Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator 16568 am 28.05.2014 um 20:49:37 Uhr
Posting pseudonymisiert...
GELÖST

Postfix Spam-Benutzer erkennen

Frage Linux

Mitglied: iceget

iceget (Level 2) - Jetzt verbinden

26.05.2014, aktualisiert 28.05.2014, 2370 Aufrufe, 9 Kommentare

Hallo liebe Community,

ich habe das Problem das aktuell irgend ein Benutzer (das kommt alle 3-4 Wochen mal vor) im System vom Server direkt rausspamt.
Also Servername = mail.domain.com, und raussenden tut dieser mit z.B. Kundenservice@mail.domain.com. Wenn ich mir das Logfile
anschaue, sehe ich dann den Benutzer der darüberhinaus versendet.

Nun die Frage:
Wie kann ich das "ausfiltern" bzw. einstellen das wenn ein User rausspammt das ich das irgendwie mitprotokoliere?

Meine main.cf:
01.
# See /usr/share/postfix/main.cf.dist for a commented, more complete version 
02.
 
03.
 
04.
# Debian specific:  Specifying a file name will cause the first 
05.
# line of that file to be used as the name.  The Debian default 
06.
# is /etc/mailname. 
07.
#myorigin = /etc/mailname 
08.
 
09.
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) 
10.
biff = no 
11.
 
12.
# appending .domain is the MUA's job. 
13.
append_dot_mydomain = no 
14.
 
15.
# Uncomment the next line to generate "delayed mail" warnings 
16.
#delay_warning_time = 4h 
17.
 
18.
readme_directory = /usr/share/doc/postfix 
19.
 
20.
# TLS parameters 
21.
smtpd_tls_cert_file = /etc/postfix/smtpd.cert 
22.
smtpd_tls_key_file = /etc/postfix/smtpd.key 
23.
smtpd_use_tls = yes 
24.
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache 
25.
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 
26.
 
27.
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for 
28.
# information on enabling SSL in the smtp client. 
29.
 
30.
myhostname = mail.domain.tld 
31.
alias_maps = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases 
32.
alias_database = hash:/etc/aliases, hash:/var/lib/mailman/data/aliases 
33.
myorigin = /etc/mailname 
34.
mydestination = mail.domain.tld, localhost, localhost.localdomain 
35.
relayhost =  
36.
mynetworks = 127.0.0.0/8 [::1]/128 
37.
mailbox_command = procmail -a "$EXTENSION" 
38.
mailbox_size_limit = 0 
39.
recipient_delimiter = + 
40.
inet_interfaces = all 
41.
html_directory = /usr/share/doc/postfix/html 
42.
virtual_alias_domains =  
43.
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql-virtual_forwardings.cf, proxy:mysql:/etc/postfix/mysql-virtual_email2email.cf, hash:/var/lib/mailman/data/virtual-mailman 
44.
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_domains.cf 
45.
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailboxes.cf 
46.
virtual_mailbox_base = /var/vmail 
47.
virtual_uid_maps = static:5000 
48.
virtual_gid_maps = static:5000 
49.
inet_protocols = all 
50.
smtpd_sasl_auth_enable = yes 
51.
broken_sasl_auth_clients = yes 
52.
smtpd_sasl_authenticated_header = yes 
53.
smtpd_recipient_restrictions = check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination 
54.
smtpd_tls_security_level = may 
55.
transport_maps = hash:/var/lib/mailman/data/transport-mailman, proxy:mysql:/etc/postfix/mysql-virtual_transports.cf 
56.
relay_domains = mysql:/etc/postfix/mysql-virtual_relaydomains.cf 
57.
relay_recipient_maps = mysql:/etc/postfix/mysql-virtual_relayrecipientmaps.cf 
58.
proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks 
59.
smtpd_sender_restrictions = check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf 
60.
smtpd_client_restrictions = check_client_access mysql:/etc/postfix/mysql-virtual_client.cf 
61.
smtpd_client_message_rate_limit = 100 
62.
maildrop_destination_concurrency_limit = 1 
63.
maildrop_destination_recipient_limit = 1 
64.
virtual_transport = dovecot 
65.
header_checks = regexp:/etc/postfix/header_checks 
66.
mime_header_checks = regexp:/etc/postfix/mime_header_checks 
67.
nested_header_checks = regexp:/etc/postfix/nested_header_checks 
68.
body_checks = regexp:/etc/postfix/body_checks 
69.
owner_request_special = no 
70.
dovecot_destination_recipient_limit = 1 
71.
smtpd_sasl_type = dovecot 
72.
smtpd_sasl_path = private/auth 
73.
content_filter = amavis:[127.0.0.1]:10024 
74.
receive_override_options = no_address_mappings 
75.
message_size_limit = 0 
76.
smtp_tls_security_level = may
Kann ich das auch irgendwie filtern wenn innerhalb von 15 Minuten der selbe User mehr wie 200 Mails verschickt, das ich benachrichtig werden bzw. dies in ein Log geschrieben wird?

Vielen Dank

lg Iceget
Mitglied: Lochkartenstanzer
26.05.2014 um 14:51 Uhr
Moin,

pack mal bitte die Config in Code-tags, damit man die besser lesen kann.

lks
Bitte warten ..
Mitglied: 16568
28.05.2014 um 20:52 Uhr
Da es ja nich jeder wissen muß, wie Dein System heißt, war ich so frei und habe pseudonymisiert.

