qmail - Spammer benutzen meinen MTA!

@ s-tlk
Dem muß ich (leider) zustimmen. Man muß nicht von Anfang an Freak sein und einiges erlernt man erst im laufenden Betrieb. Aber wenn man die eigene Kiste schon als Spamschleuder identifiziert hat, ist Abschalten/Dichtmachen IMHO oberstes Gebot.
 
Hm ... ich melde mich mal zu Wort, obwohl ich von der Problematik nicht betroffen bin (Ich verwende FreeBSD nur Zuhause).

Trotzdem war das hier für mich sehr sehr interessant, weil ich was gelernt habe. Und irgendwann - wenn ich genügend gelernt habe - dann getraue ich mich auch mal den Apache mittels DYNDNS ans Netz zu hängen.
 
d-ra schrieb:
Trotzdem war das hier für mich sehr sehr interessant, weil ich was gelernt habe. Und irgendwann - wenn ich genügend gelernt habe - dann getraue ich mich auch mal den Apache mittels DYNDNS ans Netz zu hängen.
Zum Vergrößern anklicken....
Erhm ... *hüstel* ... wir sprechen hier aber von einem Mailserver (MTA), nicht von einem Webserver. :p

Aber ok, Du dürftest gelernt haben, dass man bei CGI-Skripten mitunter etwas vorsichtig sein muß.
 
*reusper* KLARO !!! Aber es geht mir ja prinzipiell darum wie man eine Kiste an der überhaupt irgendein Dienst über das Internet zu erreichen ist sicher bekommt.
In diesem Sinne war das hier echt sehr lehreich - besser wie jedes HOWTO. Ist sich sozusagen ein "Live Krimi" :rolleyes:
DANKE Euch !!:o

P.S.: Und wie man sich eindeutig ausdrückt sollte ich auch mal überlegen!! :eek:
 
Hallo Leute,

zur Erklärung: Das Spammen via Webform ist weitverbreitet, weil Spammer inzwischen sehr häufig blacklisted sind und ihren Dreck nicht mehr loswerden.

Statt des Namens werden in den Mailforms haufenweise Zeilenumbrüche und BCCs in das Formularfeld eingetragen und doofe Skripte verschicken dann munter Mails. Echte Chefprogrammierer überprüfen natürlich die Eingaben des Felds vor der Verarbeitung und filtern Umbrüche raus oder limitieren die Länge des Eintrags auf wenige Zeichen.

Was ich so umständlich formuliere, steht hier:
http://www.anders.com/projects/sysadmin/formPostHijacking/

hth, ww
 
also ich finde, tschan sollte sich jetzt persoenlich drum kuemmern und versuchen, die adresse aus allen blacklists wieder rauszukriegen. :>

lt. openrbl.org sind das allerdings nur 2: eine sog. psbl: "PSBL - Passive Spam Block List, self-nominating blocklist, easy removal" und spamcop.

http://psbl.surriel.com/listing?ip=213.239.204.19
http://www.spamcop.net/bl.shtml?213.239.204.19

edit: was noch nuetzlich ist lt. spamcop: "DNS error: 213.239.204.19 is sv01.actiweb.de but sv01.actiweb.de has no DNS information"

die adresse zeigt auf sv01, aber sv01 ist ein CNAME auf www. richtig waere www als CNAME auf sv01 und adresse auf sv01 bzw. aequivalent fuer www. auf jeden fall sollte der PTR auf einen A zeigen.

edit2: was mir jetzt im nachhinein erst auffaellt: wenn man von aussen was relayen will, antwortet er mit "553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)" nach dem RCPT TO:. heisst das jetzt, dass ich an erlaubte domains schon was schicken duerfte, d.h. die zugriffskontrolle nach zieldomains ausgerichtet ist? denn normalerweise braucht der diesen check gar nicht erst machen, weil er an der quell-adresse schon erkennen sollte, dass ich nichts relayen darf bzw. die meldung sollte relay access denied heissen oder aehnlich.

oder ist das nur ne eigenart von qmail? wieso kann nicht jeder postfix nehmen? :>
 
Zuletzt bearbeitet:
Code: 
213.239.204.19 listed in bl.spamcop.net (127.0.0.2)
[ ... ]
System administrator has already delisted this system once
Auch nicht schön. Wenn man mal ehrlich ist, wird man zugeben müssen, dass der ganze Server inkl. Konzept einem grundlegenden Redesign unterzogen werden muß. Hier scheint die Konfiguration nicht wirklich verstanden worden zu sein, was früher oder später immer wieder zu Problemen führt. Vor allem, da der Server ja offensichtlich ein (DAS?) Standbein eines (kleinen?) Unternehmens zu sein scheint.
 
Der Autor des Threads hat ja dargelegt, daß ein highjacked Mailformular den Dreck verschickt hat und das Problem mit dem MTA eigentlich nichts zu tun hat (normalerweise erlaubt der MTA ja das Verschicken von 127.0.0.1).

Die Moral von der Geschicht´ ist eher, daß man die kleinen Perl-/PHP-Scripts von Otto-Normal-DAU mit Vorsicht geniessen muß. Außerdem ist es eine imho gute Idee, einen dedizierten Mailserver zu betreiben, damit man noch senden kann, wenn ein Webserver blacklisted ist.

Meint: ww
 
Was ww meint, kann ich im Prinzip unterstützen. Ich persönlich würde es meinen Mailservern jedoch nicht gestatten, weiter Dreck in die Welt zu blasen, nachdem ich ihn bereits als Spamschleuder identifiziert habe.
 
Das stimmt natürlich. Seine IP ist momentan nur noch auf psbl.surriel.com blacklisted gewesen, wovon ich sie eben entfernt habe. Mail sollte wieder funktionieren.

ww
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben