+- Sponsor-Board.de (https://www.sponsor-board.de)
+-- Forum: Community (/forumdisplay.php?fid=56)
+--- Forum: Hilfe (/forumdisplay.php?fid=102)
+---- Forum: Linux-Server (/forumdisplay.php?fid=105)
+---- Thema: Mailserver (Postfix) absichern (/showthread.php?tid=51177)
Mailserver (Postfix) absichern - caN1337 - 30.09.2014 06:32
Moin allerseits,
ich befürchte mein Server wird so langsam zu einer Spamschleuder. Bekomme seit gestern tolle Mails von meinem Server alà "<******@gmx.de>: host mx01.emig.gmx.net[213.165.67.115] said: 550
Requested action not taken: mailbox unavailable (in reply to RCPT TO
command)" obwohl ich an diese Adresse niemals eine Mail geschickt habe. Ich vermute mal ein offenes Relais. Aber da ich soviel Ahnung von Mailservern habe wie ein Stein, brauche ich von einem von euch Unterstützung.
Vielleicht findet sich ja jemand der mir über Teamviewer das Scheunentor schließt.
Ich habe erstmal den Service postfix beendet, damit keine Mails mehr raus gehen.
EDIT: Wie es aussieht nutzt der Spammer immer meine Mailadresse und nicht ü[email protected]
GGL wären meine Kompletten SB-Punkte (momentan 395 Pkt.) und ein dickes Dankeschön.
RE: Mailserver (Postfix) absichern - Kartoffelrudi - 30.09.2014 06:45
-
RE: Mailserver (Postfix) absichern - caN1337 - 30.09.2014 06:51
Kartoffelrudi schrieb:
Ich kann dir anbieten mir das mal anzuschauen, das könnte ich heute nach der Arbeit tun. (-> 16 Uhr)
Was ich genau machen würde :
- Installation von SpamAssassin
- Installation von Sieve
- Konfiguration von den beiden
- Restlicher Lückentest
Referenzen findest du in meinen Bewertungen meines Threads
Was ich genau machen würde :
- Installation von SpamAssassin
- Installation von Sieve
- Konfiguration von den beiden
- Restlicher Lückentest
Referenzen findest du in meinen Bewertungen meines Threads
Hört sich super an, willst du dich dann einfach gegen 16 Uhr bei mir melden? 
RE: Mailserver (Postfix) absichern - NevaKee - 30.09.2014 07:14
caN1337 schrieb:
Ich vermute mal ein offenes Relais.
Du meinst eher "open Relay".
Wenn Dein Mailserver die IP 37.120.161.96 hat, dann kann ich Dich beruhigen und er ist kein "open Relay".
[Link: Registrierung erforderlich]
Ich würde einfach mal in der Log Datei gucken, was so passiert.
/var/log/mail.info oder /var/log/mail.log
RE: Mailserver (Postfix) absichern - caN1337 - 30.09.2014 07:43
Hier mal ein kleiner Ausschnitt der mail.info:
Code:
Sep 29 16:30:03 xxx postfix/smtpd[29779]: connect from p4FEAA7xx.dip0.t-ipconnect.de[79.234.167.x]
Sep 29 16:30:03 xxx postfix/smtpd[29779]: 46499107A06: client=p4FEAAxx.dip0.t-ipconnect.de[79.234.167.x], sasl_method=LOGIN, sasl_username=xxx@xxxx
Sep 29 16:30:03 xxx postfix/cleanup[29929]: 46499107A06: message-id=<000867a7.0750cecc1e107c73@Ramov_one>
Sep 29 16:30:03 hilgenberg postfix/qmgr[3503]: 46499107A06: from=<xx@xxx>, size=60059, nrcpt=1 (queue active)
Sep 29 16:30:03 xxxx postfix/smtpd[29779]: disconnect from p4FEAAxx.dip0.t-ipconnect.de[79.234.167.xxx]
Sep 29 16:30:04 xxx postfix/smtp[29940]: 46499107A06: to=<[email protected]>, relay=mx-ha03.web.de[213.165.67.104]:25, delay=0.89, delays=0.56/0.01/0.05/0.27, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=0LjqQ5-1Y5So147R3-00bpSE)
Sep 29 16:30:04 xx postfix/qmgr[3503]: 46499107A06: removed
Sep 29 16:30:19 xxx postfix/smtpd[29779]: connect from unknown[191.233.38.115]
Sep 29 16:30:23 xxx postfix/smtpd[29779]: warning: unknown[191.233.38.115]: SASL LOGIN authentication failed: authentication failure
Sep 29 16:30:23 xxx postfix/smtpd[29779]: lost connection after AUTH from unknown[191.233.38.115]
Sep 29 16:30:23 xxx postfix/smtpd[29779]: disconnect from unknown[191.233.38.115]
Diese Mail habe ich nie verschickt, habe jetzt auch mal mein Mail Passwort geändert - obwohl es schon ziemlich sicher war..
Edit by Kevv:
Email Adresse sowie IP anonymisiert
RE: Mailserver (Postfix) absichern - NevaKee - 30.09.2014 09:09
Ist die Telekom IP-Adresse (79.234.167.xxx) Deine?
Wenn nicht, dann hat jemand mit Deinen Zugangsdaten die E-Mail verschickt.
RE: Mailserver (Postfix) absichern - caN1337 - 30.09.2014 09:13
NevaKee schrieb:
Ist die Telekom IP-Adresse (79.234.167.xxx) Deine?
Wenn nicht, dann hat jemand mit Deinen Zugangsdaten die E-Mail verschickt.
Wenn nicht, dann hat jemand mit Deinen Zugangsdaten die E-Mail verschickt.
Nein ist nicht meine, diese ändert sich auch ständig. Habe mein Kennwort für das Postfach geändert - ich prüfe mal ob es wieder vorkommt.