Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 10 von 24

Thema: Seltsam viel ungefiltereter SPAM?! Gehackt?!

  1. #1
    Neues Mitglied
    Registriert seit
    27.01.2009
    Beiträge
    10

    Unglücklich Seltsam viel ungefiltereter SPAM?! Gehackt?!

    Hallo zusammen,

    ich habe seit ein paar Wochen verstärkte SPAM-Probleme und wollte einmal bei euch um eine Einschätzung fragen:

    Infrastruktur:
    Client: MS Outlook 03, SPAM-Filter auf Hoch
    Server: Debian-Webserver mit SPAM-Assassin, Punkte: 4

    Grundsätzlich hatte ich seit eh und je relativ viel SPAM erhalten (300 pro Tag), aber der Outlook Filter hatte bis auf ein paar wenige Mails alles herausgefiltert in den Junkmail Ordner.
    Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird und zwar seltsamerweise mit meinen Emailadressen (verwalt mit webmaster@ einige Domains) im Absender.
    Dies sind keine Return EMails von unzustellbaren Nachrichten sondern einfach SPAM mit meinen eigenen Adressen im Absender.

    Teilweise ist sogar SPAM mit einer EMailadresse als Absender, an die ich selbst keinen SPAM erhalte, also das einzige Postfach, das noch SPAM frei ist.

    Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.
    (das ist wohl suboptimal, schon klar). Ich mache alles nötige über Plesk.

    Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
    Mir ist schon klar, dass mich jeder als Abesender bei einem SPAM-Versand eintragen kann, aber es sind wie gesagt Adresse darunter, die nicht im Internet bekannt sind.

    Noch zu den Inhalten der Mails, die nicht gefiltert werden:
    Betreffs so Dinge wie "Email Handling Opinion Needed", "New products everyday at our chemists."...

    Was meint ihr dazu?

  2. #2
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.492

    Standard

    webmaster@... ist ein sogenannter role account, ähnlich wie abuse@, postmaster@ etc.

    Da kann der Spammer fast sicher davon ausgehen, dass die existieren.



    Natürlich kann es sein, dass der Server gehackt wurde, aber wahrscheinlicher ist, dass der Spammer die Adresse geraten hat.

    Lösungen:
    1) Abwarten. Nach 2-3 Tagen ist die Welle meist vorrüber
    2) Wenn es öfter passiert: Filtern, Mails unter deinem Absender, die von einem externen Server kommen, kannst du löschen.

  3. #3
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Zitat Zitat von xray Beitrag anzeigen
    Client: MS Outlook 03
    Autsch! *SCNR*

    Zitat Zitat von xray Beitrag anzeigen
    Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird (...)

    Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.

    (...) Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
    Aaalso...
    1) Definiere "nicht gefiltert" -> Outlook filtert nicht, oder SA erkennt nicht?
    bei a) müsste lediglich ein (weiterer) Filter auf Header gesetzt werden. Bei Thunderbird reicht es, ein Häkchen zu setzen bei "Junk-Kopfzeilen dieses externen Filters vertrauen: Spamassassin".
    bei b) wäre dann der Spamreport interessant (den lasse ich bei meinem Exim mit in den Header packen), um zu sehen, welche Regeln überhaupt gegriffen haben.

    2) Nunja. Jeder fängt mal an...
    Wie authentifizierst Du denn den Versand?

    3) Solange es nur bei Dir einschlägt, und nicht von Dir aus bei anderen, werden das geratene Adressen sein.

    P.S.: Wann bzw. wie oft lässt Du denn sa-update laufen? Sollte theoretisch 1x täglich im crontab stehen...
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  4. #4
    Neues Mitglied
    Registriert seit
    27.01.2009
    Beiträge
    10

    Unglücklich

    Also das Ganze geht schon 4 Wochen, ich dachte auch, es würde nach ein paar Tagen aufhören

    Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.

    Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
    Ich vermute, dass mein SA nicht mehr aktuell ist, liegt an einem Problem in Plesk, ich kann nicht mehr updaten.... (anderes Problem).

    Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?

