SPAM Verdacht

[ALADIN1]

Hallo Leute,

nachdem ich weder bei Google noch hier im Forum Lösungsansätze gefunden habe und nun der Verzweiflung nahe bin, versuche ich hier mal mit posten mein Glück. Ich muss noch dazu sagen ich bin ein relativer Anfänger bezüglich Linux.

Zur Vorgeschichte: ich habe seit ca. anderthalb Jahren einen Stratoserver mit Suse Linux 10.2 als Betriebssystem und hatte bis letzte Woche Plesk in der Version 8.6 installiert. Ich wollte schon seit längerer Zeit auf eine neuere Plesk Version updaten, aber das hatte nicht funktioniert (aufgrund des Lizenzschlüssels).

Nun hatte mich jemand informiert, das die ip-Adresse meines Servers bei backscatter.org gelistet ist, und ich das mal prüfen soll. Soweit ich die Log-Files eingesehen und den Traffic überprüft habe, konnte ich nach meinem Kenntnissstand keine Anzeichen für SPAM-Missbrauch feststellen. Gut hab ich mir gesagt, installierst du erstmal die neueste Version von PLESK (9.2.3.). Hab bei Strato nachgefragt ob ich gleich von Version 8.6 auf 9.2.3 updaten kann und mir wurde gesagt, das das geht. Musste dann das Update aber nochmal mit dem autoinstaller machen, doch es lief soweit durch. Dann hab ich die ersten Probleme gehabt. Bei einigen Domains konnte ich per Mail-Client oder auch per WebMail nicht mehr zugreifen. Das hab ich gelöst durch Passwort ändern ?! Ich dachte prima, es geht wieder alles.

Doch nun erhielt ich an meine Webmaster-Mail massenweise eMails (ca.800 am Tag) mit „notice failure“ im Betreff – also Mail konnte nicht zugestellt werden und kam zurück. Hab dann in der me-Datei die vollständige Domain eingetragen hxxxxxxx.startoserver.net -> es stand nur hxxxxxxx drin. Seit diesem Zeitpunkt erhalte ich nun diese Mail auch nicht mehr.

Dann erfolgte aber der nächste Schock: eine Tag zuvor wurde meine ip-Adresse zu allem Überfluss bei sorbs.net in die SPAM-Liste eingetragen !
Jetzt ist halt die Frage ob ich durch den Eintrag der vollständigen Domain in die me-Datei das SPAM-Problem schon gelöst habe, oder ob ich noch wo anders den Hebel ansetzen muss.
Der Eintrag bei sorbs lautet:

Address and Port: 85.xxx.xxx.xx Record Created:Sun Nov 8 22:49:16 2009 GMT Record Updated:Sun Nov 8 22:49:16 2009 GMT Additional Information:Spam Sending Trojan or Proxy attempted to send mail from/to from=<> to=<flamboyanti778@paticipating.domain> proto=esmtp helo=<hxxxxxxx> Currently active and flagged to be published in DNSIf you wish to request a delisting please do so through the Support System.

Danke schonmal im voraus
Markus

[harv]

Schick mir mal deine ServerIP per pm dann teste ich mal ein paar sachen durch (die zu umständlich sind um sie zu erklären)

und dann poste mal bitte einen Logauszug aus der /var/log/mail.info und /var/log/mail.err das ganze bitte als datei anhang und etwas länger nicht nur 50 Einträge

[Fr33z3m4n]

@harv hoffe du findest kein open Relay :D

[harv]

damit rechne ich fast....aber wir werden sehen, andernfalls ist es ein mailformular das schlecht programmiert wurde. oder einfach nur ein schwaches pw....

[ALADIN1]

@harv
IP-Adresse hab ich dir geschickt.

Bei den Mailformularen hab ich bis auf ein Perlscript (FormMail Version 1.92 von Matt Wright) alles auf PHP umgestellt. Könnte hier das Problem liegen ?

[ALADIN1]

So ich habs geschafft die Logfiles zu kopieren und Auszüge in Dateien einzufügen. Ich hoffe das geht so.

Gruß und Danke Markus

Edit:Logfiles gelöscht

[harv]

also open relay bist du nicht aber es sieht so aus als wenn da jmd ein passwort geknackt hat oder ein normaler user mit nem spam verschickendem virus deinen server missbraucht.

leider logt qmail die auth namen beim versand nicht mit (warum auch immer) das kannst du zwar einpatchen aber davon würde ich dir in zusammenhang mit Plesk dringent abraten.

Das einzigste was mir nun einfällt ist spamdyke installieren das logt die user mit so kannst du ganz genau sehen wer mails verschickt und nicht nur noch from (was ja fälschbar ist, wenn man sich als benutzer authorisiert hat) das gute daran ist du erhöhst damit gleich den spamschutz

Eine anleitung zur installation findest du hier: http://www.plesk-forum.de/greylisting-spamdyke-546.html

das plesk eigene greylisting musst du danach abschalten (spamdyke ist nicht nur fürs greylisting gut sondern bringt dir auch gleich noch ein paar andere gute funktionen mit)

[ALADIN1]

@harv
danke für deine Hilfe

Bei der Installations-Anleitung von Spamdyke handelt es sich ja um eine ältere Version.
Ich hoffe die neue Version (4.0.10) läuft dann auch problemlos, werd ich morgen mal installieren ...

[harv]

habe die neueste drauf und macht von der installation her keinen unterschied wenn du noch tips für die spamdyke.conf brauchst sag bescheid dann poste ich hier mal meine

EDIT: hier mal meine spamdyke conf (läuft super und so gut wie keine falsepositives)

Code:

#für das Plesk-Addon von Haggybear:
log-level=info

local-domains-file=/var/qmail/control/rcpthosts
tls-certificate-file=/var/qmail/control/servercert.pem

#Copy&Paste from xinetd-conf
smtp-auth-command=/var/qmail/bin/smtp_auth /var/qmail/bin/true /var/qmail/bin/cmd5checkpw /bin/true
smtp-auth-level=ondemand-encrypted

#wichtiger Timeout:
idle-timeout-secs=300
graylist-level=always
graylist-dir=/var/qmail/spamdyke/greylist

#300 Sek. = 5 Min.
graylist-min-secs=300

#1814400 Sek. = 3 Wochen
graylist-max-secs=15768000

sender-blacklist-file=/var/qmail/spamdyke/blacklist_senders
recipient-blacklist-file=/var/qmail/spamdyke/blacklist_recipients
ip-in-rdns-keyword-blacklist-file=/var/qmail/spamdyke/blacklist_keywords
ip-blacklist-file=/var/qmail/spamdyke/blacklist_ip
rdns-whitelist-file=/var/qmail/spamdyke/whitelist_rdns
ip-whitelist-file=/var/qmail/spamdyke/whitelist_ip
sender-whitelist-file=/var/qmail/spamdyke/whitelist_senders
recipient-whitelist-file=/var/qmail/spamdyke/recipient-whitelist

greeting-delay-secs=1

#ggf. auskommentieren:
config-dir=/var/qmail/spamdyke/conf.d
config-dir=/var/qmail/spamdyke/conf.s
#dns-blacklist-entry=ix.dnsbl.manitu.net TOT
dns-blacklist-entry=zen.spamhaus.org
#dns-blacklist-entry=list.dsbl.org TOT
#dns-blacklist-entry=zombie.dnsbl.sorbs.net
#dns-blacklist-entry=dul.dnsbl.sorbs.net.
#dns-blacklist-entry=bogons.cymru.com
dns-blacklist-entry=dnsbl.sorbs.net
dns-blacklist-entry=rhsbl.sorbs.net
dns-blacklist-entry=recent.spam.dnsbl.sorbs.net
dns-whitelist-entry=list.dnswl.org


reject-missing-sender-mx
reject-empty-rdns
reject-unresolvable-rdns
reject-ip-in-cc-rdns

#MySQL-Logging:
#config-mysql-database=DATENBANK
#config-mysql-username=USERNAME
#config-mysql-password=PASSWORT

[ALADIN1]

