bin ich ein Spam-relay?

evilyves · 4 Aug. 2005

hallo leute!
ich habe in meiner firma folgende problem: seit einigen tagen muss unser mailserver (CobaltCube3/ CobaltOS6.4 - RedHat) unterschiedlich grosse mengen an mails verarbeiten, die nix mit unserer firma zu tun haben. das fuehrt z.T. sogar zum zusammenbruch des systems. ich habe die vorgaenge mal beobachtet:
ein ps -aux zeigt mir mal nur einen sendmail prozess zu unbekannten domains, mal bis zu 6 verschiedenen. diese aendern sich auch staendig.
hier mal ein komplettes ps -aux:

Code:

[root mqueue]# ps -aux
USER       PID %CPU %MEM   VSZ  RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  1120   68 ?        S    Aug03   0:04 init
root         2  0.0  0.0     0    0 ?        SW   Aug03   0:07 [kflushd]
root         3  0.0  0.0     0    0 ?        SW   Aug03   0:04 [kupdate]
root         4  0.0  0.0     0    0 ?        SW   Aug03   0:00 [kpiod]
root         5  0.0  0.0     0    0 ?        SW   Aug03   0:06 [kswapd]
root         6  0.0  0.0     0    0 ?        SW<  Aug03   0:00 [mdrecoveryd]
root         7  0.0  0.0     0    0 ?        SW<  Aug03   0:00 [raid1d]
root         8  0.0  0.0     0    0 ?        SW<  Aug03   0:00 [raid1d]
root         9  0.0  0.0     0    0 ?        SW<  Aug03   0:00 [raid1d]
root        10  0.0  0.0     0    0 ?        SW<  Aug03   0:00 [raid1d]
root       159  0.1  0.1  1172  204 ?        S    Aug03   2:43 syslogd -m 0
root       168  0.0  0.0  1512    0 ?        SW   Aug03   0:00 [klogd]
root       210  0.0  0.5  2104  692 ?        S    Aug03   0:00 /usr/sausalito/sbin/cced
root       378  0.0  0.3  2472  432 ?        S    Aug03   0:00 slapd
root       382  0.0  0.4  2124  532 ?        S    Aug03   0:00 /usr/sausalito/sbin/cced
root       383  0.0  0.3  2472  432 ?        S    Aug03   0:00 slapd
root       386  0.0  0.3  2472  432 ?        S    Aug03   0:00 slapd
root       620  0.0  0.1  1156  148 ?        S    Aug03   0:00 crond
root       646  0.0  0.3  1672  468 ?        S    Aug03   0:00 /usr/sbin/snmpd -f
root       658  0.0  0.1  1136  200 ?        S    Aug03   0:00 inetd
root       673  0.0  1.3  1684 1676 ?        SL   Aug03   0:00 ntpd -A
root       723  0.0  0.1  1496  136 ?        S    Aug03   0:00 sh /usr/bin/safe_mysqld --datadir=/var/lib/mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid
root       730  0.0  0.0  1084   92 ?        S    Aug03   0:00 /sbin/lcdsleep
squid      756  0.0  0.0  3632  100 ?        S    Aug03   0:00 /home/squid2/bin/squid -D -f /etc/squid/squid.conf
squid      757  0.0  3.0  6192 3860 ?        S    Aug03   0:01 (squid) -D -f /etc/squid/squid.conf
mysql      793  0.0  0.2 11348  364 ?        S    Aug03   0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid --skip-locking
mysql      795  0.0  0.2 11348  364 ?        S    Aug03   0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid --skip-locking