    Übrigens: Bisher war ich mit dem Outlook Filter sehr zufrieden, nahezu nichts fälschlicherweise als SPAM erkannt, das is mir das wichtigste.

  5. #5
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Zitat Zitat von xray Beitrag anzeigen
    Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.
    OK, das eine erklärt natürlich das andere. Für mich hört sich das im Moment so an, als sei SA entweder abgestürzt (dann liefert der MTA die Mail ungeprüft aus - sollte in den Logfiles stehen, á la
    Code:
    2011-11-11 11:11:1 1LRQbe-0001Hr-00 malware acl condition: spamd: unable to connect to UNIX socket /var/run/spamassassin/spam.sock (No such file or directory)
    ), oder aber Dein SA ist so veraltet, dass er nix mehr findet. Aber gar keine Markierung deutet eigentlich auf eine fehlende Funktionalität von SA hin.

    Zitat Zitat von xray Beitrag anzeigen
    Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
    So direkt? Gar nicht. Es sei denn, jemand beschwert sich. Aber Google mal nach "open relay test" oder "open relay check". z.B. bei whois: [Link nur für registrierte Mitglieder sichtbar. ].
    Damit schliesst Du zumindest aus, dass der Server schlicht als Relay genutzt wird.
    Pauschal rejecte ich per iptables auch schonmal vieles, was aus mir besonders auffälligen Netzen auf Port 25 kommt und schalte ggf. nur einzelne MX frei, die Firmen gehören, wo ich Support brauche...

    Zitat Zitat von xray Beitrag anzeigen
    liegt an einem Problem in Plesk, ich kann nicht mehr updaten....
    Mal nebenbei gefragt... kannst Du Dich neben Plesk auch normal auf dem Server anmelden? Also per ssh?
    falls ja, sag' doch mal, was ggf folgende Befehle an Ausgabe bringen:
    Code:
    /etc/init.d/spamassassin status
    ggf.: /etc/init.d/spamassassin start
    und
    sa-update
    Ein ps -A sollte auch spamd zeigen, falls nicht: Wie oben Spamassassin starten...
    Und mal einen Blick in die Logs werfen, da sollte sich dann einiges finden (könnte mail, mail.log, mail.err ... oder so ähnlich sein)

    Zitat Zitat von xray Beitrag anzeigen
    Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?
    Öh... Ganz ehrlich, keine Ahnung. Für Thunderbird würde ich das ein oder andere zu probieren haben, aber mit Outlook kenne ich mich einfach nicht aus

    Gruß,
    alariel
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  6. #6
    Neues Mitglied
    Registriert seit
    27.01.2009
    Beiträge
    10

    Standard

    Also

    /etc/init.d/psa-spamassassin status >> "is running"

    /etc/init.d/sa-update gibts nicht, liegt wohl an der "Pleskvariante" von SA oder?

    Relay etc. sollte alles abgeschalten sein, hatte ich zumindest bei der Einrichtung nichts angefasst und im Log hab ich auch viele "relay locks".
    Ich dachte eher an einen Rootkit/Bot, da ich so lange Plesk und damit Debian nicht upgedatet hab.
    Was nehm ich denn als Virenscanner zum Testen?

    In den Logfiles seh ich keine Fehler bzgl. SA.

  7. #7
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.492

    Standard

    Warum kannst du denn Plesk nicht updaten?

    Es wäre natürlich denkbar, dass diese Update-Funktionalität durch einen Virus lahmgelegt ist. Aber ich vermute, dann wüßten hier einige davon, da so etwas dann nicht nur einen trifft und auch in der Presse landet.


    Stell doch mal die Kopfzeilen einiger Mails hier rein, dann können wir schnell feststellen, von wo die Mails kamen.


    Gegen Rootkits gibt es für Linux das Tool "Rootkit Hunter", das scannt das System recht gut.

  8. #8
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    sa-update liegt nicht in /etc/init.d/ sondern (ich glaube) in /usr/bin, zumindest aber im normalen Suchpfad... sollte also von egal wo aus funktionieren.

    Nachtrag zu oben:
    Nach PN-Austausch Relaytests und Portscan durchgeführt: Kein Relay, keine auffälligen Ports auf die Schnelle. Server in keiner einschlägigen Blacklist geführt.

