Mail Server nach Hackerangriff: E-Mail-Server und Zarafa senden tausende unsinnige Mails

[Tosoboso]

Hi Ranger80,

schon klar, dass du nicht sagen wolltest, dass Z-Pull-Vmail den User so installiert, ich wollte es nur für die Nachwelt klarstellen.
Das hast gerade ein harte Zeit, der Angriff liegt wohl tief im System. Das sieht nach Neu-Aufsetzten des Systems aus mit Mail Backup / Restore...
An deiner Stelle würde ich versuchen, alle Mails zu kopieren (z.B. mit MailStore Home) währen Zarafa läuft und Synology nicht auf das Internet kommt (SMTP Config / Relay aus).
Die Kontakte / Termine würde ich mit CardDav / CalDav synchronisieren z.B. in eine OwnCloud Installation.
Natürlich zusätzlich mit phpMyadmin backup der Datenbanken. Und wenn du Outlook im Pop-3 Modus mit PST Dateien verwendest, haben die User ggf noch eine lokale Kopie.

Auf die Frage Zarafa Gateway-Dienst deaktivieren hab ich spontan nur die Antwort im Zaafa Start Script danach Suchen, hab da aber auch nicht die Details..

 

[juvi]

POP3 ist deaktiviert, der Meldungstext ist aber für IMAP und POP der gleiche. IMAP und IMAPS sind offen.
Wie kann ich den Zarafa Gateway-dienst getrennt von Zarafa deaktivieren? Das hab ich bisher noch nicht gemacht

Du kannst in der Shell den Dienst über das Startscript stoppen.

Stoppen mit: ./volume1/@appstore/Zarafa/etc/init.d/zarafa-gateway stop
Wieder starten mit: ./volume1/@appstore/Zarafa/etc/init.d/zarafa-gateway start

So kannst Du zumindest prüfen ob die unerwünschten Mails über die imap Schnittstelle reinkommen.

 

[snodnose]

Hi Ranger80,

mit dem Zarafa Migration Tool kannst Du auch die Daten der User als PST Dateien exportieren und später wieder importieren. Evtl. etwas einfacher als alles einzeln raus zu holen. Nur die ö. Ordner usw. (falls verwendet) lassen sich damit nicht "sichern".

Download der aktuellen Version hier: https://download.zarafa.com/community/final/7.1/7.1.11-46050/windows/

 

[jahlives]

Mal ne Frage. In der Gatewaylog sieht man ja das du anscheinend IMAP und POP3 nach außen offen hast. Dazu noch unverschlüsselt. Willst Du unbedingt von außen über Outlook und Co auf den Server zugreifen? Sowas würde ich nur im gesicherten Netz freigeben und von außen nur über Webmail und dergleichen zugreifen.

der Vollständigkeit halber
Auf Port 143 und 110 kann man sehr wohl auch verschlüsselt. Stichwort STARTTLS
Und was soll "sicherer" sein am Zugriff über Webmail und POP3/IMAP verbieten? Wenn der Bösewicht das PW eines Mail-Logins hat kann er/sie mit einem kleinen Script diesen Schund auch über Webmail rausblasen

 

[Ranger80]

Hi Ranger80,

mit dem Zarafa Migration Tool kannst Du auch die Daten der User als PST Dateien exportieren und später wieder importieren. Evtl. etwas einfacher als alles einzeln raus zu holen. Nur die ö. Ordner usw. (falls verwendet) lassen sich damit nicht "sichern".

Download der aktuellen Version hier: https://download.zarafa.com/community/final/7.1/7.1.11-46050/windows/

Moin snodnose,

leider funzt das nicht mit dem aktuellen Bug des DSM 5.1. Da läuft der Licensed ja nicht und der Workaround aus dem Forum http://www.synology-forum.de/archive/index.html/t-59479.html? hat bei mir nur temporär, also einmalig, funktioniert und dann gings nicht mehr.

KORREKTUR: der Workaround von Tosoboso hat funktioniert. http://www.synology-forum.de/showthread.html?57790-Zarafa-0.6.0-und-DSM-5.1-Beta/page5

 

[Ranger80]

Hallo Zusammen,

ich wollte mich noch mal herzlichst bei euch allen für eure Hilfe bedanken.

Leider hat alles nix genützt und der Syno versucht immer noch seine merkwürdigen Mails abzusetzen. Wir, mein Unix Admin und ich, haben keinen Hinweis auf die Ursache gefunden. Es bleiben immer noch die Vermutungen im Raum, dass es entweder ein Hacker war, oder durch die Änderungen von DSM 5 auf DSM 5.1 zu einem Bug im Zarafa/postfix gekommen ist. Wir werden es wohl nie erfahren.

Der Syno ist mittlerweile von mir "abgemurkst" worden und alle Daten sind nach ausführlichster und intensivster Untersuchung auf einen richtigen Server umgezogen worden.

Also denne, bis die Tage.

Viele Grüße
Chris