Abuse-Meldung! Was ist da los?

  • Hallo!
    Habe heute das erste eine Abuse-Meldung erhalten, mit welcher ich nichts anfangen kann. Ich hoffe, ihr könnt mir hierbei helfen!
    Hier die Meldung:


    Traffic ist absolut unauffällig. Bei einer Schnelldurchsicht kann ich auch keine AUffälligkeiten beobachten.
    Wie gehe ich nun vor? ?(


    Danke für die Mühen!


    Gruß,
    Leo

  • Nun sehe ich, woher das Problem rührt (Spam), nachdem ich die mail.log und mail.info angesehen habe (beide über 300 MiB groß).
    Wie ich das ganze angehen soll, entbehrt sich meiner Kenntnisse.


    Könnte mir da jemand Abhilfe schaffen (Logs ansehen)? Da ich mir recht unsicher bin, ob das löschen der E-Mail-Accounts, bzw. das ändern der Passwörter das Problem "lösen".


    edit:
    Das Problem muss wohl sehr frisch sein. Habe eben beim E-Mails durchgehen, bei einer Adresse unzählige MAILER-DAEMON (Undelivered Mail Returned to Sender) drin.
    Alles mit

    Zitat


    satesman
    torn URLENTFERNT methot


    Sent from my iPhone

    leicht abgeänderte Links, an verschiedene Empfänger.
    Entsprechendes Konto habe ich erst mal gelöscht...


    Grüße

    Einmal editiert, zuletzt von leo.m () aus folgendem Grund: Ich musste die URL auf die "verseuchte" Seite entfernen

  • Guten Tag,



    ich habe eine kleine, aber wichtige Anmerkung: Bitte keine Links hier im Forum auf Websites mit illegalem Inhalt veröffentliche. Das war im Zitat oben passiert. Ich habe den Link entfernt.



    Vielen Dank!



    Mit freundlichen Grüßen


    Felix Preuß

  • Nun sehe ich, woher das Problem rührt (Spam), nachdem ich die mail.log und mail.info angesehen habe (beide über 300 MiB groß).
    Wie ich das ganze angehen soll, entbehrt sich meiner Kenntnisse.


    Möchte jetzt nicht irgendwie großkotzig rüberkommen und zudem ist mir nicht bekannt was du genau alles eingerichtet hattest. Aber ich kenne Fälle wo viele die sich nicht mit Rootservern auskennen denken, dass alles Sicher wäre, weil der Anbieter ja den Server fertig gestellt hat. Und genau dass ist der Fehler die viele machen, sie unternehmen nichts und wissen zum Teil noch nicht mal wo sich die Logs befinden. Sollen sie dann bestimmte Logs aufsuchen dann versuchen sie es über dem FTP Programm und wundern sich dann noch wieso sie nichts finden. Ich hatte letztens sogar mit jemanden Kontakt, der wusste noch nicht mal wie man sich per SSH mittels Terminal einloggen kann. Als ich Ihm dann ein Webspace empfohlen hatte, sagte er noch... jetzt habe ich den Server schon. Anzumerken ist noch dass er mir vorher schon meine Haar zu berge an stiegen ließ, als er meinte... das ganze ist doch schwieriger als ich dachte, dann kann ich es wohl vergessen als Hoster.


    Das hat jetzt zwar nicht was direkt mit dir zu tun, aber mit einem Server muss man einiges einrichten, damit ein Missbrauch unterbunden wird und ggf. hierzu bestimmte Regelungen in Kraft treten. Und selbst wenn alles dann gut eingerichtet ist, wird man sich nie zurück lehnen können, denn Logs müssen immer im Auge behalten werden ob alles was dazu eingerichtet worden ist auch Wirkung zeigt oder ob noch mehr eingerichtet oder ergänzt werden muss.


    In deinem Fall hat es nur was mit dem Maiserver was zu tun, aber genauso könnten Einbrüche an anderer Stelle geschehen, wenn hierzu nichts in Punkto Sicherheit eingerichtet wurde.
    Deinen Mailserver wirst du ehe vergessen können, denn da viele Mailserver auf Blacklisten als Spamschutz zugreifen werden Mails von dir gar nicht mehr angenommen.


    Ich empfehle dir hierzu externe Mails zu nutzen und deinen Mailserver ganz zu deinstallieren und die Ports die hierzu offen sind zu schließen.
    netcup bietet hier auch SOGo / Groupware an, was sehr gut ist und du mit deinen eigenen Domains nutzen kannst, aber ohne einen eigenen Mailserver.
    Das würde ich dir sehr empfehlen.


    Gruß Coolman

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

  • Erstmal danke ich für die Antworten und danke für die Besorgnis coolman, ist aber nicht angebracht. Ich wusste damals sehr wohl, worauf ich mich bei einem vserver einlasse.
    Und wenn man mal nach ~10 Jahren das erste mal ein solches Problem hat und nicht auf Anhieb aus dem Stegreif heraus sich zu helfen weiß, ist dies kein Zeugnis von Inkompetenz ;)
    Nach dem durchsehen der Logs, war es stets die ein und selbe E-Mail-Adresse, von der alles ausging. Nach dem löschen dieser, sowie dem löschen des Postfix Mailqueues (23475 messages) ist absolute Ruhe (auch in den Logs) eingekehrt.


