Beiträge von aRaphael

Zitat von Steini

Gute Kandidaten zum nachschauen sind:

- /var/log/msmtp.log

- /var/log/mail.log

- /var/log/mail.err

Wenn die alle nicht existieren wird vielleicht nach syslog geloggt:

- /var/log/syslog

Alles anzeigen

Wollte nur mal kurz Rückmeldung geben

Nirgendwo wurde was geloggt, auch nicht im syslog,

In /etc/msmtprc war einfach kein logfile gesetzt. (Versäumnis meinerseits damals, wie ich jetzt ja weiß)

Das habe ich jetzt sicherheitshalber mal nachgeholt, aber ich musste dabei eine kleine Hürde umschiffen.

/var/log/msmtp.log als logfile anzugeben funktioniert zunächst nur für emails, die von root verschickt werden, andernfalls gibt es

msmtp: cannot log to /var/log/msmtp.log: cannot open: Permission denied

In der Wiki zu msmtp wird empfohlen die logfiles user-spezifisch zu setzen: ~/.msmtp.log

Das ist ganz hübsch, aber leider funktionierte das nicht mit emails die von Anwendungsskripten in der docroot über mail() verschickt werden. (Kein Homeverzeichnis)

Ich habe es nun so gelöst, dass ich doch einen einzigen Logfile in /var/log/ angelegt habe und ihm root:www-data und 664 zugewiesen habe.

Meinen Arbeitsaccount habe ich dann einfach der Gruppe www-data hinzugefügt.

Nun werden alle E-Mails, auch die der Anwendungen an dieser einen Stelle geloggt. Falls es wieder Probleme gibt, kann ich da zentral nachsehen.

Wahrscheinlich ist das umständlich gelöst, aber immerhin funktioniert es.

Zitat von 03simon10

Was du definitiv noch tun solltest:

- den ssh Port ändern

- dich mit nem Key statt Passwort einloggen (wichtig: setz unbedingt eine Passphrase, falls die Schlüsseldatei mal abhanden kommt)

Danke für die Hinweise.
Werde ich mich mal mit auseinandersetzen.

Zitat von geekmonkey

du willst einfach nen RS und hast keinen Bock auf ne VM

....

Learning by doing.

Ja, ich muss zugeben, das ist auch ein entscheidender Grund gewesen.

"Nen offener Port 22 auf ner VM Daheim wird auch relativ schnell von Chinesen und Russen wahrgenommen... DNS Records laufen auch mit ner 'dynamic IP' - Mein NAS erreicht auch via Subdomain."

War mir so nicht klar.

Aber wäre das wirklich einfacher gewesen als das hier?

Evtl. versuche ich das ja mal zusätzlich oder teste es als Alternative.

Hängt jetzt zwar nicht mehr mit der Ausgangsfrage zusammen, aber wenn ich den Thread schon mal offen habe und weil das Thema Sicherheit hier ja auch angesprochen wurde...

Einer der Gründe, warum ich einen root-server als Entwicklungsumgebung wollte (und keine heimische VM) war ja, dass ich bestimme Dinge (wie auch Absicherung, DNS-Records, mail usw) unter Realbedingungen testen muss/will. (Ich war richtig froh, als die Chinesen endlich über meine IP gestolpert sind und brute-force Attacken gestartet haben. )

Bezüglich Absicherung des Servers: Ich habe:

• ssh-login für root gesperrt (PermitRootLogin no) und arbeite nur mit sudo
• die vorinstallierte ufw aktiviert (Nein ich habe mich nicht selbst ausgesperrt ) - Läuft korrekt - Finetunig kommt dann später.
• fail2ban installiert und zwei passende jails erstellt - Läuft auch korrekt

Habt ihr Profis hier noch Vorschläge, was evtl. noch nötig/nützlich sein könnte um einen Server sicher zu machen?

(Die Absicherung von installierten Anwendungen, wie joomla oder wordpress ist kein Thema. Da habe ich die nötige Erfahrung)

Zitat von aRaphael

Ja, ich wahrscheinlich.

Bei der Aktivierung des Pakets.

Nur vergessen, dass das damals abgefragt wurde und nicht notiert.

