Dovecot SASL / LDAP SPAMANGRIFF

Christian Boltz dovecot-jpb at cboltz.de
Fr Dez 9 22:43:54 CET 2016


Hallo Günther, hallo zusammen,

Am Freitag, 9. Dezember 2016 schrieb Günther J. Niederwimmer:

> Was ich an dem ganzen wirklich nicht verstehe ist woher die SASL
> Authentifizierung für admin at example.com kommt ??
> 
> Ich habe keinen admin angelegt jedenfalls nicht bewusst ?
> 
> Gibt es da einen Befehl mit dem man alle User auslesen kann..

Mangels LDAP-Kenntnissen halte ich mich zurück, aber das übliche 
"postmap -q" sollte theoretisch helfen, um die Existenz eines 
admin at example.com zu testen.

> Wie viele Kilo willst Du ;-), aber das sind die letzten 3 Sekunden.
> Domain geändert.
> 
> Jetzt bringt postfix wenigstens ein NOQUEUE was vorher auch fehlte ??

Und damit ist das Log fürs Debugging leider halbwegs witzlos. 

Ich freue mich ja, dass Du den Spam jetzt (wenn auch über einen 
Workaround) blockierst - aber um das Ganze zu debuggen, wäre ein 
Logauszug einer erfolgreichen Spam-Einlieferung ganz praktisch.


Immerhin ein interessantes Detail gibt es:

> Dec  9 20:58:53 smtp postfix/submission/smtpd[14116]: NOQUEUE: 

Der Spammer kommt also wohl über den submission-Port.


> Ein User schickt immer noch Spam, den habe ich jetzt auch geblockt ?
> 
> Was ich an diesen Mails nicht verstehe, die kommen gar nicht ganz ins
> System sonder wollen gleich SPAM weiterschicken 4-6 Adressen ??

Wie gesagt: Zeig mal das Log einer erfolgreichen Spam-Ein- und 
Auslieferung.

Jedenfalls: der Spammer schafft es wohl irgendwie[tm] [1], sich per SMTP 
Auth einzuloggen, und liefert dann Mails mit mehreren Empfängern (RCPT 
TO:) ein. 
_Natürlich_ _nicht_ an eine Deiner Adressen (nur nach "extern"), sonst 
würdest Du ja zu schnell mitbekommen, dass da jemand Spam verschickt ;-)


Gruß

Christian Boltz

[1] Der Klassiker sind "entfleuchte" Passwörter (Windows-Viren sind da 
    immer ganz hilfsbereit), die dann eben sinnvoll ;-) benutzt werden.
    Interessanterweise übertreiben es die Spammer (zumindest nach meiner 
    Erfahrung) nicht, damit sie das entfleuchte Passwort über einen 
    längeren Zeitraum nutzen können.

-- 
Bash ist zwar nur trocken Brot und Wasser,
aber Tcl ist Nutella mit Maggi ;)
[Christian Perle in d.c.o.u.l.m]



Mehr Informationen über die Mailingliste Dovecot