Mail Server nach Hackerangriff: E-Mail-Server und Zarafa senden tausende unsinnige Mails

[Ranger80]

Hallo Zusammen,

ich habe Zarafa (aktuell Version 0.5.5) und den E-Mail-Server (aktuell Version 1.4-0281) bereits seit einem Jahr gut auf meiner DS713+ (aktuell DSM 5.1-5004) am Laufen. Sender Relay und SASL Auth hat alles super funktioniert. Am Samstag (15.11.2014) hatte ein Hacker (mutmaßlich aus China, der Traceroute ist da rausgekommen) mehrere DoS Attacken auf allen Ports ausgeführt. Ich konnte nicht erkennen, ob er es geschafft hat Schaden auf der DS713+ anzurichten. Seit Samstag spinnen nun Zarafa und der E-Mail-Server und versuchen ständig E-Mails zu versenden, die es nirgendwo gibt und die niemand beauftragt hat.

Beispiel

Nov 18 00:46:17 DS713+ postfix/smtpd[####]: connect from localhost[127.0.0.1]
Nov 18 00:46:17 DS713+ postfix/smtpd[####]: 3F5F7B62B38: client=localhost[127.0.0.1]
Nov 18 00:46:17 DS713+ postfix/cleanup[####]: 3F5F7B62B38: hold: header Received: from [192.168.1.124] (localhost [127.0.0.1])??by DS713+.mydomain.com (Postfix) with ESMTP id 3F5F7B62B38??for <Kunde1@gmx.de>; Tue, 18 Nov 2014 00:46:17 +0100 (CET) from localhost[127.0.0.1]; from=<Kunde2@googlemail.com> to=<Kunde1@gmx.de> proto=ESMTP helo=<[192.168.1.124]>
Nov 18 00:46:17 DS713+ postfix/cleanup[####]: 3F5F7B62B38: message-id=<245b8de1ab8c28e28840b8fd723db8f3@DS713+.mydomain.com>
Nov 18 00:46:17 DS713+ postfix/smtpd[####]: disconnect from localhost[127.0.0.1]

1. Weder Kunde1 noch Kunde2 können Mails von meinem System aus senden, noch kennen sich die beiden.
2. Die IP-Adresse, die die Nachricht an die DS713+ übermittelt hat, gibt es nicht in meinem Netzwerk.

Dieses Phänomen tritt immer auf, wenn der E-Mail-Server läuft und ich Zarafa Webapp gestartet habe. Mittlerweile ist das Mailprotokoll der gescheiterten Sendungen über tausend Seiten lang. Reinstallation des E-Mail-Server hat nichts gebracht.

Kann irgendjemand hier helfen? Ich bin mit meinem Latein am Ende. Kann ich Zarafa reinstallieren, ohne die E-Mails und Kalendereinträge der User zu verlieren? Vllt. liegt es ja auch überhaupt nicht an dem Hackerangriff, sondern an einem Bug im DSM 5.1, dem E-Mail-Server und Zarafa. Ich hatte DSM5.1 und alle ausstehenden Updates ebenfalls am Samstag durchgeführt.

Viele Grüße
Chris

 

[cyorps]

Das ist erst einmal ins Blaue geschossen, aber vielleicht hilft es weiter. Für mich sieht es so aus, als ob ein Script über einen deiner Synology-Accounts diese Emails intern an den SMTP übergibt. Überprüfe einmal folgendes bzw. stelle es ab und schau dir an, ob das hilft:
- Ist bei den Synology-Usern der Gastaccount ohne Passwort aktiv?
- Ist bei der SMTP-Einstellung im Mailserver die Option aktiv, dass Lan-Verbindungen nicht authorisiert werden müssen?
- Liegen im root-Pfad deiner Webstation Dateien, die dort nicht hingehören bzw. die im Zeitraum des Angriffs erstellt wurden?

 

[Ranger80]

Moin cyorps,

danke für deine Antwort.

Das ist erst einmal ins Blaue geschossen, aber vielleicht hilft es weiter.

Ich bin für jede Hilfe Dankbar.

Für mich sieht es so aus, als ob ein Script über einen deiner Synology-Accounts diese Emails intern an den SMTP übergibt. Überprüfe einmal folgendes bzw. stelle es ab und schau dir an, ob das hilft:

War auch mein Gedanke, leider habe ich nix eindeutiges gefunden.

