Hallo,
Mijn mailserver, mail.vandervlis.nl, blijkt een open relay te zijn. En
ik snap niet hoe ze het doen. De gewone tests op een open relay zeggen
dat hij keurig dicht is, zoals:
http://www.mailradar.com/openrelay/
http://mxtoolbox.com/diagnostic.aspx
Maar ik zie wel allerlei spam voorbij komen in de logs. En als ik de
IP's waar het vandaan kom dicht zet, beginnen ze even later vanaf andere
IP's.
Wat opvalt is dat er steeds geauthenticeerd wordt met een bepaalde
username. Dit is geen correcte username, maar wel een correct e-mail
adres op de server. Het deel voor de apestaart is wel een correcte
username. Het paswoord veranderen van die username helpt niet.
Mail versturen via SMTP kan, als het goed is tenminste, alleen als je
eerst authenticeerd en starttls gebruikt. Dit zijn de regels:
smtpd_relay_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
check_sender_access hash:/etc/postfix/whitelist,
reject_invalid_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
reject_unauth_pipelining,
reject_unauth_destination,
check_policy_service unix:private/shadelist,
reject_rbl_client bl.spamcop.net,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client ix.dnsbl.manitu.net,
permit
Verder deze smtpd instellingen:
smtpd_tls_cert_file = /etc/postfix/tls/*.vandervlis.nl.pem
smtpd_use_tls = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_exceptions_networks = $mynetworks
smtpd_tls_loglevel = 1
smtpd_tls_auth_only = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_tls_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
Onderstaande zag ik in de mail.log. Het e-mail adres en de domeinnaam
heb ik uit privacy redenen gewijzigd in p...@puk.nl. Ook de mailadressen
waar het naartoe gaat heb ik gewijzigd.
sigmund:~# grep D34743E027B /var/log/mail.log
Oct 21 16:54:31 sigmund postfix/smtpd[2158]: D34743E027B:
client=unknown[94.26.41.188], sasl_method=PLAIN, sasl_username=p...@puk.nl
Oct 21 16:54:32 sigmund postfix/cleanup[2248]: D34743E027B:
message-id=<rslqf8e3sdpugyz0t7t2tmns.1085035368...@puk.nl>
Oct 21 16:54:32 sigmund postfix/qmgr[2017]: D34743E027B:
from=<p...@puk.nl>, size=638, nrcpt=5 (queue active)
Oct 21 16:54:32 sigmund postfix/smtp[1477]: D34743E027B:
to=<us...@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.8,
delays=0.67/0/0/0.13, dsn=2.0.0, status=sent (250 2.0.0 from
MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7E2E73E0294)
<knip>
Hier het virusscan gebeuren:
sigmund:~# grep 7E2E73E0294 /var/log/mail.log
Oct 21 16:54:32 sigmund postfix/smtpd[646]: 7E2E73E0294:
client=localhost[127.0.0.1]
Oct 21 16:54:32 sigmund postfix/cleanup[2189]: 7E2E73E0294:
message-id=<rslqf8e3sdpugyz0t7t2tmns.1085035368...@puk.nl>
Oct 21 16:54:32 sigmund postfix/qmgr[2017]: 7E2E73E0294:
from=<p...@puk.nl>, size=985, nrcpt=5 (queue active)
Oct 21 16:54:32 sigmund amavis[2289]: (02289-11) Passed CLEAN
{RelayedOpenRelay}, [127.0.0.1] [94.26.41.188] <p...@puk.nl> ->
<us...@hotmail.com>,<us...@hotmail.com>,<us...@mail.com>,<us...@yahoo.com>,<us...@yahoo.com>,
Message-ID: <rslqf8e3sdpugyz0t7t2tmns.1085035368...@puk.nl>, mail_id:
acDn3p5nyQp1, Hits: -, size: 638, queued_as: 7E2E73E0294, 127 ms
Oct 21 16:54:32 sigmund postfix/smtp[1477]: D34743E027B:
to=<us...@hotmail.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.8,
delays=0.67/0/0/0.13, dsn=2.0.0, status=sent (250 2.0.0 from
MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7E2E73E0294)
<knip>
Dan na het virusscannen, bijvoorbeeld:
Oct 21 16:54:35 sigmund postfix/smtp[1928]: 7E2E73E0294:
to=<us...@hotmail.com>, relay=mx3.hotmail.com[65.55.33.119]:25, delay=3,
delays=0.06/0/1.7/1.3, dsn=2.0.0, status=sent (250
<rslqf8e3sdpugyz0t7t2tmns.1085035368...@puk.nl> Queued mail for delivery)
Normaal bij mij zijn gebruikersnamen als "piet", en niet iets met een
apestaart er in.
Iemand een idee hoe ze dit doen, of hoe ik daar achter zou kunnen komen?
Groet,
Paul.
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