mysql      796  0.0  0.2 11348  364 ?        S    Aug03   0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --pid-file=/var/lib/mysql/littleblue.tvtpost.de.pid --skip-locking
root       799  0.0  0.0  1080   76 ?        S    Aug03   0:00 /sbin/consoled /sbin/getty ttyS0 115200
root      5338  0.0  0.6  7536  816 ?        S    Aug03   0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
httpd     5340  0.0  0.6  7636  860 ?        S    Aug03   0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
httpd     5341  0.0  0.7  7636  984 ?        S    Aug03   0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
root      5478  0.0  1.2  7708 1604 ?        S    Aug03   0:00 /usr/sbin/httpd.admsrv -f /etc/admserv/conf/httpd.conf
httpd     6469  0.0  0.7  7628  980 ?        S    Aug03   0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
root      8308  0.0  0.1  1296  144 ?        S    Aug03   0:04 in.telnetd: 192.168.1.101
root      8309  0.0  0.1  1972  224 pts/2    S    Aug03   0:00 login -- admin
admin     8333  0.0  0.1  1544  188 pts/2    S    Aug03   0:00 -bash
httpd     8396  0.0  0.7  7608  964 ?        S    Aug03   0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
httpd     8397  0.0  0.7  7548  900 ?        S    Aug03   0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd.conf
root      8978  0.0  0.1  1940  208 pts/2    S    Aug03   0:00 su
root      8980  0.0  0.3  1548  504 pts/2    S    Aug03   0:01 bash
robert    1761  0.0  2.1  3712 2744 ?        S    11:16   0:04 imapd
root      3877  0.0  0.5  1296  648 ?        S    11:42   0:00 in.telnetd: 192.168.2.169
root      3878  0.0  0.7  1972  904 pts/3    S    11:42   0:00 login -- admin
admin     3881  0.0  0.6  1536  868 pts/3    S    11:42   0:00 -bash
root      3999  0.0  0.6  1940  860 pts/3    S    11:43   0:00 su
root      4001  0.0  0.6  1540  848 pts/3    S    11:43   0:00 bash
heiko     6105  0.0  0.9  2244 1264 ?        S    12:10   0:01 imapd
root     13433  0.0  0.5  1296  644 ?        S    13:46   0:00 in.telnetd: 192.168.1.124
root     13434  0.0  0.7  1972  904 pts/0    S    13:46   0:00 login -- admin
admin    13438  0.0  0.6  1540  876 pts/0    S    13:46   0:00 -bash
root     16554  0.0  0.6  1940  860 pts/0    S    14:26   0:00 su
root     16559  0.0  0.6  1548  848 pts/0    S    14:27   0:00 bash
httpd    20536  0.0  3.7 11512 4852 ?        S    15:38   0:03 /usr/sbin/httpd.admsrv -f /etc/admserv/conf/httpd.conf
markus   21392  0.0  0.9  2160 1184 ?        S    15:50   0:01 imapd
root     23726  0.0  0.7  2492  940 ?        S    16:30   0:01 sendmail: accepting connections
root      1317  0.0  1.0  2652 1396 ?        S    19:26   0:00 sendmail: server aopfqxcnne@abo-180-92-68.mrs.modulonet.fr [85.68.92.180] cmd read
root      1318  0.0  0.5  2340  708 pts/0    R    19:26   0:00 ps -aux