Im übrigen sind es ja nicht die Zugangsdaten zum Hostingpaket, sondern nur eine E-Mail Adresse für den smtp-Versand (plus Password)

Dass das jetzt eine von netcup aus meinem Paket war, ist ja eher Zufall. (Hätte ich damals eine z.B. von gmx genommern, wäre ich erst garnicht auf die falsche Spur gelockt worden)

Sollte ich mich irren und es tatsächlich später selbst konfiguriert haben (was ich nicht völlig ausschließen kann) dann habe ich es zumindest erfolgreich verdrängt.

Alles anzeigen

Ok. Ich muss mich entschuldigen.

Ich habe meine Notizen nochmal durchgesehen und tatsächlich war ich es wohl selbst damals, der email für smtp konfiguriert hat, entsprechend dieser Anleitung:

ubuntu email

Das lief dann und ich habe mir keine Gedanken mehr darüber gemacht.

Schon erstaunlich, wie schnell man vergisst.

Sorry.

Gibt es keinen "peinlich"-Smiley?

Zitat von H6G

Die Netcup Images kennen nur nicht deine Zugangsdaten zum Webhosting Tarif. Da, hat ein Mensch mit Zugriff auf dieses System die Zugangsdaten zu dem Webhosting eingetippt.

Ja, ich wahrscheinlich.

Bei der Aktivierung des Pakets.

Nur vergessen, dass das damals abgefragt wurde und nicht notiert.

Im übrigen sind es ja nicht die Zugangsdaten zum Hostingpaket, sondern nur eine E-Mail Adresse für den smtp-Versand (plus Password)

Dass das jetzt eine von netcup aus meinem Paket war, ist ja eher Zufall. (Hätte ich damals eine z.B. von gmx genommern, wäre ich erst garnicht auf die falsche Spur gelockt worden)

Sollte ich mich irren und es tatsächlich später selbst konfiguriert haben (was ich nicht völlig ausschließen kann) dann habe ich es zumindest erfolgreich verdrängt.

Zitat von A:H

Auch hier der obligatorische Hinweis:
Server die direkt im Internet stehen sind weder gefahrlos noch Testumgebung, sollte man nicht wissen was man tut. Am besten auf eine VM ausweichen um dort zu testen.

Da hast du zwar durchaus recht, aber ich benötige (zusätzlich zu einem lokalen) auch diesen echten Server, da komme ich nicht drumrum. (Will ich auch garnicht)

Der Server ist auch nur online, wenn ich daran arbeite und ansonsten runtergefahren und somit vom Netz. Insofern hält sich die Gefahr in Grenzen.

"Glaub nicht der Server ist schuld, sondern eher der Admin des Servers"

Ja, da hast du wohl recht.

Zu meiner Entschuldigung kann ich anführen, dass ich zwar durchaus IT-Erfahrung habe, aber der Bereich Linux-Server noch Neuland für mich ist.

Dafür ist ja dieser root-Server auch gedacht. Als Testumgebung, um gefahrlos Erfahrungen sammeln zu können.

Für den privaten "Produktivbereich" hab ich ja dann das Webhosting.

"Ich habe die Installation diesbezüglich einfach so gelassen, wie sie ist"

"Scheinbar nicht"

Ich habe tatsächlich zu mail nix eigenhändig konfiguriert. Daran würde ich mich erinnern. Das ist wohl so schon im Image eingebaut.

Nur musste ich höchstwahrscheinlich damals eine E-Mail Adresse für den smtp-Versand angeben, sonst wäre die ja nicht integriert. (Diese Adresse hatte mich ja irritiert und auf die falsche Spur geführt) Ich dokumentiere zwar eigentlich immer alles und kann hierzu nix finden aber irgendwo muss die Adresse ja herkommen. Ich habe sie sicher nicht später noch eingebaut.

Zum Stand der Dinge:

Gestern Abend habe ich den Server heruntergefahren.

Seitdem sind keine E-Mails mehr aufgelaufen. Auch nicht in den inzwischen acht Stunden seit der Server wieder läuft.

Hätte ich gleich machen sollen. Ist ja bekannt, dass sich ziemlich viele Probleme durch simples aus- und wieder anschalten lösen lassen.

Es ist natürlich schön, dass nun wieder Ruhe herrscht, aber doch ein klein wenig unbefriedigend. Ich kenne zwar den Auslöser (meine "korrupten" emails) und weiß nun auch, dass die weiteren Probleme an der Quelle (root-Server) lagen und nicht bei netcup (sorry netcup-team), aber was nun ganz genau im Einzelnen ablief ist mir noch unklar. Auch wie ich es hätte stoppen können, wenn der reboot nichts gebracht hätte.

logfiles gab es keine, bis auf syslog und das war dürftig und nichts zu mail vorhanden. (Das einzige was regelmäßig ausgeführt wurde, war /usr/lib/php/sessionclean, das schaue ich mir nochmal an) In spool oder sonstwo auch keine Hinweise auf irgendwas in Warteposition. (Irgendwo musste diese email ja stecken, wenn sie immer wieder verschickt wurde)

Aber ich muss mich damit zufrieden geben, dass die E-Mail-Welle eingedämmt ist und kann mich jetzt nicht weiter damit beschäftigen, weil erstmal andere, wichtigere Dinge darauf warten erledigt zu werden.

Wenn ich irgendwann noch weitere Erkenntnisse zum Problem gewinne, werde ich sie hier aber posten. Vielleicht tappt ja nochmal jemand in diese Falle.

Wer noch Hinweise hat, darf die gerne hier weiterhin loswerden.

Vielen Dank noch mal an alle, die mir geholfen haben und Geduld mit dem Neuling hatten.

"Also, wenn seit dann stündlich Mails verschickt werden..."

Oops, nein, sorry, Das war eine email eine Woche vorher, die aus anderem Grund zurückkam. War gestern wohl zu übermüdet und hab die falsche erwischt. Ich poste nachher nochmal die richtige.

Dann werde ich mich auch den Logfiles und der Lösung des Problems widmen.

Ich bin jetzt zuversichtlich. Momentan ist Ruhe. Ich habe den root-Server gestern noch komplett runtergefahren und seitdem trudeln keine E-Mails mehr ein. (Hätte ich gleich machen sollen) Ich muss mich also bei netcup entschuldigen. Mein Server ist tatsächlich dran schuld.

Aha!

Und wenn ich mir die mails dieser (ansonsten ungenutzen) Adresse abrufe, finde ich auch stündlich eingelaufene E-Mail mit folgendem Inhalt:

This is the mail system at host mx2f83.netcup.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<netcup@mx2f83.netcup.net> (expanded from <root>): User unknown in virtual
    alias table


Reporting-MTA: dns; mx2f83.netcup.net
X-Postfix-Queue-ID: 74BF382981
X-Postfix-Sender: rfc822; xx@xxx.de
Arrival-Date: Sun,  1 Dec 2019 06:47:04 +0100 (CET)

Final-Recipient: rfc822; netcup@mx2f83.netcup.net
Original-Recipient: rfc822;root
Action: failed
Status: 5.1.1
Diagnostic-Code: X-Postfix; User unknown in virtual alias table

Na, ich muss jetzt in die Falle, weil morgen sehr früh raus, aber ich sehe jetzt klarer.

Vielen dank für eure Hilfe (und Geduld)

Wer nun noch Ratschläge für das weitere Vorgehen hat, immer her damit.

"Verschickst du die Mail vielleicht per smtp?"

"Ist in der (netcup) Standardinstallation von Ubuntu etwa der Netcup Mailserver als Relay eingetragen?"

Aha.

sendmail -S liefert:

SMTP server at mx2f83.netcup.net (mx2f83.netcup.net [188.68.47.131]), port 465:
    mx2f83.netcup.net ESMTP Postfix (Debian/GNU)
TLS certificate information:
    Owner:
        Common Name: *.netcup.net
...

Und wenn ich mir die Konfiguration mit -P ansehe, wird auch klar, warum in den E-Mail Quelltexten eine domain aus meinen Paket auftaucht.

Dort ist nämlich seltsamerweise bei "user:" und bei "from:" eine meiner E-Mail Adressen von einer domain dort eingetragen! (Wieso ist mir noch nicht klar...)

So langsam ergibt sich ein Bild.

mailq und postqueue gibt es nicht als kommando

var/log ist leer

sendmail ist installiert und auch in der php.ini angegeben:

Ist alles auskommentiert, außer:

[mail function]
sendmail_path = "/usr/bin/msmtp -t"
mail.add_x_header = Off

Welches Ubuntu hast du denn installiert?

Ist Ubuntu 16.04

Grund: Wir habe bei uns im "Betrieb" auch einen rootserver mit diesem release und ich habe mir privat einen gegönnt als Übungsplatz und wollte so nahe dran sein an der Version wie möglich. Dieser rootserver ist also kein Produktivsystem, sondern nur "Spielwiese"

Das Skript, das das Chaos produziert hat war minimalisisch:

<?php
$vcnt = 7;
$mail_to = "####@gmx.de";
$mail_subject = "Neue Nachricht vom Server";
$mail_message = "Dies war Versuch $vcnt";
$mail_header = "From: ####.de";   // ###@ fehlt davor!
echo "Versuch $vcnt\n";
echo mail($mail_to, $mail_subject, $mail_message, $mail_header);
?>

Nachdem ich "From" korrigiert hatte und weitere Felder eingefügt hatte lief es rund

Ist in der (netcup) Standardinstallation von Ubuntu etwa der Netcup Mailserver als Relay eingetragen?

Ich habe das vorgefertigte Image von netcup eingespielt und was E-Mail angeht nichts weiter dran gebastelt. (Weil, bis jetzt nicht benötigt)

Ich muss zugeben, dass ich mich mit email/mailserver etc. auf diesem Server nicht wirklich auseinandergesetzt habe, weil praktisch nicht gebraucht wird.

(Allenfalls Systememails von joomla, wordpress oder moodle) Ich habe die Installation diesbezüglich einfach so gelassen, wie sie ist.

...."mailq" auslesen. Poste einfach mal die Anzeige davon.

Das ist einfach. mailq:

The program 'mailq' can be found in the following packages:

...

Tja, seltsam

Bist du sicher, dass du das das Script auf dem Rootserver ausgeführt hast und nicht auf dem Webhosting

Ja, das ist eindeutig die id und ip des root-servers in der email

Hmm. Hab auf dem Server nochmal Apache gestartet und mailq etc. sind gar nicht installiert...

Die php mail() Funktion hat aber E-Mails verschickt.

OK, dann etwas wenige homöopatisch

Heute vormittag habe ich in einen Minimalskript mit der reinen php mail() Funktion testen wollen, wie wenig Info man ihr mitgeben kann.

(Ich habe sonst nichts bezüglich Mailserver installiert oder konfiguriert. Standardinstallation von ubuntu)

Tasächlich betrifft dieser E-Mail loop auch nur die drei E-Mails bei denen

1) "From" keine korrekte E-Mail Adresse enthielt (nur den domainnamen des Servers ohne xxx@ davor)

2) "Reply-To" und "Return-Path" fehlen.

Alle anderen E-Mail wurden korrekt behandelt

Danach kamen diese E-Mails stündlich.

Ich habe daraufhin den Apache auf dem rootserver zuerst neu gestartet und dann ganz gestoppt.

Die E-mails wurde weiterhin verschickt.

(Interessanterweise steht im Header bei X-PPP-Vhost und X-MORS-DOMAIN einer der Domainnamen meines Webhosting 4000 Paketes, obwohl beide Server doch eigentlich nichts miteinander zu tum haben sollten?)

Unten, ein wenig anonymisiert, der Header aus dem gmx-Account.

Falls noch mehr Infos benötigt werden, kann ich die gerne liefern.

Ich bin für jede Hilfe dankbar.

Ob noch was in der postfix queue war, weiß ich nicht.

Wird diese gelöscht, bei restart von apache oder bleibt sie erhalten?

