Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator 16568 am 28.05.2014 um 20:49:37 Uhr
Posting pseudonymisiert...

gelöst Postfix Spam-Benutzer erkennen

Mitglied: iceget

iceget (Level 2) - Jetzt verbinden

26.05.2014, aktualisiert 28.05.2014, 2589 Aufrufe, 9 Kommentare

Hallo liebe Community,

ich habe das Problem das aktuell irgend ein Benutzer (das kommt alle 3-4 Wochen mal vor) im System vom Server direkt rausspamt.
Also Servername = mail.domain.com, und raussenden tut dieser mit z.B. Kundenservice@mail.domain.com. Wenn ich mir das Logfile
anschaue, sehe ich dann den Benutzer der darüberhinaus versendet.

Nun die Frage:
Wie kann ich das "ausfiltern" bzw. einstellen das wenn ein User rausspammt das ich das irgendwie mitprotokoliere?

Meine main.cf:
01.
# See /usr/share/postfix/main.cf.dist for a commented, more complete version 
02.
 
03.
 
04.
# Debian specific:  Specifying a file name will cause the first 
05.
# line of that file to be used as the name.  The Debian default 
06.
# is /etc/mailname. 
07.
#myorigin = /etc/mailname 
08.
 
09.
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
10.
biff = no 
11.
 
12.
# appending .domain is the MUA's job. 
13.
append_dot_mydomain = no 
14.
 
15.
# Uncomment the next line to generate "delayed mail" warnings 
16.
#delay_warning_time = 4h 
17.
 
18.
readme_directory = /usr/share/doc/postfix 
19.
 
20.
# TLS parameters 
21.
smtpd_tls_cert_file = /etc/postfix/smtpd.cert 
22.
smtpd_tls_key_file = /etc/postfix/smtpd.key 
23.
smtpd_use_tls = yes 
24.
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
25.
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
26.
 
27.
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for 
28.
# information on enabling SSL in the smtp client. 
29.
 
30.
myhostname = mail.domain.tld 
31.
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases 
32.
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases 
33.
myorigin = /etc/mailname 
34.
mydestination = mail.domain.tld, localhost, localhost.localdomain 
35.
relayhost =  
36.
mynetworks = 127.0.0.0/8 [::1]/128 
37.
mailbox_command = procmail -a "$EXTENSION" 
38.
mailbox_size_limit = 0 
39.
recipient_delimiter = + 
40.
inet_interfaces = all 
41.
html_directory = /usr/share/doc/postfix/html 
42.
virtual_alias_domains =  
43.
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf, hash:/var/lib/mailman/data/virtual-mailman 
44.
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf 
45.
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf 
46.
virtual_mailbox_base = /var/vmail 
47.
virtual_uid_maps = static:5000 
48.
virtual_gid_maps = static:5000 
49.
inet_protocols = all 
50.
smtpd_sasl_auth_enable = yes 
51.
broken_sasl_auth_clients = yes 
52.
smtpd_sasl_authenticated_header = yes 
53.
smtpd_recipient_restrictions = check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination 
54.
smtpd_tls_security_level = may 
55.
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf 
56.
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf 
57.
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf 
58.
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks 
59.
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf 
60.
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf 
61.
smtpd_client_message_rate_limit = 100 
62.
maildrop_destination_concurrency_limit = 1 
63.
maildrop_destination_recipient_limit = 1 
64.
virtual_transport = dovecot 
65.
header_checks = regexp:/etc/postfix/header_checks 
66.
mime_header_checks = regexp:/etc/postfix/mime_header_checks 
67.
nested_header_checks = regexp:/etc/postfix/nested_header_checks 
68.
body_checks = regexp:/etc/postfix/body_checks 
69.
owner_request_special = no 
70.
dovecot_destination_recipient_limit = 1 
71.
smtpd_sasl_type = dovecot 
72.
smtpd_sasl_path = private/auth 
73.
content_filter = amavis:[127.0.0.1]:10024 
74.
receive_override_options = no_address_mappings 
75.
message_size_limit = 0 
76.
smtp_tls_security_level = may
Kann ich das auch irgendwie filtern wenn innerhalb von 15 Minuten der selbe User mehr wie 200 Mails verschickt, das ich benachrichtig werden bzw. dies in ein Log geschrieben wird?

Vielen Dank

lg Iceget
Mitglied: Lochkartenstanzer
26.05.2014 um 14:51 Uhr
Moin,

pack mal bitte die Config in Code-tags, damit man die besser lesen kann.

lks
Bitte warten ..
Mitglied: 16568
28.05.2014 um 20:52 Uhr
Da es ja nich jeder wissen muß, wie Dein System heißt, war ich so frei und habe pseudonymisiert.

Also, Deine Google Keywords lauten: postfix throttling


Lonesome Walker
Bitte warten ..
Mitglied: iceget
03.06.2014, aktualisiert um 11:52 Uhr
Hallo Lonesome Walker,

Danke dafür!

Leider habe ich trotzdem ein anderes Problem. Habe mir nun in den letzten Stunden die Logs angesehen;
mein Problem sieht eher so aus:

Ein Outlookclient der sich Maleware eingefangen hat, spamt im Hintergrund hinaus (jedoch NICHT mit der ursprünglichen E-Mail).

Also z.B. der Servername selbst lautet: mail.serverdomain.com. Der autorisierte Benutzer von Postfix lautet z.B. user1@domainxyz.com.
Wenn ich mir nun das Maillog ansehe und ich mit postcat die "Spam"-E-Mail aufmache sehe ich das von Sparkasse@serverdomain.com rausgeschickt wird,
jedoch aber via authenticated user user1@domainxyz.com.

Also spamt eigentlich ein autorisierter Benutzer über das System raus, nur mit einer anderen Absenderadresse.

Wie kann ich das unterbinden?

Danke und lg

Zitat von 16568:

Da es ja nich jeder wissen muß, wie Dein System heißt, war ich so frei und habe pseudonymisiert.

Also, Deine Google Keywords lauten: postfix throttling


Lonesome Walker
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2014 um 11:59 Uhr
Zitat von iceget:

Also z.B. der Servername selbst lautet: mail.serverdomain.com. Der autorisierte Benutzer von Postfix lautet z.B.
user1@domainxyz.com.
...
Also spamt eigentlich ein autorisierter Benutzer über das System raus, nur mit einer anderen Absenderadresse.

Wie kann ich das unterbinden?

Das naheliegendste:

Sperre diesen user, bis seien Kiste wieder sauber ist.

lks
Bitte warten ..
Mitglied: iceget
03.06.2014 um 12:14 Uhr
Hi,

schon klar. Wurde schon gemacht.

Mir geht's nur um das dies in Zukunft zu verhindern bzw. das ich informiert werde wenn wieder mal ein Client spammt...

Hast Du da eine Idee?

Danke und lg

Zitat von Lochkartenstanzer:

> Zitat von iceget:
>
> Also z.B. der Servername selbst lautet: mail.serverdomain.com. Der autorisierte Benutzer von Postfix lautet z.B.
> user1@domainxyz.com.
> ...
> Also spamt eigentlich ein autorisierter Benutzer über das System raus, nur mit einer anderen Absenderadresse.
>
> Wie kann ich das unterbinden?

Das naheliegendste:

Sperre diesen user, bis seien Kiste wieder sauber ist.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2014 um 13:56 Uhr
Zitat von iceget:

Mir geht's nur um das dies in Zukunft zu verhindern bzw. das ich informiert werde wenn wieder mal ein Client spammt...

Hast Du da eine Idee?

Akzeptiere von den Clients nur Mails mit Eurer Domain als Absender.

lks
Bitte warten ..
Mitglied: heysa27
03.07.2014 um 20:56 Uhr
Hallo zusammen,

ich habe ein ähnliches Problem. Bei mir wurde das PW eines Mailbox Accounts gehackt und in Folge trudelten eine unheimliche Menge Mail in der mail queue für den versand ein. Der FROM Header enthält grundsätzlich die eigene Domain und lediglich einen wild zusammen gesetzten varierenden User Anteil in der Adresse.

Ich suche auch nach einem Weg auf statistischem Wege einen Mailbox Account zu identifizieren, wenn der mehr als sagen wir 100 Mails pro Stunde oder vielleicht mehr als 50 in 15 Minuten.

Bei den Usern vernünftige PWs durchzusetzen ist natürlich Maßnahme Nummer Eins ^^ Leider kann ich die Kandidaten mit den schlechten PWs nicht auf Anhieb erkennen, da PWs in der DB ja verschlüsselt. Ich plane im Webmailer ein kleinen Hook nach dem Login, da habe ich das PW flüchtig und kann mal gleich ne Anschnauz Mail versenden, wenn PW schlecht. Aber die lokalen Mail Clients bekomme ich damit nicht erreicht.

Viele Grüße, Björn
Bitte warten ..
Mitglied: heysa27
03.07.2014 um 20:59 Uhr
sry ;) postfix + saslauth ..... und was ich auch noch nicht identifiziert bekam ist, wieviel Mails durch eine einzige sasl auth versendet wurde.
Bitte warten ..
Mitglied: iceget
13.11.2014 um 13:28 Uhr
So, habe die Konfiguration von Postfix so upgedated das rein nur mehr der Benutzer Mails rausschicken darf. Läuft seit dem ohne Probleme.
Bitte warten ..
Ähnliche Inhalte
Linux

Postfix Prüfungen für SPAM Abwehr

gelöst Frage von robotto86Linux10 Kommentare

Hallo Leute, ich habe mir gerade einen zweiten Postfix als Relay in der DMZ aufgebaut. Dieser mit wie der ...

Debian

Postfix prüft IPs alle MTA User auf SPAM

gelöst Frage von tylerdurden21Debian9 Kommentare

Hallo Zusammen, ich habe folgendes Problem: Es existeirt ein Exchange, welcher in einem Firmennetzwerk steht. Im Exchange ist das ...

Erkennung und -Abwehr

SPAM von uns oder nicht?

Frage von dafdagErkennung und -Abwehr3 Kommentare

Hallo zusammen, ich werde noch wahnsinnig. Mittlerweile bin ich schon so verunsichert, dass ich nichts mehr verstehe. Ich hoffe ...

Festplatten, SSD, Raid

Wie erkenne ich ein RAID?

gelöst Frage von Hendrik2586Festplatten, SSD, Raid8 Kommentare

Guten Morgen an alle. :) Kurze Frage zum Thema Raid. Unser Server hat insgesamt 12 Platten á 450 GB. ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 7 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 9 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 9 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser13 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...