jetzt sehe ich mehrere moeglichkeiten, was passiert:

1. ich werde als spam-relay missbraucht.
dagegen spricht, dass ich in den mailserver-settings nur den versand von mails aus dem ip-bereich 192.168.0.0 erlaube.

2. ein rechner im firmennetzwerk ist mit irgendetwas infiziert und mailt sich 'nen wolf.
hier macht mich allerdings folgendes stutzig: ich habe alle PC's (ein paar Mac's und ein Linux sind auch da) nach viren gescannt und nix gefunden. auch die taskmanager zeigen nix auffaelliges. es laesst sich durch an- und ausschalten der rechner auch nicht feststellen, ob das spam-aufkommen faellt oder steigt. es scheint jedoch, dass wenn alle rechner an sind, die meisten spams verschickt werden.

3. wir werden von aussen mit spam bombardiert und unser server versucht zu antworten
leider kenne ich mich in der interpretation eines mail-headers nicht so aus, deswegen hier mal ein beispiel der im /home/spool/mqueue abgelegten und anscheinend noch nicht versendeten mails:

Code:

This is a MIME-encapsulated message

--j748amv28728.1123144608/littleblue.tvtpost.de

The original message was received at Thu, 4 Aug 2005 10:36:47 +0200
from fw-axxess.ycn.com [213.147.173.194]

   ----- The following addresses had permanent fatal errors -----
<on-line_dnepr@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<passion_dev@ukr.net>
    (reason: 550 <passion_dev@ukr.net>... mailbox exist, but not used)
<onan@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<passenger@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<patlan@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<onda@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<peenergo@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)
<patria@ukr.net>
    (reason: 550-http://www.ukr.net/umm.html (ip=213.148.143.242)

   ----- Transcript of session follows -----
... while talking to mxs.ukr.net.:
>>> RCPT To:<passion_dev@ukr.net>
<<< 550 <passion_dev@ukr.net>... mailbox exist, but not used
550 5.1.1 <passion_dev@ukr.net>... User unknown
>>> DATA
<<< 550-http://www.ukr.net/umm.html (ip=213.148.143.242
<<< 550 from=lubvi@podrugi.net.ua.tvtpost.de)
554 5.0.0 <patria@ukr.net>,<peenergo@ukr.net>,<onda@ukr.net>,<patlan@ukr.net>,<passenger@ukr.net>,<onan@ukr.net>,<on-line_dnepr@ukr.net>... Service unavailable

--j748amv28728.1123144608/littleblue.tvtpost.de
Content-Type: message/delivery-status

Reporting-MTA: dns; littleblue.tvtpost.de
Received-From-MTA: DNS; fw-axxess.ycn.com
Arrival-Date: Thu, 4 Aug 2005 10:36:47 +0200

Final-Recipient: RFC822; on-line_dnepr@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; passion_dev@ukr.net
Action: failed
Status: 5.1.1
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550 <passion_dev@ukr.net>... mailbox exist, but not used
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; onan@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; passenger@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; patlan@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; onda@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; peenergo@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

Final-Recipient: RFC822; patria@ukr.net
Action: failed
Status: 5.2.0
Remote-MTA: DNS; mxs.ukr.net
Diagnostic-Code: SMTP; 550-http://www.ukr.net/umm.html (ip=213.148.143.242
Last-Attempt-Date: Thu, 4 Aug 2005 10:36:48 +0200

--j748amv28728.1123144608/littleblue.tvtpost.de
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit

Return-Path: <lubvi@podrugi.net.ua.tvtpost.de>
Received: from devel (fw-axxess.ycn.com [213.147.173.194])
	by littleblue.tvtpost.de (8.10.2/8.10.2) with SMTP id j748akv28726;
	Thu, 4 Aug 2005 10:36:47 +0200
Message-ID: <003201c59932$dd73a3c6$5b5fdef4@vxbluef>
Reply-To: "=?windows-1251?B?WmF5ZGVtIG5hIE9nb25law==?=" <lubvi@podrugi.net.ua.tvtpost.de>
From: "=?windows-1251?B?WmF5ZGVtIG5hIE9nb25law==?=" <lubvi@podrugi.net.ua.tvtpost.de>
To: <on-line_dnepr@ukr.net>, <passion_dev@ukr.net>, <onan@ukr.net>,
   <passenger@ukr.net>, <patlan@ukr.net>, <onda@ukr.net>, <peenergo@ukr.net>,
   <patria@ukr.net>
Subject: =?windows-1251?B?0Pvt7uog8eH78uAhISEh?=
Date: Thu, 4 Aug 2005 10:34:33 +0200
Organization: =?windows-1251?B?Q29ycG9yYXRpb24=?=
MIME-Version: 1.0
Content-Type: text/plain;
	charset="windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081


>Óïàë îáúåì ïðîäàæ?
>Íà÷àëüíèê îòäåëà ïðîäàæ íå íàõîäèò ñåáå ìåñòà:)

>Ñêàæèòå åìó ÷òîáû îí çàêàçàë ðàññûëêó ïî ýë. ïî÷òå è Âàø òåëåôîí íå áóäåò ìîë÷àòü!

icq - 243353124
tel + (044) 490-37-51

--j748amv28728.1123144608/littleblue.tvtpost.de--

das ist ein typischer vertreter dieser mails. auffaellig scheint mir auch, dass

Code:

The original message was received at Thu, 4 Aug 2005 10:36:47 +0200
from fw-axxess.ycn.com [213.147.173.194]

sehr oft auftauchte, wenn auch nicht immer. bei vielen anderen tauchten auch ukrainische domains auf. einige wiederum waren nur die antworten der von uns anscheinend "bespammten" server.

alles in allem bin ich ziemlich ratlos, was hier vorsich geht. vieleicht kann einer von euch den mailhaeder interpretieren. ueber nacht lasse ich auch gerade mal einen open-relay-test ueber http://ordb.org/ laufen. mal sehen, was die morgen sagen.

vielen dank fuer eure hilfe im voraus 8o)

Linux_Beginner · 4 Aug. 2005

Hallo,

der letzte Eintrag in der oberen Liste:

root 1317 0.0 1.0 2652 1396 ? S 19:26 0:00 sendmail: server aopfqxcnne@abo-180-92-68.mrs.modulonet.fr [85.68.92.180] cmd read

würde mich stutzig machen.

Hast heißt Deine Domain abo-180-92-68.mrs...?

Die Liste, die Du unten gepostet hast, mit den Mail Headern sieht ganz so aus, als ob Du dran wärst, eine Domain names: ukr.net mit Mails zu versorgen, die Du von einem Mailserver mit der IP 213.147.173.194 bekommen hast.

Kill mal den Prozess mit der Nummer 1317 und schau, ob die Last dann zurückgeht.

Hoffe, ich habe nicht zu viel Unpassendes geschrieben.

Gruß

Michael

darkman67 · 4 Aug. 2005

Moin Moin

Alsoooo............. japp das sieht aus als wenn du oder besser dein Server getestet wird, ob er als Relay was taugt, schau mal auf dem folgenden Link, da kannst du testen lassen ob dein Server ein Open-Relay ist, das sollte dann schon mal weiterhelfen
http://ordb.org/
und der andere Link gibt dir ein paar Erklärungen zum Thema SMTP-Status Codes
http://www.webstop-webdesign.de/wissen/smtp-status.htm

Ich hoffe dir damit erstmal geholfen zu haben. Falls weitere Fragen sind ruhig ne Mail an mich, ich durfte auch schon mal erfahren, wie es ist, wenn man für andere Mails versendet

Bye Bye

evilyves · 4 Aug. 2005

erstmal fuer deine antwort. also wie gesagt, mit den headern kenne ich mich nicht aus. koennte sein, dass das stimmt, was du sagst.

was den "kill" angeht, so wird dass nix bringen, da jeder einzelne mailversand seinen eigenen prozess startet. kille ich den einen, startet gleich der naechste...

8o/[/quote]

evilyves · 4 Aug. 2005

darkman67 schrieb:
Moin Moin

Alsoooo............. japp das sieht aus als wenn du oder besser dein Server getestet wird, ob er als Relay was taugt,

ja aber so krass, dass die arme qube in die knie geht? und das 2 tage lang? und kann man sehen, woher? DAS ist meine groesste frage...

darkman67 schrieb:
schau mal auf dem folgenden Link, da kannst du testen lassen ob dein Server ein Open-Relay ist, das sollte dann schon mal weiterhelfen
http://ordb.org/

den hatte ich selber schon gepostet und das laeuft auch schon. trotzdem danke...

darkman67 schrieb:
und der andere Link gibt dir ein paar Erklärungen zum Thema SMTP-Status Codes
http://www.webstop-webdesign.de/wissen/smtp-status.htm

Ich hoffe dir damit erstmal geholfen zu haben. Falls weitere Fragen sind ruhig ne Mail an mich, ich durfte auch schon mal erfahren, wie es ist, wenn man für andere Mails versendet

Bye Bye

ok, den anderen link schaue ich mir mal an. aber jetzt ist erstmal feierabend. mal sehen, wie's morgen aussieht...

vielen dank nochmal 8o)

bin ich ein Spam-relay?

evilyves

Newbie

Linux_Beginner

Member

darkman67

Newbie

evilyves

Newbie

evilyves

Newbie