So, habe spamdyke nach Installationsanleitung versucht zu installieren, allerdings scheitere ich dann beim kopieren der ausführbaren Datei:

cp spamdyke /usr/local/bin
cp: Aufruf von stat für spamdyke nicht möglich: Datei oder Verzeichnis nicht gefunden

Im Ordner spamdyke-4.0.10 befinden sich nur 4 Unterordner:
/documentation
/spamdyke
/tests
/utilis

Im Ordner spamdyke ist auch keine ausführbare Datei namens spamdyke zu finden (nur spamdyke.c und spamdyke.h)
Wie muß ich weiter verfahren ? (sorry aber ich bin Linux-Anfänger)

[harv]

ok dann wird irgendwo beim kompillieren ein fehler entstanden sein (nerion hatte es "eigendlich" nicht richtig beschrieben)

Code:

cd /usr/src/spamdyke-4.0.10/spamdyke
./configure

wenn configure keine fehler (warnungen sind was anderes) anzeigt dann

Code:

make

gibts hier auch keine fehler kann weitergemacht werden mit

Code:

make install

und nun das selbe mit den utils

Code:

cd /usr/src/spamdyke-4.0.10/utils
./configure

fehler?

Code:

make

fehler?

Code:

make install

falls fehler kommen poste die ruhig

[ALADIN1]

So wie ich das sehe wird der make-Befehl nicht angenommen !

Code:

hxxxxxxx:/usr/src/spamdyke-4.0.10/spamdyke # ./configure && make
checking for gcc... gcc
checking for C compiler default output file name... a.out
checking whether the C compiler works... yes
checking whether we are cross compiling... no
checking for suffix of executables...
checking for suffix of object files... o
checking whether we are using the GNU C compiler... yes
checking whether gcc accepts -g... yes
checking for gcc option to accept ISO C89... none needed
checking how to run the C preprocessor... gcc -E
checking for grep that handles long lines and -e... //bin/grep
checking for egrep... //bin/grep -E
checking for ANSI C header files... yes
checking for sys/types.h... yes
checking for sys/stat.h... yes
checking for stdlib.h... yes
checking for string.h... yes
checking for memory.h... yes
checking for strings.h... yes
checking for inttypes.h... yes
checking for stdint.h... yes
checking for unistd.h... yes
checking for stdint.h... (cached) yes
checking sys/inttypes.h usability... no
checking sys/inttypes.h presence... no
checking for sys/inttypes.h... no
checking whether time.h and sys/time.h may both be included... yes
checking for int16_t... yes
checking for int32_t... yes
checking for int64_t... yes
checking for uint16_t... yes
checking for uint32_t... yes
checking for uint64_t... yes
checking for dirent.h that defines DIR... yes
checking for library containing opendir... none required
checking for struct dirent.d_type... yes
checking whether DT_WHT is declared... yes
checking whether S_IFWHT is declared... no
checking whether INADDR_LOOPBACK is declared... yes
checking whether to include debugging symbols (for gdb)... no
checking for strip... strip spamdyke
checking whether to include excessive debugging output... no
checking whether to include some debugging output... yes
checking whether to include configuration tests... yes
checking if openssl/ssl.h will include without additional include directories... yes
checking for library containing RSA_sign... -lssl
checking for library containing SSL_library_init... none required
checking for OpenSSL libraries (for TLS support)... yes
checking for library containing inet_aton... none required
checking for library containing bind... none required
checking for library containing inet_ntoa... none required
checking for library containing getopt_long... none required
checking whether anonymous inner functions are supported by default... yes
checking whether struct option is defined in getopt.h... yes
checking whether pid_t is an unsigned int or an unsigned long... unsigned int
checking whether uid_t is an unsigned int or an unsigned long... unsigned int
checking whether gid_t is an unsigned int or an unsigned long... unsigned int
checking whether long long ints are supported in a test program... yes
checking whether printf()/scanf() uses %ld for 64-bit integers... no
checking whether printf()/scanf() uses %lld for 64-bit integers... yes
checking whether __func__ is available... yes
configure: creating ./config.status
config.status: creating Makefile
config.status: creating config.h
config.status: config.h is unchanged
-bash: make: command not found

[harv]

-bash: make: command not found

ja da hast du recht du brauchst noch das Packet make also einmal

Code:

yast -i make

und dann das ganze ^^ nochmal dann sollte es gehen

[ALADIN1]

juhu der make-Befehl hat funktioniert :-)

Neben den Eintrag in der smtp_psa muß ich sicherlich den "/usr/sbin/rblsmtpd -r sbl.spamhaus.org"-Teil raus löschen.
Das steht vor dem relaylock.

