ich habe seit ein paar Wochen verstärkte SPAM-Probleme und wollte einmal bei euch um eine Einschätzung fragen:
Infrastruktur:
Client: MS Outlook 03, SPAM-Filter auf Hoch
Server: Debian-Webserver mit SPAM-Assassin, Punkte: 4
Grundsätzlich hatte ich seit eh und je relativ viel SPAM erhalten (300 pro Tag), aber der Outlook Filter hatte bis auf ein paar wenige Mails alles herausgefiltert in den Junkmail Ordner.
Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird und zwar seltsamerweise mit meinen Emailadressen (verwalt mit webmaster@ einige Domains) im Absender.
Dies sind keine Return EMails von unzustellbaren Nachrichten sondern einfach SPAM mit meinen eigenen Adressen im Absender.
Teilweise ist sogar SPAM mit einer EMailadresse als Absender, an die ich selbst keinen SPAM erhalte, also das einzige Postfach, das noch SPAM frei ist.
Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.
(das ist wohl suboptimal, schon klar). Ich mache alles nötige über Plesk.
Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
Mir ist schon klar, dass mich jeder als Abesender bei einem SPAM-Versand eintragen kann, aber es sind wie gesagt Adresse darunter, die nicht im Internet bekannt sind.
Noch zu den Inhalten der Mails, die nicht gefiltert werden:
Betreffs so Dinge wie "Email Handling Opinion Needed", "New products everyday at our chemists."...
webmaster@... ist ein sogenannter role account, ähnlich wie abuse@, postmaster@ etc.
Da kann der Spammer fast sicher davon ausgehen, dass die existieren.
Natürlich kann es sein, dass der Server gehackt wurde, aber wahrscheinlicher ist, dass der Spammer die Adresse geraten hat.
Lösungen:
1) Abwarten. Nach 2-3 Tagen ist die Welle meist vorrüber
2) Wenn es öfter passiert: Filtern, Mails unter deinem Absender, die von einem externen Server kommen, kannst du löschen.
Nun ist es so, dass ich seit Wochen sehr viel SPAM erhalte, der nicht mehr gefiltert wird (...)
Ich habe einen Linux v-Server mit SPAM SPAM-Assassin, allerdings administriere icht dort kaum etwas, kenne mich nicht so gut aus.
(...) Kann es sein, dass mein E-Mailserver gehackt wurde und deswegen die Absenderadressen nun "herausgefunden" wurden?
Aaalso...
1) Definiere "nicht gefiltert" -> Outlook filtert nicht, oder SA erkennt nicht?
bei a) müsste lediglich ein (weiterer) Filter auf Header gesetzt werden. Bei Thunderbird reicht es, ein Häkchen zu setzen bei "Junk-Kopfzeilen dieses externen Filters vertrauen: Spamassassin".
bei b) wäre dann der Spamreport interessant (den lasse ich bei meinem Exim mit in den Header packen), um zu sehen, welche Regeln überhaupt gegriffen haben.
2) Nunja. Jeder fängt mal an...
Wie authentifizierst Du denn den Versand?
3) Solange es nur bei Dir einschlägt, und nicht von Dir aus bei anderen, werden das geratene Adressen sein.
P.S.: Wann bzw. wie oft lässt Du denn sa-update laufen? Sollte theoretisch 1x täglich im crontab stehen...
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
Also das Ganze geht schon 4 Wochen, ich dachte auch, es würde nach ein paar Tagen aufhören
Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.
Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
Ich vermute, dass mein SA nicht mehr aktuell ist, liegt an einem Problem in Plesk, ich kann nicht mehr updaten.... (anderes Problem).
Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?
Übrigens: Bisher war ich mit dem Outlook Filter sehr zufrieden, nahezu nichts fälschlicherweise als SPAM erkannt, das is mir das wichtigste.
Mit nicht gefiltert meine ich: SA erkennt nichts UND Outlook filtert es nicht in den Junk Mail.
OK, das eine erklärt natürlich das andere. Für mich hört sich das im Moment so an, als sei SA entweder abgestürzt (dann liefert der MTA die Mail ungeprüft aus - sollte in den Logfiles stehen, á la
Code:
2011-11-11 11:11:1 1LRQbe-0001Hr-00 malware acl condition: spamd: unable to connect to UNIX socket /var/run/spamassassin/spam.sock (No such file or directory)
), oder aber Dein SA ist so veraltet, dass er nix mehr findet. Aber gar keine Markierung deutet eigentlich auf eine fehlende Funktionalität von SA hin.
Zitat von xray
Wie bekomme ich denn am einfachsten heraus, ob mein Mailserver selbst SPAM versendet?
So direkt? Gar nicht. Es sei denn, jemand beschwert sich. Aber Google mal nach "open relay test" oder "open relay check". z.B. bei whois:
[Link nur für registrierte Mitglieder sichtbar. ].
Damit schliesst Du zumindest aus, dass der Server schlicht als Relay genutzt wird.
Pauschal rejecte ich per iptables auch schonmal vieles, was aus mir besonders auffälligen Netzen auf Port 25 kommt und schalte ggf. nur einzelne MX frei, die Firmen gehören, wo ich Support brauche...
Zitat von xray
liegt an einem Problem in Plesk, ich kann nicht mehr updaten....
Mal nebenbei gefragt... kannst Du Dich neben Plesk auch normal auf dem Server anmelden? Also per ssh?
falls ja, sag' doch mal, was ggf folgende Befehle an Ausgabe bringen:
Code:
/etc/init.d/spamassassin status
ggf.: /etc/init.d/spamassassin start
und
sa-update
Ein ps -A sollte auch spamd zeigen, falls nicht: Wie oben Spamassassin starten...
Und mal einen Blick in die Logs werfen, da sollte sich dann einiges finden (könnte mail, mail.log, mail.err ... oder so ähnlich sein)
Zitat von xray
Wie kann ich denn in Outlook eine Regel erstellen, bei der auch berücksichtigt wird, ob die Mails von meinem Mailserver kommen?
Öh... Ganz ehrlich, keine Ahnung. Für Thunderbird würde ich das ein oder andere zu probieren haben, aber mit Outlook kenne ich mich einfach nicht aus
Gruß,
alariel
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
/etc/init.d/psa-spamassassin status >> "is running"
/etc/init.d/sa-update gibts nicht, liegt wohl an der "Pleskvariante" von SA oder?
Relay etc. sollte alles abgeschalten sein, hatte ich zumindest bei der Einrichtung nichts angefasst und im Log hab ich auch viele "relay locks".
Ich dachte eher an einen Rootkit/Bot, da ich so lange Plesk und damit Debian nicht upgedatet hab.
Was nehm ich denn als Virenscanner zum Testen?
Es wäre natürlich denkbar, dass diese Update-Funktionalität durch einen Virus lahmgelegt ist. Aber ich vermute, dann wüßten hier einige davon, da so etwas dann nicht nur einen trifft und auch in der Presse landet.
Stell doch mal die Kopfzeilen einiger Mails hier rein, dann können wir schnell feststellen, von wo die Mails kamen.
Gegen Rootkits gibt es für Linux das Tool "Rootkit Hunter", das scannt das System recht gut.
sa-update liegt nicht in /etc/init.d/ sondern (ich glaube) in /usr/bin, zumindest aber im normalen Suchpfad... sollte also von egal wo aus funktionieren.
Nachtrag zu oben:
Nach PN-Austausch Relaytests und Portscan durchgeführt: Kein Relay, keine auffälligen Ports auf die Schnelle. Server in keiner einschlägigen Blacklist geführt.
Daher meine Vermutung: SA-Regeln veraltet.
Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
Hier mal eine gerade angekommene SPAM-Mail, die nicht gefiltert wurde.
Dort seht ihr auch die SA Angaben. Sehr seltsam irgendwie, ein negativer Score?
Microsoft Mail Internet Headers Version 2.0
Received: from srv ([192.168.201.4]) by meinedomain.de with Microsoft SMTPSVC(6.0.3790.3959);
Tue, 27 Jan 2009 22:33:10 +0100
Return-Path: <
[Link nur für registrierte Mitglieder sichtbar. ]>
Delivered-To:
[Link nur für registrierte Mitglieder sichtbar. ]
Received: (qmail 15413 invoked by uid 110); 27 Jan 2009 22:32:55 +0100
Delivered-To:
[Link nur für registrierte Mitglieder sichtbar. ]
Received: (qmail 15409 invoked from network); 27 Jan 2009 22:32:54 +0100
Received: from 77-253-15-39.adsl.inetia.pl (77.253.15.39)
by meinedomain.de with SMTP; 27 Jan 2009 22:32:54 +0100
Return-path: <
[Link nur für registrierte Mitglieder sichtbar. ]>
Received: from [77.253.15.39] (port=39847 helo=77-253-15-39.adsl.inetia.pl)
by mail.meinedomain.de with esmtp
id 272034-acd45f-45
for
[Link nur für registrierte Mitglieder sichtbar. ]; Tue, 27 Jan 2009 22:32:53 +0100
Message-ID: <
[Link nur für registrierte Mitglieder sichtbar. ]>
Date: Tue, 27 Jan 2009 22:32:53 +0100
From: "Myron" <
[Link nur für registrierte Mitglieder sichtbar. ]>
User-Agent: Thunderbird 2.0.0.9 (Windows/20071031)
MIME-Version: 1.0
To: "Randall" <
[Link nur für registrierte Mitglieder sichtbar. ]>
Subject: Yahoo! Games
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on
meinedomain.de
X-Spam-Level:
X-Spam-Status: No, score=-1.7 required=3.0 tests=ALL_TRUSTED,HTML_MESSAGE,
MIME_HTML_ONLY autolearn=ham version=3.0.3
X-OriginalArrivalTime: 27 Jan 2009 21:33:10.0832 (UTC) FILETIME=[DA222300:01C980C6]
sa-update liegt nicht in /etc/init.d/ sondern (ich glaube) in /usr/bin, zumindest aber im normalen Suchpfad... sollte also von egal wo aus funktionieren.
Nachtrag zu oben:
Nach PN-Austausch Relaytests und Portscan durchgeführt: Kein Relay, keine auffälligen Ports auf die Schnelle. Server in keiner einschlägigen Blacklist geführt.
Daher meine Vermutung: SA-Regeln veraltet.
sa-update liegt nicht in /usr/bin und auch nicht im normalen Suchpfad, kann es nicht ausführen
Lesezeichen