- Ist bei den Synology-Usern der Gastaccount ohne Passwort aktiv?

-war und ist inaktiv

- Ist bei der SMTP-Einstellung im Mailserver die Option aktiv, dass Lan-Verbindungen nicht authorisiert werden müssen?

-war und ist inaktiv

- Liegen im root-Pfad deiner Webstation Dateien, die dort nicht hingehören bzw. die im Zeitraum des Angriffs erstellt wurden?

- ich habe keine Datei mit einem entsprechenden Änderungsdatum gefunden. Vorsichtshalber habe ich aber alle Dateien aus dem Webstation/root gelöscht

Möglicherweise war der User Vmail nicht deaktiviert. Nachdem ich den E-Mail-Server neuinstalliert hatte, habe ich das Script von Tosoboso installiert und meine DS neu gestartet.
http://www.synology-forum.de/showthread.html?58563-Mail-Empfang-in-Zarafa-%28re%29aktivieren-Z-Pull-Vmail

Das Fehlverhalten von Zarafa und E-Mail-Server hatten nur kurzfristig aufgehört. Mittlerweile quellt die Warteschlange wieder vor lauter unsinnigen Mails über.

Hier noch ein paar Erkenntnisse aus den letzten Stunden:
- die unsinnigen Mail kommen von meinen letzten Kontakten, die ich selbst angeschrieben habe
- die unsinnigen Mails gehen an alle meine letzten Kontakte und zwar so, dass jeder von jedem angeschrieben wird
- aller Mailverkehr lief über mein Zarafa Webapp (1.5-43477 - ZCP 7.1.8-44004)
- die Kontakte kamen über ein Formular auf meiner Webseite zustande (Webseite mit Joomla Version gerade nicht zur Hand; visforms-Formular mit vi-solutions erstellt Version auch gerade nicht zur Hand) die Webseite wird auf einem anderen Server gehostet und nicht auf meiner DS
- ich hab die Mails bereits zerlegt und dort keinen Schadcode festgestellt; trotzdem habe ich mein Mailsystem auf nur Text umgestellt, hat aber leider auch nichts gebracht

Hat noch jemand eine Idee was falsch laufen könnte bzw. was ich noch überprüfen könnte?

Viele Grüße
Chris

 

[juvi]

Hast Du Webdienste nach außen freigegeben? Irgendeine Webseite oder sowas und dort die Schreibrechte nicht richtig gesetzt? Hier wird gerne mal bei angriffen irgendein PHP Script oder sowas abgelegt welches dann auf Kommando von außen E-Mails versendet. Such mal Deinen Webfreigabeordner nach verdächtigen Dateien ab. Andere Möglichkeit wäre noch das Deine Mailkonfiguration ein Open Relay verursacht müsste man in den Logs aber dann sehen.

 

[Ranger80]

Hallo juvi,

danke für deine Tips. Anbei ein paar Scrrenshots von meiner DS:
1. Firewalleinstellung pppoe

2. Firewalleinstellungen LAN2

3. Firewalleinstellung LAN1

4. Firewalleinstellung alle Schnittstellen

5. Ordneransicht /volume1/web/



Wonach müsste ich in den Logs suchen um das OpenRelay festzustellen? Müsste ich das nicht auch in der Main.cf des MailServer sehen und wenn ja, wo?

Viele Grüße
Chris

 

[jahlives]

gemäss den Logs werden die Mails ja auf HOLD gestellt. Guck dir mal eine solche Mail an. Bei lokal zugestellten Mails sollte der Mailserver die ID des Prozesses reinschreiben, der die Mail reingestellt hat

cat /var/spool/postfix/hold/ID_DER_MAIL

schau dir die Header der Mail an. Dort sollte eine PID geloggt sein

 

[benoga]

Vielleicht ist es der DSM 5.1 PHP Mail() Bug? Oder das Relay Problem?

http://www.synology-forum.de/showthread.html?59485-DS-713-quot-phpMail()-quot-funktioniert-seit-Update-DSM-5.1-nicht-mehr&p=475375&viewfull=1#post475375

 

[Ranger80]

Hallo jahlives,

anbei die Mail aus dem Queue. Es war nur eine Zeile, ich hab sie mit einem Tescteditor etwas besser dargestellt. Wo steht denn da die PID, in der ersten Zeile?