    Daher meine Vermutung: SA-Regeln veraltet.
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  9. #9
    Neues Mitglied
    Registriert seit
    27.01.2009
    Beiträge
    10

    Standard

    Hier mal eine gerade angekommene SPAM-Mail, die nicht gefiltert wurde.
    Dort seht ihr auch die SA Angaben. Sehr seltsam irgendwie, ein negativer Score?

    Microsoft Mail Internet Headers Version 2.0
    Received: from srv ([192.168.201.4]) by meinedomain.de with Microsoft SMTPSVC(6.0.3790.3959);
    Tue, 27 Jan 2009 22:33:10 +0100
    Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Delivered-To: [Link nur für registrierte Mitglieder sichtbar. ]
    Received: (qmail 15413 invoked by uid 110); 27 Jan 2009 22:32:55 +0100
    Delivered-To: [Link nur für registrierte Mitglieder sichtbar. ]
    Received: (qmail 15409 invoked from network); 27 Jan 2009 22:32:54 +0100
    Received: from 77-253-15-39.adsl.inetia.pl (77.253.15.39)
    by meinedomain.de with SMTP; 27 Jan 2009 22:32:54 +0100
    Return-path: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Received: from [77.253.15.39] (port=39847 helo=77-253-15-39.adsl.inetia.pl)
    by mail.meinedomain.de with esmtp
    id 272034-acd45f-45
    for [Link nur für registrierte Mitglieder sichtbar. ]; Tue, 27 Jan 2009 22:32:53 +0100
    Message-ID: < [Link nur für registrierte Mitglieder sichtbar. ]>
    Date: Tue, 27 Jan 2009 22:32:53 +0100
    From: "Myron" < [Link nur für registrierte Mitglieder sichtbar. ]>
    User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)
    MIME-Version: 1.0
    To: "Randall" < [Link nur für registrierte Mitglieder sichtbar. ]>
    Subject: Yahoo! Games
    Content-Type: text/html; charset=ISO-8859-1
    Content-Transfer-Encoding: 7bit
    X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on
    meinedomain.de
    X-Spam-Level:
    X-Spam-Status: No, score=-1.7 required=3.0 tests=ALL_TRUSTED,HTML_MESSAGE,
    MIME_HTML_ONLY autolearn=ham version=3.0.3
    X-OriginalArrivalTime: 27 Jan 2009 21:33:10.0832 (UTC) FILETIME=[DA222300:01C980C6]

  10. #10
    Neues Mitglied
    Registriert seit
    27.01.2009
    Beiträge
    10

    Standard

    Zitat Zitat von alariel Beitrag anzeigen
    sa-update liegt nicht in /etc/init.d/ sondern (ich glaube) in /usr/bin, zumindest aber im normalen Suchpfad... sollte also von egal wo aus funktionieren.

    Nachtrag zu oben:
    Nach PN-Austausch Relaytests und Portscan durchgeführt: Kein Relay, keine auffälligen Ports auf die Schnelle. Server in keiner einschlägigen Blacklist geführt.

    Daher meine Vermutung: SA-Regeln veraltet.
    sa-update liegt nicht in /usr/bin und auch nicht im normalen Suchpfad, kann es nicht ausführen

Seite 1 von 3 123 LetzteLetzte

Ähnliche Themen

  1. Viel Spam heute
    Von swissmerlin im Forum 1.2 international
    Antworten: 3
    Letzter Beitrag: 13.03.2008, 14:45
  2. Viel mehr Spam
    Von M_Schmidt im Forum 1.2 international
    Antworten: 22
    Letzter Beitrag: 16.10.2006, 21:25
  3. Seltsam...
    Von Sharon im Forum 4.1 Vorbeuge gegen Spam
    Antworten: 7
    Letzter Beitrag: 28.08.2006, 09:48
  4. Tiscali.cz überlastet? Zu viel Spam?
    Von Investi im Forum 1.3 419 (Nigerian Fraud Letters)
    Antworten: 0
    Letzter Beitrag: 02.10.2004, 10:14

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen