Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13
  1. #1
    Benutzer
    Registriert seit
    26.07.2013
    Beiträge
    51

    Ausrufezeichen Ständiger SPAMER, was kann man tun?

    Grüßt euch,

    ich habe aktuell einen Server, der ständig immer wieder auf das neue in die SPAM liste landet, ich weiß mittlerweile auch nicht mehr weiter, außer hier nach einer externen SPAM Liste zu fragen, die ausgehende E-Mails prüft.

    Hat jemand eine Idee, was man da Präventiv etwas tun könnte?

    VG
    Andreas

  2. #2
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.549
    Log-Dateien prüfen?
    Ist der schnellste und einfachste Weg. Akute Spammer springen normalerweise sofort ins Auge.

    "Ausgehende Spam-Listen" gibt's nicht. Sie können aber den SpamAssassin mit LiveConfig so einrichten, dass auch ausgehende E-Mails analysiert und ab einer bestimmten Punktzahl abgewiesen werden.
    Hierfür müssen Sie das Tool "lcsam" mit den Parametern "-a" (ausgehende Mails scannen) und "-A <Punktzahl>" (ablehnen ab bestimmter Punktzahl) starten - alle Details finden Sie in der man-Page zu lcsam.
    Auf systemd-basierten System führen Sie hierzu den Befehl "systemctl edit lcsam.service" aus und tragen dann folgende Zeilen in die Override-Datei ein:
    Code:
    [Service]
    ExecStart=
    ExecStart=/usr/lib/liveconfig/lcsam -g spamd -U postfix -a -A 6
    Danach lcsam neu starten (systemctl restart lcsam). Das macht aber alles nur Sinn, wenn ein Admin da auch ein Auge drauf hat.
    Der Versand ausgehender Mails kann subjektiv etwas langsamer werden, da die Mails noch während der SMTP-Verbindung gescannt werden - von einem Dauereinsatz rate ich also ab.

    Viele Grüße

    -Klaus Keppler

  3. #3
    Benutzer
    Registriert seit
    26.07.2013
    Beiträge
    51
    Vielen Dank Herr Keppler, die Log Dateien habe ich natürlich geprüft und den SPAMER auch gefunden. Aber leider passiert es so häufig in den letzten Tagen, dass ich nicht mehr runter komme von der Blackliste.

    Da ist der Vorschlag von ihnen schon eine gute Idee.

    VG
    Andreas

  4. #4
    Benutzer
    Registriert seit
    26.07.2013
    Beiträge
    51
    Guten Morgen Herr Keppler,

    ich bin schon wieder den ganzen Morgen damit beschäftigt, einen SPAMER zu finden. Bis auf IP Adressen sehe ich leider nichts in der Log und mein Techniker sagt mir immer wieder, dass es LC nicht gerade einfach macht.

    Da wir nun ständig das Problem haben und dazu noch auf kostenpflichtigen Blacklisten landen, muss eine Lösung her.

    Gibt es noch irgendwelche Möglichkeiten?

    z.B sehe ich in der Log:

    Feb 9 03:33:40 s1 postfix/smtp[14238]: connect to acemisair.com[45.91.93.62]:25: Connection refused
    Feb 9 03:33:40 s1 postfix/smtp[14238]: DD6498260C: to=<carolinecnwasbc@acemisair.com>, relay=none, delay=264917, delays=264917/0/0.02/0, dsn=4.4.1, status=deferred (connect to acemisair.com[45.91.93.62]:25: Connection refused)
    Feb 9 03:33:40 s1 postfix/smtp[14238]: connect to acemisair.com[45.91.93.62]:25: Connection refused
    Feb 9 03:33:40 s1 postfix/smtp[14238]: B5919481832: to=<rafaelyszraws@acemisair.com>, relay=none, delay=2223, delays=2223/0.01/0.02/0, dsn=4.4.1, status=deferred (connect to acemisair.com[45.91.93.62]:25: Connection refused)

    In der MailQ sehe ich nur:

    CAB63E5630 6529 Sun Feb 7 07:41:05 MAILER-DAEMON
    (connect to acemisair.com[45.91.93.62]:25: Connection refused)
    kucheneinrichtungqmrqnec@acemisair.com

    DB3D63FA639 6070 Sun Feb 7 03:18:15 MAILER-DAEMON
    (connect to mevestige.com[45.91.93.62]:25: Connection refused)
    georgmgcmnkk@mevestige.com

    DD6498260C 6409 Sat Feb 6 01:58:23 MAILER-DAEMON
    (connect to acemisair.com[45.91.93.62]:25: Connection refused)
    carolinecnwasbc@acemisair.com

    D29E048FC52 6323 Mon Feb 8 06:08:03 MAILER-DAEMON
    (connect to vaskitaba.com[45.91.93.62]:25: Connection refused)

    Beides bringt uns aber nicht weiter, weil ich keinen Bezug auf irgend einen Kunden sehe...