CO           2431             632               1               0            2388T1416298452 402561S
Kunde2@googlemail.com
A	create_time=1416298452
A	log_ident=63088B62B9B
A	rewrite_context=local
A	log_client_name=localhost
A	log_client_address=127.0.0.1
A	log_client_port=44550
A	'log_message_origin=localhost[127.0.0.1]
A	log_helo_name=[192.168.1.124]
A	log_protocol_name=ESMTP
A	client_name=localhost
A	reverse_client_name=localhost
A	client_address=127.0.0.1
A	client_port=44550
A	helo_name=[192.168.1.124]
A	protocol_name=ESMTP
A	client_address_type=2
A)	dsn_orig_rcpt=rfc822;
	Kunde1@web.de
O	Kunde1@web.de
R	Kunde1@web.de
M	N	6	Received: from [192.168.1.124] (localhost [127.0.0.1])
	N	K       by DS713+.mydomain.com (Postfix) with ESMTP id 63088B62B9BNB for <Kunde1@web.de>;
	Tue, 18 Nov 2014 09:14:12 +0100 (CET)NEContent-Type: multipart/mixed;
	boundary="===============0318472083=="NMIME-Version: 1.0NE
	Message-Id: <245b8de1ab8c28e28840b8fd723db8f3@mydomain.com>
	N	3	Subject: Kontaktaufnahme auf mydomain.com
	N	From: Kunde2@googlemail.com
	N	"Reply-To: Kunde2@googlemail.com
	N	To: Kunde1@web.de
	N	%Date: Tue, 18 Nov 2014 08:14:12 -0000
	N	#X-MailScanner-ID: 63088B62B9B.AAF84
	N	 X-MailScanner: Found to be clean
	N	,X-MailScanner-From: Kunde2@googlemail.com
	N	X-Spam-Status: NoNNN--===============0318472083==
	N	KContent-Type: multipart/alternative; boundary="===============1131357784=="
	N	MIME-Version: 1.0
		NNN--===============1131357784==
		N)Content-Type: text/plain; charset="utf-8"
		NMIME-Version: 1.0
		N!Content-Transfer-Encoding: base64
		NN<Rm9ybXVsYXIgOiBLb250YWtmb3JtdWxhciBbY29udGFjdF0KVmVyc2FuZHQg
		N<YW0gMjAxNC0xMS0xNyAyMjoyNjoxMgpBYnNlbmRlcmFkcmVzc2UgOiAmbHQ7
		N<YSBocmVmPSJtYWlsdG86dWxpLnJvb3MxQGdvb2dsZW1haWwuY29tIiZndDt1
		N<bGkucm9vczFAZ29vZ2xlbWFpbC5jb20KTmFtZSA6IFJvb3MKVm9ybmFtZSA6
		N<IHVsaQpGaXJtYSA6IHUuIFJvb3MKQmV0cmVmZiA6IEFra3V3ZWNoc2VsIElQ
		N<b2QgbmFuYSA3ZwpOYWNocmljaHQgOiBIYWxsbywKaWNoIGhhYmUgZWluZW4g
		N<SVBvZCA3ZyB1bmQgZGVyIEFra3UgbcO8c3N0ZSBnZXdlY2hzZWx0IHdlcmRl
		N<bi4KS8O2bm5lbiBTaWUgbWlyIGRhYmVpIGVpbiBBbmdlYm90IG1jaGVuPwp
			NN<aXQgZnJldW5kbGljaGVuIEdyw7zDn2VuClUuIFJvb3MKTmFjaHJpY2h0IGVi
			N<ZW5mYWxscyBlcmhhbHRlbiA6IHRydWUKSVAgQWRkcmVzc2UgOiA4OC4xMzQuNODEuMTM4CiYjMTM7CiYjMTM7Cg==
			NN--===============1131357784==
			N)Content-type: text/plain; charset="utf-8"NMIME-Version: 1.0
			N!Content-Transfer-Encoding: base64
			NN<Rm9ybXVsYXIgOiBLb250YWtmb3JtdWxhciBbY29udGFjdF0KVmVyc2FuZHQg
			N<YW0gMjAxNC0xMS0xNyAyMjoyNjoxMgpBYnNlbmRlcmFkcmVzc2UgOiA8YSBo
			N<cmVmPSJtYWlsdG86dWxpLnJvb3MxQGdvb2dsZW1haWwuY29tIj51bGkucm9v
			N<czFAZ29vZ2xlbWFpbC5jb20KTmFtZSA6IFJvb3MKVm9ybmFtZSA6IHVsaQpG
			N<aXJtYSA6IHUuIFJvb3MKQmV0cmVmZiA6IEFra3V3ZWNoc2VsIElQb2QgbmFu
			N<YSA3ZwpOYWNocmljaHQgOiBIYWxsbyzCoAppY2ggaGFiZSBlaW5lbiBJUG9k
			N<IDdnIHVuZCBkZXIgQWtrdSBtw7xzc3RlIGdld2VjaHNlbHQgd2VyZGVuLsKg
			N<CkvDtm5uZW4gU2llIG1pciBkYWJlaSBlaW4gQW5nZWJvdCBtY2hlbj8KTWl0
			N<IGZyZXVuZGxpY2hlbiBHcsO8w59lbgpVLiBSb29zCk5hY2hyaWNodCBlYmVu
			N<ZmFsbHMgZXJoYWx0ZW4gOiB0cnVlCklQIEFkZHJlc3NlIDogODguMTM0LjgxLjEzOAo=
			NN--===============1131357784==--
			NN--===============0318472083==--XE

