Dovecot SASL / LDAP SPAMANGRIFF
Christian Boltz
dovecot-jpb at cboltz.de
Fr Dez 9 22:43:54 CET 2016
Hallo Günther, hallo zusammen,
Am Freitag, 9. Dezember 2016 schrieb Günther J. Niederwimmer:
> Was ich an dem ganzen wirklich nicht verstehe ist woher die SASL
> Authentifizierung für admin at example.com kommt ??
>
> Ich habe keinen admin angelegt jedenfalls nicht bewusst ?
>
> Gibt es da einen Befehl mit dem man alle User auslesen kann..
Mangels LDAP-Kenntnissen halte ich mich zurück, aber das übliche
"postmap -q" sollte theoretisch helfen, um die Existenz eines
admin at example.com zu testen.
> Wie viele Kilo willst Du ;-), aber das sind die letzten 3 Sekunden.
> Domain geändert.
>
> Jetzt bringt postfix wenigstens ein NOQUEUE was vorher auch fehlte ??
Und damit ist das Log fürs Debugging leider halbwegs witzlos.
Ich freue mich ja, dass Du den Spam jetzt (wenn auch über einen
Workaround) blockierst - aber um das Ganze zu debuggen, wäre ein
Logauszug einer erfolgreichen Spam-Einlieferung ganz praktisch.
Immerhin ein interessantes Detail gibt es:
> Dec 9 20:58:53 smtp postfix/submission/smtpd[14116]: NOQUEUE:
Der Spammer kommt also wohl über den submission-Port.
> Ein User schickt immer noch Spam, den habe ich jetzt auch geblockt ?
>
> Was ich an diesen Mails nicht verstehe, die kommen gar nicht ganz ins
> System sonder wollen gleich SPAM weiterschicken 4-6 Adressen ??
Wie gesagt: Zeig mal das Log einer erfolgreichen Spam-Ein- und
Auslieferung.
Jedenfalls: der Spammer schafft es wohl irgendwie[tm] [1], sich per SMTP
Auth einzuloggen, und liefert dann Mails mit mehreren Empfängern (RCPT
TO:) ein.
_Natürlich_ _nicht_ an eine Deiner Adressen (nur nach "extern"), sonst
würdest Du ja zu schnell mitbekommen, dass da jemand Spam verschickt ;-)
Gruß
Christian Boltz
[1] Der Klassiker sind "entfleuchte" Passwörter (Windows-Viren sind da
immer ganz hilfsbereit), die dann eben sinnvoll ;-) benutzt werden.
Interessanterweise übertreiben es die Spammer (zumindest nach meiner
Erfahrung) nicht, damit sie das entfleuchte Passwort über einen
längeren Zeitraum nutzen können.
--
Bash ist zwar nur trocken Brot und Wasser,
aber Tcl ist Nutella mit Maggi ;)
[Christian Perle in d.c.o.u.l.m]
Mehr Informationen über die Mailingliste Dovecot