    Hilfe wäre herzlich willkommen, vor allem, wie man das Problem auch langfristig lässt, ich möchte nicht ständig Stunden über Stunden damit beschäftig sein, wie ein Hund auf Spurensuche gehen zu müssen, weil das System mir so gut wie keine Informationen gibt.

    VG
    Andreas

  5. #5
    Neuer Benutzer
    Registriert seit
    02.02.2021
    Ort
    Eisenhüttenstadt
    Beiträge
    10
    Hallo

    wir haben vor unsere Mailserver den Proxmox Mailgateway, dieser kontrolliert den ein- und ausgehenden Mailtraffic nach Spam, und blockt diesen automatisch, seither keiner Listing unserer MX Server mehr.

    https://www.proxmox.com/de/proxmox-mail-gateway

    Die Erkennungsrate ist sehr gut und die Last ist von den Webservern weg.

    Mit freundlichen Grüßen
    Martin Krüger
    Systemhaus EHST - Ihr IT Service in Eisenhüttenstadt
    Geschäftsinhaber: M. Krüger | Beeskower Str. 259e | D - 15890 Eisenhüttenstadt |
    Kontakt: ICQ# 117049978 | E-Mail: m.krueger@systemhaus-ehst.de

  6. #6
    Benutzer
    Registriert seit
    26.07.2013
    Beiträge
    51
    Hallo,

    danke für den Tipp, dass klingt nach einer gute Lösung.

    Viele Grüße
    Andreas

  7. #7
    LiveConfig-Team Avatar von kk
    Registriert seit
    10.12.2010
    Beiträge
    3.549
    Das behebt nicht die Ursache, sondern lindert nur die Symptome.
    Ursache ist schlicht ein Mißbrauch des Mailversands, i.d.R. durch veraltete Scripte oder ungepatchte Sicherheitslücken in Webanwendungen.
    Ein vorgeschaltetes Mail-Gateway löst das Problem der wachsenden Mailqueue nicht, und wird bei eingehenden Mails zwangsläufig zu Bounce-Problemen führen.

    Alle relevanten Informationen finden sich in /var/log/mail.log. Ich würde z.B. einfach mal mit "grep" nach dem ersten Auftreten der entsprechenden Message-ID suchen (grep B5919481832 /var/log/mail.log)

    Viele Grüße

    -Klaus Keppler

  8. #8
    Benutzer
    Registriert seit
    26.07.2013
    Beiträge
    51
    Besten Dank Herr Keppler, dass Problem ist, dass in den Logs eben nichts ist, außer

    Feb 9 02:56:37 s1 postfix/cleanup[7912]: B5919481832: message-id=<20210209015637.B5919481832@s1.configserv.de>

    Da lässt sich nur schwer ein Kunde ausfindig machen, deshalb ist die Idee von Martin Krüger zumindest eine Möglichkeit hier erst mal entgegen zu wirken.

    Viele Grüße
    Andreas

  9. #9
    Erfahrener Benutzer
    Registriert seit
    21.07.2012
    Beiträge
    163
    Mit dem Befehl

    Code:
    postcat -ehq QueueID
    sollte man den Verursacher (Sender/PHP-Mailer etc.) eigentlich schnell ausfindig machen.

    Alex

  10. #10
    Erfahrener Benutzer
    Registriert seit
    07.04.2011
    Beiträge
    789
    Zitat Zitat von isphttp.de Beitrag anzeigen
    Da lässt sich nur schwer ein Kunde ausfindig machen
    Entweder die Mail kommt via php mail(), dann steht die UID mit im Log:

    Code:
    Feb  9 12:34:22 venus postfix/pickup[32433]: 36BEA68B3DB: uid=1153 from=<web800>
    Hier kann man auch einen Sendmail-Wrapper verwenden, um die mail()-Aufrufe gezielt zu loggen.

    Oder die Mail wurde per SMTP auf localhost:25 eingeliefert - dann wird es in der Tat etwas komplizierter. Passiert aber denkbar selten - und von außen gibt es die SASL-Authentifizierung, um den Absender zu identifizieren.

Stichworte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •