Intranator als Spam-Relay?

[martinz]

Grüß Gott aus Salzburg,

wir haben derzeit ein großes Problem mit der Spam-Flut. Offensichtlich gelingt es irgendwelchen chinesischen Maschinen, unseren Intranator durch gefälschte Absenderadressen als Spam-relay zu mißbrauchen.

Der intranator hat eine statische IP, auf die der offizielle MX-Eintrag zeigt (mail.schauspielhaus-salzburg.at). Daher ist im Providerprofil/Firewall der Port 25 (smtp) offen. Wenn ich den zu mache, ist Ruhe, aber dann bekommen wir natürlich gar keine Mails mehr...

Derzeit habe ich die gefälschte Absenderadresse auf die Blacklist gesetzt, womit diese Mailflut in der globalen Spambox landet und anscheinend nicht mehr ins Internet weitergesendet wird. Allerdings sind das ca. 6000 Mails täglich, und der gefälschte Absender wechselt regelmäßig, was die Wartung der Blacklist aufwendig macht...

Warum erlaubt der Intranator überhaupt das relaying über den WAN-Port? Eigentlich dürfte er doch nur ankommende mails akzeptieren, die an seine eigenen Domainen gehen? Ich habe keine Einstellung dazu gefunden, gibt es da eine Möglichkeit?

besten Dank und freundliche Grüße

[Gerd von Egidy]

Hallo,

Offensichtlich gelingt es irgendwelchen chinesischen Maschinen, unseren Intranator durch gefälschte Absenderadressen als Spam-relay zu mißbrauchen.

Sind Sie sich da ganz sicher? Der Intranator ist eigentlich grundsätzlich so konfiguriert, daß das nicht möglich ist. Daher gibt es auch keine Option mit der man das an oder ausschalten kann.

Könnten Sie mal eine dieser Mails inkl. aller Kopfzeilen hier posten? Daran sollten wir dann erkennen können was da genau vor sich geht.

Derzeit habe ich die gefälschte Absenderadresse auf die Blacklist gesetzt, womit diese Mailflut in der globalen Spambox landet und anscheinend nicht mehr ins Internet weitergesendet wird. Allerdings sind das ca. 6000 Mails täglich, und der gefälschte Absender wechselt regelmäßig, was die Wartung der Blacklist aufwendig macht...

Das ist natürlich keine dauerhafte Lösung. Wenn wir genau wissen was passiert, finden wir sicher eine saubere dauerhafte Lösung.

Warum erlaubt der Intranator überhaupt das relaying über den WAN-Port?

Wie gesagt ist das eigentlich immer verboten. Es sei denn natürlich der Spammer kennt ein auf dem Intranator gültiges Login mit Passwort.

Herzliche Grüße,

v. Egidy

[martinz]

S.g. Herr v. Egidy,

allerbesten Dank für Ihre prompte Antwort!
Sie haben mir sehr geholfen. Das Problem dürfte nun gelöst sein wie folgt:

Der heiße Tip war nämlich:

Es sei denn natürlich der Spammer kennt ein auf dem Intranator gültiges Login mit Passwort.

Habe daraufhin im maillog entdeckt, daß diese Chinesen doch tatsächlich ein gültiges SMTP-AUTH auf eine unserer Mailboxen erraten haben und damit natürlich volles Rohr relayen konnten...

Die simple aber wirkungsvolle Lösung: Passwort dieser Mailbox geändert und schon war Ruhe in der Hütte
Nun werden diese Angriffe wieder ganz sauber mit "relay access denied" abgebrochen...

War so gesehen eigentlich mein Fehler: das Passwort war nur vierstellig und in jedem Lexikon zu finden...

Kann nur wieder mal empfehlen: nichttriviale (strenge) Passwörter mit 8 Stellen verwenden und regelmäßig ändern! (eh nix neues...)

Bloß zur Info hier noch der Kopf dieser dubiosen Mails (aus dem Spamordner):

Code:

Return-Path: <pdlecq@mail.schauspielhaus-salzburg.at>
Received: from mail.schauspielhaus-salzburg.at ([unix socket])
	 by intranator.ebuehne.lan with LMTPA;
	 Fri, 12 Mar 2010 14:38:37 +0100
X-Sieve: CMU Sieve 2.3
Received: from localhost (intranator.ebuehne.lan [127.0.0.1])
	by localhost (Postfix) with ESMTP id DF3D036D27
	for <spambox@schauspielhaus-salzburg.at>; Fri, 12 Mar 2010 14:38:36 +0100 (CET)
X-Envelope-From: <pdlecq@mail.schauspielhaus-salzburg.at>
X-Envelope-To: <zack0814@yahoo.com.cn>
X-Quarantine-Id: <pKdpSdSsjsEn>
Received: from aspphi20 (unknown [211.161.45.24])
	(Authenticated sender: smtp-auth-user)
	by mail.schauspielhaus-salzburg.at (Postfix) with ESMTPA id 2447A36D12
	for <zack0814@yahoo.com.cn>; Fri, 12 Mar 2010 14:38:27 +0100 (CET)
Date: Fri, 12 Mar 2010 21:38:16 +0800
From: =?GB2312?B?y87F9M/o?= <pdlecq@mail.schauspielhaus-salzburg.at>
To: "zack0814" <zack0814@yahoo.com.cn>
Subject: ***SPAM*** =?GB2312?B?uaTX97fWzvbKtcqptcS8uLj21K3U8jFUQUM=?=
Message-ID: <201003122138166717192@mail.schauspielhaus-salzburg.at>
X-Mailer: Foxmail 6, 10, 201, 20 [cn]
MIME-Version: 1.0
Content-Type: text/plain;
	charset="GB2312"
Content-Transfer-Encoding: base64
X-Spam-Status: hits=9899.9
 tests=[ALL_INTERNAL=-10,ALL_TRUSTED=-1.8,BAYES_99=5,FROM_EXCESS_BASE64=1.456,HASH_IX_JMF=3.5,I2N_CLIENT_IS_AUTH=-99,MIME_BASE64_TEXT=1.753]
X-Spam-Level: 99999

uNrOu7fWzvahoryo0Ke/vLrL0+vQvbPqyei8xiANCg0KMjAxMMTqNNTCMS0yusUgye7b2iAgIDIw
MTDE6iA01MIyMy0yNCDJz7qjDQoNCqG+1vew7LWlzruhv7qjvd22+9fJ0a8NCqG+ytW30bHq17yh
v6OkMjgwMNSqL8jLo6i6rL3MssShorrP07ChotbQss2hos2o0bbCvKGisui146OpDQqhvsjP1qS3
usw... (ca.2kB)

<pdlecq@...> hatte ich auf der Blacklist, daher der hohe Spamlevel.
Auffällig auch: "Authenticated sender: smtp-auth-user"!

Danke nochmals und freundliche Grüße