[postfix-users] Spam-Versand via Localhost

Ralf Hildebrandt r at sys4.de
Di Jan 22 09:57:41 CET 2013


* Dominic Pratt <hallo at dominicpratt.de>:
> Hi Leute,
> 
> momentan habe ich einen Kunden, von dessen Server Spam versendet
> wird - vermutlich über den Apachen.
> 
>    Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from localhost.localdomain[127.0.0.1]

Das könnte natürlich auch via content_filter reinkommen

>    Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:client=localhost.localdomain[127.0.0.1]
>    Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
>    Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
>    Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
>    Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed
> 
> server17.xxx.de ist die betroffene Maschine, die einen
> Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail
> hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Ist ja nur die Message-ID, das muss nichts heissen.
 
> Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige
> Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost
> kommen.

Du kannst nur zeitlich um "Jan 18 18:33:14" im Log gucken und nach
verdächtigen POST requests suchen.

-- 
[*] sys4 AG

http://sys4.de, +49 (89) 30 90 46 64
Franziskanerstraße 15, 81669 München

Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263
Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer
Aufsichtsratsvorsitzender: Joerg Heidrich



Mehr Informationen über die Mailingliste postfix-users