Viele Grüße
Chris

 

[Ranger80]

Hallo benoga,

danke für den Hinweis. Ich teste das gleich mal, kann aber etwas dauern.

Vielleicht ist es der DSM 5.1 PHP Mail() Bug? Oder das Relay Problem?

http://www.synology-forum.de/showthread.html?59485-DS-713-quot-phpMail()-quot-funktioniert-seit-Update-DSM-5.1-nicht-mehr&p=475375&viewfull=1#post475375

Viele Grüße
Chris

 

[Ranger80]

So, hab den phpMail()-Bug Workaround ausprobiert...hat leider nicht geklappt.

DS713+> ls -ltr /usr/syno/etc/ |grep synosmtp
-rw-r--r--    1 root     root           348 Nov 15 12:47 synosmtp.conf

Nachdem ich den postfix wieder gestartet hatte, hat es ca. 2 Minuten gedauert und schon waren wieder 14 unsinnige Mails in der Warteschleife...sorry, das wars leider auch nicht...trotzdem Danke.

Viele Grüße
Chris

 

[jahlives]

die Mail scheinen von Zarafa zu kommen. Es gibt keine PID in der Mail, damit dürfte es nicht ein lokales Script sein, welches an Postfix übergibt. Das muss Zarafa sein welches an Postfix übergibt. Hast du Logs von Zarafa?

 

[Ranger80]

Hast du Logs von Zarafa?

Ja klar, welche hättest du den gern? spooler, server, oder ein anderes Log?

 

[jahlives]

nicht die ganzen Logs, sondern alle Logzeilen einer einzigen solchen Zustellung aus dem Zarafa Log. Vielleicht sieht man von wo genau die Mail zugestellt wird (Script oder Prozess ID)

 

[Ranger80]

Also, ich habe jetzt alle Logfiles durchgeschaut. In keinem Logfile ist ein Eintrag enthalten, der zu den Mails in der Warteschlange passt. Es ist mir aber aufgefallen, das in der gateway.log tausende von Einträgen enthalten sind, wo jemand Benutzernamen und Passwörter ausprobiert hat.

Weiterhin ist mir aufgefallen, das die spooler.log nur bis zum Zeitpunkt des Angriffs aufgezeichnet hat. Ich schau mir die Zarafa config files noch mal genauer an.

Mon Nov 17 01:37:31 2014: [30171] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:31 2014: [30172] Failed to login from 125.19.43.78 with invalid username "look" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:32 2014: [30173] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:32 2014: [30174] Failed to login from 125.19.43.78 with invalid username "look" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:33 2014: [30175] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:33 2014: [30176] Failed to login from 125.19.43.78 with invalid username "look" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:34 2014: [30177] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:34 2014: [30178] Failed to login from 125.19.43.78 with invalid username "look" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:35 2014: [30183] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:35 2014: [30184] Failed to login from 125.19.43.78 with invalid username "look" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:36 2014: [30185] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:36 2014: [30186] Failed to login from 125.19.43.78 with invalid username "look" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:37 2014: [30187] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:38 2014: [30188] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:39 2014: [30189] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:40 2014: [30190] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:41 2014: [30191] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:42 2014: [30192] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:43 2014: [30193] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:44 2014: [30194] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:45 2014: [30195] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Mon Nov 17 01:37:46 2014: [30198] Failed to login from 125.19.43.78 with invalid username "luck" or wrong password. Error: 0x80040111
Tue Nov 18 00:41:30 2014: [16637] POP3/IMAP Gateway will now exit
Tue Nov 18 00:42:01 2014: SSL CTX certificate file error: error:02001002:system library:fopen:No such file or directory
Tue Nov 18 00:42:01 2014: Error loading SSL context, POP3S and IMAPS will be disabled
Tue Nov 18 00:42:01 2014: [31094] Starting zarafa-gateway version 7,1,8,44004 (44004), pid 31094
Tue Nov 18 02:50:35 2014: [31094] POP3/IMAP Gateway will now exit
Tue Nov 18 02:54:15 2014: SSL CTX certificate file error: error:02001002:system library:fopen:No such file or directory
Tue Nov 18 02:54:15 2014: Error loading SSL context, POP3S and IMAPS will be disabled
Tue Nov 18 02:54:15 2014: [16634] Starting zarafa-gateway version 7,1,8,44004 (44004), pid 16634