    Vor so etwas kann einen auch ein managed Server nicht schützen, wie ich dies schmerzlich bei einem Freund betrachtet konnte. Über 80 € für einen kleinen vServer pro Monat bezahlt, dann kam irgendwann eine Abuse-Meldung und kurz darauf wurde der Server abgeschaltet, da das Problem angeblich nicht gelöst werden konnte 8| und an seine Daten ist er auch nicht mehr rangekommen.


    Als Distribution habe ich übrigens die Debian Squeeze von netcup verwendet (mit imscp); informiere mich auch stets sehr viel zu diesem Thema allgemein (Sicherheit, Serverconfg., usw) und halte alles steht möglichst up-to-date.


    Werde nun weiter alle anderen Logs durchgehen und bei Problem wohl mehr auf Google zurückgreifen :thumbdown:

  • Ich empfehle dir hierzu externe Mails zu nutzen und deinen Mailserver ganz zu deinstallieren

    Dem kann ich nur voll und ganz zustimmen. Eigener E-Mail Server betreiben ist mega aufwändig. Selbst wenn man alles richtig macht würde ich das nicht nochmal machen. Einmal zum lernen ja, aber nicht als ernsthafte Lösung. Bis man Spamfilter und co. so eingestellt hat dass es einigermaßen zuverlässig funktioniert, hat sich wenn man seine Arbeitszeit in Geld rechnet die managed Lösung schon lange gelohnt.

  • Dem kann ich auch nur voll und ganz zustimmen.


    Ich hatten selber ein sehr gut abgesicherten Mailserver. Hier musste ich jeden Tag ständig rein schauen um sicher zu gehen dass alles im Grünen Bereich war. Ich konnte daher immer sehr gut mitverfolgen was mit den Zugriffsversuche geschah und konnte auch prüfen ob alles dann so wie es soll gesperrt wurde. Es ist auch eine Sache wo man sich nie zurück lehnen kann, sondern immer unter Beobachtung halten muss. Denn Angreifer sind ja auch nicht doof und wenn sie merken dass was nicht geht versuchen sie es auf andere Wege und genau diese Wege muss man mitbekommen um ggf. dagegen neue Regelungen die dagegen halten sollen erstellen zu können. Mittels policyd-weight was ich auch mit eingerichtet hatte, konnte ich immer gut sehen wie Zugriffsversuche auf Grund einer Blackliste geblockt wurden und mein Fail2ban sperrte Zugriffsversuche ab drei versuche. Merkte ich hier dass was neues dabei kam musste ich auch Failban mit einer neuen Regelung mit drauf ansetzen.


    Da wir aber letztens ehe Probleme mit AOL und Hotmail/Live.de(Outlook) hatten, da sie unbekannte IPs misstrauen und unsere Mails nicht weiter zustellten(meine Server IP wird nirgendwo gelistet), habe ich mich sogar dazu entschieden ganz auf einen eigenen Mailserver zu verzichten. Denn wir nutzen neuerdings hierzu die SOGo / Groupware von netcup, was über unsere eigenen Domain das einrichten von Mails ermöglicht. Der Unterschied ist aber dass es sich um ein Mailserver von netcup handelt und ich daher unseren komplett deinstallieren konnte und die dazu gehörigen Ports alle schließen konnte. Das ganze kostet zwar im Monat jetzt etwas mehr, aber dafür muss ich nichts mehr dazu an Arbeit rein stecken, da es ganz weg fällt und so ganz nebenbei wird auch unser Server entlastet, da hier bestimmte Service wie Postfix, Spamassassin, Virenscanner(Dr. Web) und Policyd-Weight nicht mehr benötigt werden.


    Die Maillog war auch die einzige Log die ich besonders unter Obacht halten musste, da dieser Bereich der Bereich war wo regelmäßig Zugriffsversuche stattfanden. Beim Rest habe ich die Ports alle verlegt und Failban dran gesetzt, das direkte einloggen per Root unterbunden und nutze eine Firewall was nur die Ports öffnet die wir benötigen. Damit Portscanns unterbunden werden habe ich noch Portsentry mit eingerichtet. Selbst auf Plesk was ich zur Administration nutze habe ich den Standard Port verlegt und FTP Port 20+21 sind dicht, denn ich nutze hier SSH fürs FTP mit meinem verlegten Port und einem User der auch nur auf dem Webspace zugreifen kann.


    Gruß Coolman

    Kühlst du schon oder Lüftest du noch?!..PC-AQUACOOLING.DE

  • Ich kann dir empfehlen ein Blacklistmonitoring einzurichten. und auch generell deine Mailqueue zu überwachen, sodass du einen alarm bekommst, wenn mehr als normal mails dort liegen.


    Damit kannst du das Problem zukünftig schneller erkennen und reagieren.