinen PC! Es gibt RootkitHunter für die DS, aber ich glaube nicht das die sich etwas gefangen hat.

MfG Matthieu

 

[Trolli]

Die Passwörter gibst Du ja an Deinem PC ein. Üblicherweise werden die Daten auch dort abgefangen...

 

[jahlives]

Du musst auch unbedingt schauen wie deine smtpd Restriktionen in der main.cf unter /usr/syno/mailstation/etc ausschauen. Je nach dortiger Konfig aktzeptiert die DS schlicht alle Mails auf Port 25 und leitet sie weiter --> offener Mailrealyserver. such in diesem File v.a. nach smtpd_reciever_restrictions (poste sie mal hier wenn du nichtweiterkommst)

Und die DS selber kennt ja den Usernamen und das PW, welche für den Relayserver bei selfhost verwendet werden.
Ehrlich gesagt wird kaum eine Malware ihren Dreck via Mailserver versuchen zuzustellen. Das würde in den smtpd Logs sofort auffallen. Meist probiert Malware direkt an den Empfänger zu senden (direct-mx). Darum vermute ich eher, dass deine Mailstation als offener Relayserver konfiguriert ist und die Spammer die Mails zum Versand an deine DS richten.

 

[Homer MB]

Hallo zusammen,
Ich hatte leider auch das unschöne Vergnügen eine temporäre Relaysperrung durch Selfhost zu erfahren, aufgrund vom Spammissbrauch. Die Ursache war, dass ich ein sehr unsicheres Password verwendet habe, und vermutlich die E-Mail bzw. die Passwörter im Klartext verschickt habe.


Nun zu meinen Fragen:
1) Im mail.log ist folgender Eintrag zu finden:

dovecot: pop3-login: Login: user=<xxx>, method=PLAIN, rip=IP des Rechners, lip=IP der DS, TLS
dovecot: POP3(xxx): Disconnected: Logged out top=0/0, retr=1/3223, del=0/3, size=5588
TLS bedeutet das die E-Mail & Passwörter verschlüsselt übertragen werden. - Ist das richtig?

Leider hatte ich im Outlook 2007 in der E-Mail Einstellungen unter dem Reiter Erweitert auf die Standardwerte eingestellt.
Jetzt nachdem ich POP3 auf 995 und den Hacken Server erfordert eine verschlüsselte Verbindung (SSL) gesetzt habe, erscheint im mail.log dieser TLS Hinweis.

2) Ich würde gerne um die Sicherheit des Mailsystems Spam.Assassin installieren. Geht das nur in Verbindung mit getmail? – Da ich meinen Server über Selfhost läuft.

Nun zu meinen Daten:
DS 211 IPKG
DSM 3.0-1354
Mailstation 20100407-018
WD 20 EARS-00MVWBO

Gruß Homer

 

[jahlives]

1) ja TLS bedeutet, dass eine verschlüsselte Übertragung verwendet wurde. Sowohl die Logindaten als auch die Nutzdaten (Inhalte der Mails) werden nur verschlüsselt via Server und Client übertragen. Neben POP3-Secure bietet die Mailstation auch IMAP-Secure, also beides verschlüsselte Versionen.

2) um SA zu nutzen musst du nicht unbedingt getmail installieren. Das geht auch ohne getmail. Die Aufgabe von getmail ist es Emails von externen Mailaccounts abzuholen. Ehrlich gesagt glaube ich aber nicht, dass SA deinen Fall verhindert hätte. imho wurde dieser Spam nicht via deine DS versendet, sondern direkt via deinen Relay-Server bei selfhost. Der beste Schutz davor ist es ein komplexes PW zu verwenden und dieses regelmässig zu ändern

 

[Homer MB]

Hallo Jahlives,
danke für die Antwort. Na dann bin ich auf dem richtigen Wege.
Gruß Homer