 

[Ranger80]

Also, meine spooler.cfg und meine dagent.cfg sind neuer als alle anderen und sie sind ziemlich kurz gehalten:
spooler.cfg

plugin_enabled = no
~

dagent.cfg

plugin_enabled = no
~

Das ist doch nicht normal, oder? Ich dachte da wäre mal mehr drinnen gewesen. Kann mal jemand die beiden Dateien im Original posten?

 

[Ranger80]

Hier mal noch ein Update: Ich habe die originalen dateien in der example-config gefunden und in das Zarafa Verzeichnis kopiert. Beim Neustart von Zarafa werden die Dateien aber sofort wieder überschrieben und sind so übersichtlich wie oben gezeigt. Mach ich was falsch? Gibt es bei Zarafa auch einen template Ordner?

 

[Tosoboso]

Möglicherweise war der User Vmail nicht deaktiviert.
Nachdem ich den E-Mail-Server neuinstalliert hatte, habe ich das Script von Tosoboso installiert und meine DS neu gestartet
http://www.synology-forum.de/showthread.html?58563-Mail-Empfang-in-Zarafa-%28re%29aktivieren-Z-Pull-Vmail

Das Packet Z-Pull-Vmail legt den vmail User an im Zustand deaktiviert, also kein Login möglich mit 20 stelligem random Passwort, das sollte die Lücke hoffentlich nicht sein.. - Ich lege Wert auf Sicherheit.. Hast du eigentlich fetchmail im Zarafa default Modus als Root laufen? => Abstellen..

Noch ein paar Fragen und Anmerkungen:
- Zarafa selbst resp. per Outlook Plugin verschickt nur unter dem Namen des registrierten User (es sei denn man hat 'Delegate' aktiviert)
- Hast / Hattest du im Mail Server SMTP "Sender Namen and Login Name identical" aktiviert?
- Im neusten Mail Server Release gibt es unter Security eine Quota für ausgehende Mails, stell die mal auf 10-20 zur Schadensbegrenzung
- Der Angriff könnte / scheint über Zarafa IMAP gelaufen zu sein, nicht über SMTP, IMAP=Nutzer in Zarafa, SMTP = Lokale Nutzer (incl. daktiviertem vmail)
- Was SMTP angeht: hast du Block IP adress after 3 attemts an? Das Wirkt auch beim SMTP Server und mine Box blockt regelmässig IPs bei Angriff auf SMTP
- dagent-cfg und spooler cfg sind zu kurz gehalten / schräg, die kann ich dir posten (sind bei mir übrigens nur von root beschreibbar)
- Template Ordner gibt es, aber den vom Mail-Server: /var/packages/MailServer/target/etc/template (Zarafa Template m.w. nicht)

 

[juvi]

Mal ne Frage. In der Gatewaylog sieht man ja das du anscheinend IMAP und POP3 nach außen offen hast. Dazu noch unverschlüsselt. Willst Du unbedingt von außen über Outlook und Co auf den Server zugreifen? Sowas würde ich nur im gesicherten Netz freigeben und von außen nur über Webmail und dergleichen zugreifen. Teste mal ob die E-Mails aufhören wenn Du den zarafa-Gateway Dienst deaktivierst. Wenn ja kommt der Angriff vermutlich über IMAP und POP.

 

[Ranger80]

Hallo Tosoboso und juvi,

danke für eure Tipps.