Return-Path: <##@##.de>
Received: from relay01-mors.netcup.net ([185.244.192.112]) by mx-ha.gmx.net
 (mxgmx017 [212.227.15.9]) with ESMTPS (Nemesis) id 1MDxTy-1ixD6o31gC-00A1rV
 for <##@gmx.de>; Thu, 09 Jan 2020 14:45:42 +0100
Received: from policy02-mors.netcup.net (unknown [46.38.225.53])
by relay01-mors.netcup.net (Postfix) with ESMTPS id 47tnSQ3t26z7txZ
for <##@gmx.de>; Thu,  9 Jan 2020 14:45:42 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at policy02-mors.netcup.net
X-Spam-Flag: NO
X-Spam-Score: -0.812
X-Spam-Level: 
X-Spam-Status: No, score=-0.812 required=6.31 tests=[ALL_TRUSTED=-1,
BAYES_00=-1.9, DATE_IN_PAST_03_06=1.592, MISSING_MID=0.497,
SPF_PASS=-0.001] autolearn=no autolearn_force=no
Received: from mx2f83.netcup.net (unknown [10.243.12.53])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
(No client certificate requested)
by policy02-mors.netcup.net (Postfix) with ESMTPS id 47tnLf17Dbz8tLD
for <##@gmx.de>; Thu,  9 Jan 2020 14:40:42 +0100 (CET)
Received: from localhost (v##.megasrv.de [#.#.#.#])
by mx2f83.netcup.net (Postfix) with ESMTPSA id 8D51182564
for <##@gmx.de>; Thu,  9 Jan 2020 11:04:17 +0100 (CET)
Received-SPF: pass (mx2f83: connection is authenticated)
Date: Thu, 09 Jan 2020 11:04:17 +0100
To: ##@gmx.de
Subject: Neue Nachricht vom Server
From: ##.de
X-PPP-Message-ID: <20200109100417.1051.52303@mx2f83.netcup.net>
X-PPP-Vhost: #4000###.de
X-NC-CID: 0Hbq4OlPPSoT0K4McMvWBRza+uZEJKhVNSPRbGt4vCQw2DPH
X-MORS-DOMAIN: #4000###.de
X-MORS-HOSTING: hosting###
X-MORS-USER: ###
X-MORS-HopCount: 1

"Mit mailq kannst du feststellen, ob diese noch in der Postfix Queue auf dem Root Server sind, sofern du Postfix nutzt."

Danke für den Hinweis.

Ich habe Apache auf dem root-Server allerdings schon seit heute vormittag heruntergefahren.

Die E-Mail werden trotzdem weiterhin verschickt:

Received: from relay01-mors.netcup.net (14:45:42)

Received: from policy02-mors.netcup.net (14:45:42)

Received: from mx2f83.netcup.net (14:40:42)

Received: from localhost v######.megasrv.de (11:04:17)

Das letzte ist dann mein rootserver. Nur dort steht dann auch die Zeit, an der sie wirklich verschickt wurde.

Bei den anderen läuft die Zeit immer gut eine Stunde weiter.

Hallo zusammen

Ich habe ein großes Problem und der support hilft mir leider nicht, weshalb ich es hier versuche.

Ich habe zwei Produkte hier. Einen root-Server und ein Webhosting 4000 Paket.

Nun habe ich von meinem root-server testweise mit der php mail() Funktion einige E-Mails verschickt, sowohl an meinen privaten gmx-account als auch an mein Office365-Geschäftskonto.

Ich wollte dabei testen, wann E-Mails mit unvollständiger Header-Information als Spam deklariert werden oder ob sie überhaupt ankommen.

Sie kommen an.

Und einige davon nun in einer Endlosschleife gefangen, stündlich immer wieder die gleichen!

Im E-Mail Quelltext wird angegeben, dass die E-Mails zwar von meinem root-Server kommen aber über die domain des anderen Pakets weitergeleitet worden.(Warum eigentlich?)

Ich habe apache2 auf meinem rootserver schon gestoppt, aber die E-Mails trudeln weiter stündlich ein. (Da dies auf den Konten zweier unterschiedlicher Anbieter passiert, kann ich die Ursache dort ausschließen) Von meinem root-Server aus kann ich also wohl nix mehr machen.

Die Zeiten im E-Mail Quelltext zeigen ja auch, dass die E-Mails nur einmal von meinem root-Server abgingen, aber stündlich vom netcup-server neu verschickt werden. Allen ist gemeinsam, dass sie eine eine unvollständige Header-Information haben. (Das "From"-Feld ist keine korrekte E-Mail Adresse und "Reply-To" und "Return-Path" fehlen ganz.) Andere E-Mails mit korrektem Header wurden auch problemlos verschickt

Wie kann ich das stoppen?

Ich bekomme nun beständig auf zwei Konten stündlich die gleichen E-Mails, immer und immer wieder.

Für Hilfestellung wäre ich unendlich dankbar.

Viele Grüße

aRaphael