Mailserver doch ein open relay?

Hi,

ich habe ein Problem mit meinem Server.
Ich nutze meinen Server nur für meine Webpages und Mails.

Server FW Einstellung:
Von 1- 21 alles offen

iptables -A INPUT -p UDP --dport 22:24 -j DROP
iptables -A INPUT -p tcp --dport 22:24 -j DROP
iptables -A INPUT -p UDP --dport 25 -j DROP
iptables -A INPUT -p UDP --dport 26:79 -j DROP
iptables -A INPUT -p tcp --dport 26:79 -j DROP

Alles ab 80 ist offen.

Ein Test hat ergeben, dass ich kein open relay sein soll.

Status Result
OK - Ip resolves to name
OK - Reverse DNS matches SMTP Banner
OK - Supports TLS.
0 seconds - Good on Connection time
OK - Not an open relay.
1.061 seconds - Good on Transaction Time


250-servername
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN [140 ms]
MAIL FROM: <egal@egal.de>
250 2.1.0 Ok [156 ms]
RCPT TO: <test@example.com>
554 5.7.1 <test@example.com>: Relay access denied [140 ms]
QUIT
221 2.0.0 Bye [125 ms]

Es ist so eingestellt, dass der Server eine Anmeldung benötigt.
Aber wenn ich den Port 25 öffne, geht mein Traffic von so 1 -4 MB auf 2 -5GB pro Tag. Das Stinkt doch.
Wo kann ich nachschauen welche Mails raus gegangen sind (mail.log)?
Oder besser was da passiert. Gibt es ein Log, wo ich sehen kann, wie oft versucht wird zu Mailen oder was auch immer?
Auf dem Server ist Debian/GNU mit Confixx 3.xx Pro.

Danke

Lord Z schrieb:

Hi,

ich habe ein Problem mit meinem Server.
Ich nutze meinen Server nur für meine Webpages und Mails.

Server FW Einstellung:
Von 1- 21 alles offen
Alles ab 80 ist offen.

Zum Vergrößern anklicken....

:schockiert:

Willst du unbedingt deine Kontrolle über den Server abgeben? Oder wie kommst du auf so einen, Irrsinn alle Ports zu öffnen, ausgenommen der Ports für Mail.

Du weisst, dass du gerade mit beiden Beinen wegen fahrlässiger und nicht ordnungsgemäßer Umsetzung von Sicherheitsmaßnahmen für 5 Jahre im Knast stehst?

Du hast die ganze Welt zum spielen auf deinen Server eingeladen und sich ein Spambot eingenistet hat. Mal ganz nebenbei hast du garantiert keinerlei Kontroller mehr über den Server.


Tu dir und deiner Freiheit den Gefallen und gib den Server ganz schnell dem Provider wieder und bevor du nicht weisst, wie man einen Server abriegelt solltest du gar nicht mehr den Gedanken hegen: eigener Server am Netz, da kann ich einen mit reißen.

Hi,

anscheint versteht du die Iptabels nicht.
Dann möchte ich mal sehen, wie einer sowas einrichten will, wenn er keinen SSH usw. Zugang hat.
Denn wie du sehen kannst sind die Ports zu.
Wo kein Service hinter steht, da macht auch ein offener Port nichts.

Ich hatte gehofft, einen konstruktiven Beitrag zu erhalten und nicht solche.

Lord Z schrieb:

Hi,
anscheint versteht du die Iptabels nicht.
Dann möchte ich mal sehen, wie einer sowas einrichten will, wenn er keinen SSH usw. Zugang hat.
Denn wie du sehen kannst sind die Ports zu.
Wo kein Service hinter steht, da macht auch ein offener Port nichts.

Zum Vergrößern anklicken....

Sehr wohl verstehe ich verstehe IP-Tables. Du hast aber in deinem posting gesagt, dass die Ports 1-21 und ab Port 80 offen sind.

SSH arbeitet mit TCP, nicht mit UDP. Gleiches gilt auch für SMTP. D.h. für SSH und SMTP benötigst du keine UDP Regeln.

Die Strategie nur bestimmte Ports zu blocken und alles andere offen zu lassen ist grob fahrlässig. Die richtige Stragegie ist alles zu blocken und gezielt die Ports, die man öffnen will, zu öffnen.

Zu den logs: Sieh Dir mal die Dateien an, die Du mit ls /var/log/mail* findest.

Hi framp,

genau die Datei meine ich in meinem Post oben (mail.log).

/var/log/mail*

Da und in allen anderen Logs kann ich aber nichts auffälliges finden. Auch bei den Anmeldnungen sind keine Auffälligkeiten.
Ich überwache und logge alle Prozesse und auch da ist nichts, was ich nicht zugelassen habe.

Dort solltest Du was finden. Wenn nicht gibt es 2 Möglichkeiten:

1) Dein System wurde kompromitiert und dafür gesorgt dass dort nichts verdächtiges mehr gelogged wird
2) Irgendwas anderes (kein relay) erzeugt den zusätzlichen Traffic

Sollte 1 zutreffen hast Du schlechte Karten. Sollte 2 zutreffen könntest Du den Netzwerktraffic untersuchen (sender/receiver)

Ich habe keine Ahnung was auf Deinem System so alles läuft. Da fast alle Ports für den Globus offen sind besteht durchaus eine nicht zu vernachlässigende Wahrscheinlichkeit für 1. Deshalb würde ich das System neu aufsetzen und die FW Logic umdrehen und dann noch mal überwachen was beim enablen des Mailservers passiert.