Das Paket Z-Pull-Vmail legt den vmail User an im Zustand deaktiviert, also kein Login möglich mit 20 stelligem random Passwort, das sollte die Lücke hoffentlich nicht sein.. - Ich lege Wert auf Sicherheit..

Das habe ich auch so nicht sagen wollen. Ich hatte dein Script erst gestern entdeckt und dann verwendet. Vorher war der user Vmail von mir manuell angelegt worden. War aber auch da schon deaktiviert.

Fetchmail habe ich als Benutzer root laufen gehabt, habe es jetzt umgestellt. Hatte aber auch keine Auswirkungen auf die Anzahl unsinniger Mails in der Warteschleife.

Zarafa selbst resp. per Outlook Plugin verschickt nur unter dem Namen des registrierten User (es sei denn man hat 'Delegate' aktiviert)

Ich habe Delegates, aber nur mit existierendem User mit Passwort im LDAP.

Hast / Hattest du im Mail Server SMTP "Sender Namen and Login Name identical" aktiviert?

Nein, hatte ich nicht. Ich habe die Authentifizierung über LDAP gemacht. Sender Name und User Name weichen voneinander ab.

Im neusten Mail Server Release gibt es unter Security eine Quota für ausgehende Mails, stell die mal auf 10-20 zur Schadensbegrenzung

Hab ich. Hab aber den Mail Server aktuell komplett stillgelegt.

Der Angriff könnte / scheint über Zarafa IMAP gelaufen zu sein, nicht über SMTP, IMAP=Nutzer in Zarafa, SMTP = Lokale Nutzer (incl. daktiviertem vmail)

Ich habe gestern mit einem Unix-Systemadmin weitere Untersuchungen angestellt. Die Mailflut kommt definitiv von Zarafa. Es scheint in einem der Scripte von Zarafa zu stecken. Wir konnten aber keine verdächtigen Einträge finden. Fakt ist, wenn der Mail Server läuft und Zarafa abgeschaltet ist, dann kommen auch keine unsinnigen Mails in die Warteschlange. Erst wenn man sich über Zarafa Webapp anmeldet startet die Übertragungsflut dieser Mails.

Was SMTP angeht: hast du Block IP adress after 3 attemts an? Das Wirkt auch beim SMTP Server und mine Box blockt regelmässig IPs bei Angriff auf SMTP

Hab ich drin. Dort sind auch diverse IPs als dauerhaft gesperrt aufgelistet.

dagent-cfg und spooler cfg sind zu kurz gehalten / schräg, die kann ich dir posten (sind bei mir übrigens nur von root beschreibbar)

Jup, habe ich in der example-config dann später auch gesehen. Habe die Berechtigungen der Dateien mit chmod 600 gesetzt, trotzdem werden sie immer wieder mit den zu kurzen Dateien überschrieben.

Mal ne Frage. In der Gatewaylog sieht man ja das du anscheinend IMAP und POP3 nach außen offen hast. Dazu noch unverschlüsselt. Willst Du unbedingt von außen über Outlook und Co auf den Server zugreifen? Sowas würde ich nur im gesicherten Netz freigeben und von außen nur über Webmail und dergleichen zugreifen. Teste mal ob die E-Mails aufhören wenn Du den zarafa-Gateway Dienst deaktivierst. Wenn ja kommt der Angriff vermutlich über IMAP und POP.

POP3 ist deaktiviert, der Meldungstext ist aber für IMAP und POP der gleiche. IMAP und IMAPS sind offen.
Wie kann ich den Zarafa Gateway-dienst getrennt von Zarafa deaktivieren? Das hab ich bisher noch nicht gemacht.

 

[Tosoboso]

Mal ne Frage. In der Gatewaylog sieht man ja das du anscheinend IMAP und POP3 nach außen offen hast. Dazu noch unverschlüsselt. Willst Du unbedingt von außen über Outlook und Co auf den Server zugreifen? Sowas würde ich nur im gesicherten Netz freigeben und von außen nur über Webmail und dergleichen zugreifen. Teste mal ob die E-Mails aufhören wenn Du den zarafa-Gateway Dienst deaktivierst. Wenn ja kommt der Angriff vermutlich über IMAP und POP.

Hi, das waren Default Datein vom Test System nach Neuinstallation; ich habe keine Imap / Pop 3 Ports nach draussen offen, nur HTTP / HTTPS und WebApp geht nur Lokal....