ich habe seit ein paar Wochen verstärkte SPAM-Probleme und wollte einmal bei euch um eine Einschätzung fragen:
Infrastruktur:
Client: MS Outlook 03, SPAM-Filter auf Hoch
Server: Debian-Webserver mit SPAM-Assassin, Punkte: 4
Grundsätzlich hatte ich seit eh und je relativ viel SPAM erhalten (300 pro Tag), aber der Outlook Filter hatte bis auf ein paar wenige Mails alles herausgefiltert in den Junkmail Ordner.
Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird und zwar seltsamerweise mit meinen Emailadressen (verwalt mit webmaster@ einige Domains) im Absender.
Dies sind keine Return EMails von unzustellbaren Nachrichten sondern einfach SPAM mit meinen eigenen Adressen im Absender.
Teilweise ist sogar SPAM mit einer EMailadresse als Absender, an die ich selbst keinen SPAM erhalte, also das einzige Postfach, das noch SPAM frei ist.
Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.
(das ist wohl suboptimal, schon klar). Ich mache alles nötige über Plesk.
Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
Mir ist schon klar, dass mich jeder als Abesender bei einem SPAM-Versand eintragen kann, aber es sind wie gesagt Adresse darunter, die nicht im Internet bekannt sind.
Noch zu den Inhalten der Mails, die nicht gefiltert werden:
Betreffs so Dinge wie "Email Handling Opinion Needed", "New products everyday at our chemists."...
webmaster@... ist ein sogenannter role account, ähnlich wie abuse@, postmaster@ etc.
Da kann der Spammer fast sicher davon ausgehen, dass die existieren.
Natürlich kann es sein, dass der Server gehackt wurde, aber wahrscheinlicher ist, dass der Spammer die Adresse geraten hat.
Lösungen:
1) Abwarten. Nach 2-3 Tagen ist die Welle meist vorrüber
2) Wenn es öfter passiert: Filtern, Mails unter deinem Absender, die von einem externen Server kommen, kannst du löschen.
Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird (...)
Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.
(...) Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
Aaalso...
1) Definiere "nicht gefiltert" -> Outlook filtert nicht, oder SA erkennt nicht?
bei a) müsste lediglich ein (weiterer) Filter auf Header gesetzt werden. Bei Thunderbird reicht es, ein Häkchen zu setzen bei "Junk-Kopfzeilen dieses externen Filters vertrauen: Spamassassin".
bei b) wäre dann der Spamreport interessant (den lasse ich bei meinem Exim mit in den Header packen), um zu sehen, welche Regeln überhaupt gegriffen haben.
2) Nunja. Jeder fängt mal an...
Wie authentifizierst Du denn den Versand?
3) Solange es nur bei Dir einschlägt, und nicht von Dir aus bei anderen, werden das geratene Adressen sein.
P.S.: Wann bzw. wie oft lässt Du denn sa-update laufen? Sollte theoretisch 1x täglich im crontab stehen...
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
Also das Ganze geht schon 4 Wochen, ich dachte auch, es würde nach ein paar Tagen aufhören
Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.
Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
Ich vermute, dass mein SA nicht mehr aktuell ist, liegt an einem Problem in Plesk, ich kann nicht mehr updaten.... (anderes Problem).
Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?
Übrigens: Bisher war ich mit dem Outlook Filter sehr zufrieden, nahezu nichts fälschlicherweise als SPAM erkannt, das is mir das wichtigste.
Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.
OK, das eine erklärt natürlich das andere. Für mich hört sich das im Moment so an, als sei SA entweder abgestürzt (dann liefert der MTA die Mail ungeprüft aus - sollte in den Logfiles stehen, á la
Code:
2011-11-11 11:11:1 1LRQbe-0001Hr-00 malware acl condition: spamd: unable to connect to UNIX socket /var/run/spamassassin/spam.sock (No such file or directory)
), oder aber Dein SA ist so veraltet, dass er nix mehr findet. Aber gar keine Markierung deutet eigentlich auf eine fehlende Funktionalität von SA hin.
Zitat von xray
Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
So direkt? Gar nicht. Es sei denn, jemand beschwert sich. Aber Google mal nach "open relay test" oder "open relay check". z.B. bei whois:
[Link nur für registrierte Mitglieder sichtbar. ].
Damit schliesst Du zumindest aus, dass der Server schlicht als Relay genutzt wird.
Pauschal rejecte ich per iptables auch schonmal vieles, was aus mir besonders auffälligen Netzen auf Port 25 kommt und schalte ggf. nur einzelne MX frei, die Firmen gehören, wo ich Support brauche...
Zitat von xray
liegt an einem Problem in Plesk, ich kann nicht mehr updaten....
Mal nebenbei gefragt... kannst Du Dich neben Plesk auch normal auf dem Server anmelden? Also per ssh?
falls ja, sag' doch mal, was ggf folgende Befehle an Ausgabe bringen:
Code:
/etc/init.d/spamassassin status
ggf.: /etc/init.d/spamassassin start
und
sa-update
Ein ps -A sollte auch spamd zeigen, falls nicht: Wie oben Spamassassin starten...
Und mal einen Blick in die Logs werfen, da sollte sich dann einiges finden (könnte mail, mail.log, mail.err ... oder so ähnlich sein)
Zitat von xray
Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?
Öh... Ganz ehrlich, keine Ahnung. Für Thunderbird würde ich das ein oder andere zu probieren haben, aber mit Outlook kenne ich mich einfach nicht aus
Gruß,
alariel
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
/etc/init.d/psa-spamassassin status >> "is running"
/etc/init.d/sa-update gibts nicht, liegt wohl an der "Pleskvariante" von SA oder?
Relay etc. sollte alles abgeschalten sein, hatte ich zumindest bei der Einrichtung nichts angefasst und im Log hab ich auch viele "relay locks".
Ich dachte eher an einen Rootkit/Bot, da ich so lange Plesk und damit Debian nicht upgedatet hab.
Was nehm ich denn als Virenscanner zum Testen?
Es wäre natürlich denkbar, dass diese Update-Funktionalität durch einen Virus lahmgelegt ist. Aber ich vermute, dann wüßten hier einige davon, da so etwas dann nicht nur einen trifft und auch in der Presse landet.
Stell doch mal die Kopfzeilen einiger Mails hier rein, dann können wir schnell feststellen, von wo die Mails kamen.
Gegen Rootkits gibt es für Linux das Tool "Rootkit Hunter", das scannt das System recht gut.
Lesezeichen