Ständiger SPAMER, was kann man tun?

  • Grüßt euch,


    ich habe aktuell einen Server, der ständig immer wieder auf das neue in die SPAM liste landet, ich weiß mittlerweile auch nicht mehr weiter, außer hier nach einer externen SPAM Liste zu fragen, die ausgehende E-Mails prüft.


    Hat jemand eine Idee, was man da Präventiv etwas tun könnte?


    VG
    Andreas

  • Log-Dateien prüfen?
    Ist der schnellste und einfachste Weg. Akute Spammer springen normalerweise sofort ins Auge.


    "Ausgehende Spam-Listen" gibt's nicht. Sie können aber den SpamAssassin mit LiveConfig so einrichten, dass auch ausgehende E-Mails analysiert und ab einer bestimmten Punktzahl abgewiesen werden.
    Hierfür müssen Sie das Tool "lcsam" mit den Parametern "-a" (ausgehende Mails scannen) und "-A <Punktzahl>" (ablehnen ab bestimmter Punktzahl) starten - alle Details finden Sie in der man-Page zu lcsam.
    Auf systemd-basierten System führen Sie hierzu den Befehl "systemctl edit lcsam.service" aus und tragen dann folgende Zeilen in die Override-Datei ein:

    Code
    [Service]
    ExecStart=
    ExecStart=/usr/lib/liveconfig/lcsam -g spamd -U postfix -a -A 6


    Danach lcsam neu starten (systemctl restart lcsam). Das macht aber alles nur Sinn, wenn ein Admin da auch ein Auge drauf hat.
    Der Versand ausgehender Mails kann subjektiv etwas langsamer werden, da die Mails noch während der SMTP-Verbindung gescannt werden - von einem Dauereinsatz rate ich also ab.


    Viele Grüße


    -Klaus Keppler

  • Vielen Dank Herr Keppler, die Log Dateien habe ich natürlich geprüft und den SPAMER auch gefunden. Aber leider passiert es so häufig in den letzten Tagen, dass ich nicht mehr runter komme von der Blackliste.


    Da ist der Vorschlag von ihnen schon eine gute Idee.


    VG
    Andreas

  • Guten Morgen Herr Keppler,


    ich bin schon wieder den ganzen Morgen damit beschäftigt, einen SPAMER zu finden. Bis auf IP Adressen sehe ich leider nichts in der Log und mein Techniker sagt mir immer wieder, dass es LC nicht gerade einfach macht.


    Da wir nun ständig das Problem haben und dazu noch auf kostenpflichtigen Blacklisten landen, muss eine Lösung her.


    Gibt es noch irgendwelche Möglichkeiten?


    z.B sehe ich in der Log:


    Feb 9 03:33:40 s1 postfix/smtp[14238]: connect to acemisair.com[45.91.93.62]:25: Connection refused
    Feb 9 03:33:40 s1 postfix/smtp[14238]: DD6498260C: to=<carolinecnwasbc@acemisair.com>, relay=none, delay=264917, delays=264917/0/0.02/0, dsn=4.4.1, status=deferred (connect to acemisair.com[45.91.93.62]:25: Connection refused)
    Feb 9 03:33:40 s1 postfix/smtp[14238]: connect to acemisair.com[45.91.93.62]:25: Connection refused
    Feb 9 03:33:40 s1 postfix/smtp[14238]: B5919481832: to=<rafaelyszraws@acemisair.com>, relay=none, delay=2223, delays=2223/0.01/0.02/0, dsn=4.4.1, status=deferred (connect to acemisair.com[45.91.93.62]:25: Connection refused)


    In der MailQ sehe ich nur:


    CAB63E5630 6529 Sun Feb 7 07:41:05 MAILER-DAEMON
    (connect to acemisair.com[45.91.93.62]:25: Connection refused)
    kucheneinrichtungqmrqnec@acemisair.com


    DB3D63FA639 6070 Sun Feb 7 03:18:15 MAILER-DAEMON
    (connect to mevestige.com[45.91.93.62]:25: Connection refused)
    georgmgcmnkk@mevestige.com


    DD6498260C 6409 Sat Feb 6 01:58:23 MAILER-DAEMON
    (connect to acemisair.com[45.91.93.62]:25: Connection refused)
    carolinecnwasbc@acemisair.com


    D29E048FC52 6323 Mon Feb 8 06:08:03 MAILER-DAEMON
    (connect to vaskitaba.com[45.91.93.62]:25: Connection refused)


    Beides bringt uns aber nicht weiter, weil ich keinen Bezug auf irgend einen Kunden sehe...


    Hilfe wäre herzlich willkommen, vor allem, wie man das Problem auch langfristig lässt, ich möchte nicht ständig Stunden über Stunden damit beschäftig sein, wie ein Hund auf Spurensuche gehen zu müssen, weil das System mir so gut wie keine Informationen gibt.


    VG
    Andreas

  • Hallo


    wir haben vor unsere Mailserver den Proxmox Mailgateway, dieser kontrolliert den ein- und ausgehenden Mailtraffic nach Spam, und blockt diesen automatisch, seither keiner Listing unserer MX Server mehr.


    https://www.proxmox.com/de/proxmox-mail-gateway


    Die Erkennungsrate ist sehr gut und die Last ist von den Webservern weg.


    Mit freundlichen Grüßen
    Martin Krüger

  • Das behebt nicht die Ursache, sondern lindert nur die Symptome.
    Ursache ist schlicht ein Mißbrauch des Mailversands, i.d.R. durch veraltete Scripte oder ungepatchte Sicherheitslücken in Webanwendungen.
    Ein vorgeschaltetes Mail-Gateway löst das Problem der wachsenden Mailqueue nicht, und wird bei eingehenden Mails zwangsläufig zu Bounce-Problemen führen.


    Alle relevanten Informationen finden sich in /var/log/mail.log. Ich würde z.B. einfach mal mit "grep" nach dem ersten Auftreten der entsprechenden Message-ID suchen (grep B5919481832 /var/log/mail.log)


    Viele Grüße


    -Klaus Keppler

  • Da lässt sich nur schwer ein Kunde ausfindig machen


    Entweder die Mail kommt via php mail(), dann steht die UID mit im Log:


    Code
    Feb  9 12:34:22 venus postfix/pickup[32433]: 36BEA68B3DB: uid=1153 from=<web800>


    Hier kann man auch einen Sendmail-Wrapper verwenden, um die mail()-Aufrufe gezielt zu loggen.


    Oder die Mail wurde per SMTP auf localhost:25 eingeliefert - dann wird es in der Tat etwas komplizierter. Passiert aber denkbar selten - und von außen gibt es die SASL-Authentifizierung, um den Absender zu identifizieren.

  • Hallo


    klar ist ein vorgeschaltetes Mailgateway nicht die Lösung des Problems, aber es verhindert das anhaltene Blacklisting. In der Queue von Proxmox sieht man auch schneller woher die E-Mails kommen.


    Mit freundlichen Grüßen
    Martin Krüger

  • Hallo


    Jeder Kunde kann eine persönliches Black- & Whitelist erstellen und bekommt vom Mailgateway eine E-Mail, sollte eine E-Mail in der Quarantäne hängen.


    Zu dem werden alle angelegten E-Mailadressen im LiveConfig mit dem Mailgateways Syncronisiert.


    Bisher sind alle Kunden von uns sehr zufrieden.


    Mit freundlichen Grüßen
    Martin Krüger

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!