Also, Deine Google Keywords lauten: postfix throttling


Lonesome Walker
Bitte warten ..
Mitglied: iceget
03.06.2014, aktualisiert um 11:52 Uhr
Hallo Lonesome Walker,

Danke dafür!

Leider habe ich trotzdem ein anderes Problem. Habe mir nun in den letzten Stunden die Logs angesehen;
mein Problem sieht eher so aus:

Ein Outlookclient der sich Maleware eingefangen hat, spamt im Hintergrund hinaus (jedoch NICHT mit der ursprünglichen E-Mail).

Also z.B. der Servername selbst lautet: mail.serverdomain.com. Der autorisierte Benutzer von Postfix lautet z.B. user1@domainxyz.com.
Wenn ich mir nun das Maillog ansehe und ich mit postcat die "Spam"-E-Mail aufmache sehe ich das von Sparkasse@serverdomain.com rausgeschickt wird,
jedoch aber via authenticated user user1@domainxyz.com.

Also spamt eigentlich ein autorisierter Benutzer über das System raus, nur mit einer anderen Absenderadresse.

Wie kann ich das unterbinden?

Danke und lg

Zitat von 16568:

Da es ja nich jeder wissen muß, wie Dein System heißt, war ich so frei und habe pseudonymisiert.

Also, Deine Google Keywords lauten: postfix throttling


Lonesome Walker
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2014 um 11:59 Uhr
Zitat von iceget:

Also z.B. der Servername selbst lautet: mail.serverdomain.com. Der autorisierte Benutzer von Postfix lautet z.B.
user1@domainxyz.com.
...
Also spamt eigentlich ein autorisierter Benutzer über das System raus, nur mit einer anderen Absenderadresse.

Wie kann ich das unterbinden?

Das naheliegendste:

Sperre diesen user, bis seien Kiste wieder sauber ist.

lks
Bitte warten ..
Mitglied: iceget
03.06.2014 um 12:14 Uhr
Hi,

schon klar. Wurde schon gemacht.

Mir geht's nur um das dies in Zukunft zu verhindern bzw. das ich informiert werde wenn wieder mal ein Client spammt...

Hast Du da eine Idee?

Danke und lg

Zitat von Lochkartenstanzer:

> Zitat von iceget:
>
> Also z.B. der Servername selbst lautet: mail.serverdomain.com. Der autorisierte Benutzer von Postfix lautet z.B.
> user1@domainxyz.com.
> ...
> Also spamt eigentlich ein autorisierter Benutzer über das System raus, nur mit einer anderen Absenderadresse.
>
> Wie kann ich das unterbinden?

Das naheliegendste:

Sperre diesen user, bis seien Kiste wieder sauber ist.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
03.06.2014 um 13:56 Uhr
Zitat von iceget:

Mir geht's nur um das dies in Zukunft zu verhindern bzw. das ich informiert werde wenn wieder mal ein Client spammt...

Hast Du da eine Idee?

Akzeptiere von den Clients nur Mails mit Eurer Domain als Absender.

lks
Bitte warten ..
Mitglied: heysa27
03.07.2014 um 20:56 Uhr
Hallo zusammen,

ich habe ein ähnliches Problem. Bei mir wurde das PW eines Mailbox Accounts gehackt und in Folge trudelten eine unheimliche Menge Mail in der mail queue für den versand ein. Der FROM Header enthält grundsätzlich die eigene Domain und lediglich einen wild zusammen gesetzten varierenden User Anteil in der Adresse.

Ich suche auch nach einem Weg auf statistischem Wege einen Mailbox Account zu identifizieren, wenn der mehr als sagen wir 100 Mails pro Stunde oder vielleicht mehr als 50 in 15 Minuten.

Bei den Usern vernünftige PWs durchzusetzen ist natürlich Maßnahme Nummer Eins ^^ Leider kann ich die Kandidaten mit den schlechten PWs nicht auf Anhieb erkennen, da PWs in der DB ja verschlüsselt. Ich plane im Webmailer ein kleinen Hook nach dem Login, da habe ich das PW flüchtig und kann mal gleich ne Anschnauz Mail versenden, wenn PW schlecht. Aber die lokalen Mail Clients bekomme ich damit nicht erreicht.

Viele Grüße, Björn
Bitte warten ..
Mitglied: heysa27
03.07.2014 um 20:59 Uhr
sry ;) postfix + saslauth ..... und was ich auch noch nicht identifiziert bekam ist, wieviel Mails durch eine einzige sasl auth versendet wurde.
Bitte warten ..
Mitglied: iceget
13.11.2014 um 13:28 Uhr
So, habe die Konfiguration von Postfix so upgedated das rein nur mehr der Benutzer Mails rausschicken darf. Läuft seit dem ohne Probleme.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Debian
gelöst Postfix prüft IPs alle MTA User auf SPAM (9)

Frage von tylerdurden21 zum Thema Debian ...

Windows Server
Windows Server 2012 R2 Benutzerkonto für Zugriff auf AD Benutzer (2)

Frage von JulianOhm zum Thema Windows Server ...

Windows Tools
Automatischer FTP-Upload ohne angemeldeten Benutzer (5)

Frage von SarekHL zum Thema Windows Tools ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...