[harv]

ja das ist richtig das macht von nun an spamdyke für dich (und hier kannst du ^^ wie du siehst nicht nur einen angeben)

[ALADIN1]

Noch eine kurze Frage: ich hab eine Beschreibung zur Installation und Einbindung von Spamdyke in Plesk gefunden:
http://www.cplinux.de/plesk/spamdyke...ntegrieren.pdf

Dort steht das ich für jedes existierende eMail-Konto entsprechende Greylist-Ordner anlegen muß, bzw. mittels Shell-Script für neu anzulegende Domains dies automatisch geschieht.
Ist das notwendig oder nicht ?

[harv]

ja das ist richtig (war gerade dabei dir die rauszusuchen weil mir das auch eingefallen ist)

Habe mir das script in deinem pdf angesehen und es ist meiner ansicht nach nicht so besonders weil einige aspeckte vergessen wurden nimm bitte meins:

so hier erstmal das bash script, das speicherst du als /usr/local/psa/admin/htdocs/spamdyke/plesk_event_handler.sh rechte root:root 700

Code:

#!/bin/bash

# greylist folder
greylist_path=$2

#go to greylist folder
cd $greylist_path


if [ "$1" = "create" ]; then
mkdir $3
chown qmaild:nofiles $greylist_path$3
chmod 777 $greylist_path$3
fi

if [ "$1" = "update" ]; then
mv $3 $4
fi

if [ "$1" = "delete" ]; then
rm $3 -r -f
fi

exit

Dann unter Start -> EventHandler -> neuen event anlegen
benutzer root
event Domain aktualisiert

Code:

/usr/local/psa/admin/htdocs/spamdyke/plesk_event_handler.sh update /var/qmail/spamdyke/greylist/ <old_domain_name> <new_domain_name>

benutzer root
event Domain erstellt

Code:

/usr/local/psa/admin/htdocs/spamdyke/plesk_event_handler.sh  create <new_domain_name>

benutzer root
event Domain gelöscht

Code:

/usr/local/psa/admin/htdocs/spamdyke/plesk_event_handler.sh delete /var/qmail/spamdyke/greylist/ <old_domain_name>

und dann das selbe nochmal mit domain alias


achso und für die existierenden nicht vergessen

Code:

cd /var/qmail/spamdyke/greylist/
for i in `ls -1 /var/qmail/mailnames`; do mkdir $i; done
chown -R qmaild:nofiles /var/qmail/spamdyke

auszuführen damit die verzeichnisse auch angelegt werden

[ALADIN1]

Ok, soweit hab ich alles so ausgeführt. Müßte funktionieren.

Unter haggybear.de gibt es ja das Addon "Spamdyke Control Panel 2" für Plesk.
Sollte ich das auch noch installieren ?

Jetzt kann ich unter Plesk ja auch "Server-weiten SpamAssassin-Filter aktivieren" und "Individuelle Einstellungen für Spamfilter verwenden" deaktivieren ?

[harv]

spamassasin würde ich drin lassen

spamassassin abreitet aufgrundlage des inhalts
spamdyke hingegen auf grundlage der ip ptr u.ä.

nur das greylisting von plesk muss aus!

[ALADIN1]

So ich hab mir mal eine Testmail gesendet und die kam an :-)
Erstmal tausend Dank für deine Hilfe, da wär ich allein den Heldentod gestorben...

Nun nochmal zum eigentlichen Problem zurück: wo kann ich dann den Spam-Account erkennen ?