Synology-Forum.nl

Packages => Officiƫle Packages => Mail Station => Topic gestart door: crazymans op 21 februari 2011, 21:08:28

Titel: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 21 februari 2011, 21:08:28
Ik werd vandaag gebeld door mijn internetprovider die mij gebood mijn Synology uit te zetten en mij per direct verbied ooit nog een web/mailserver te gebruiken. Mijn server wordt verdacht van misbruik door derden. Mijn internetverbinding was inmiddels geblokkeerd, en mijn IP dusdanig geblokkeerd dat ik ook vanaf huis hier niet kan posten. Ik weet niet hoe ik er nu achter kom wat er aan de hand is. Mijn server werd via mijn domeinprovider mogelijk gebruikt voor phishing werd er gezegd.

Ik ben me vangeen kwaad bewust.Ik draaide gewoon de Synology webserver met een kleine site met php en mysql, en daarnaast de standaard mailstation en downloadstation. Heb inmiddels even bijna alle poorten op de router dichtgegooid (21, 25, 80, 143, 8080, 5000 en 7000). Daarnaast Mailstation en Webserver maar even gestopt.

Zie in var/log/messages nogal wat rare HELO en MX boodschappen staan als:
Illegal address syntax from sch74-1-88-184-221-28.fbx.proxad.net[##.###.##.##] in RCPT command: <--alpgiovanile@caisavona.it>
Feb 21 10:08:47 postfix/smtp[8413]: warning: valid_hostname: empty hostname
Feb 21 10:08:47 postfix/smtp[8413]: warning: malformed domain name in resource data of MX record for jabber.linux.it:
warning: numeric domain name in resource data of MX record for assault.com: 0.0.0.0
warning: host 0.0.0.0[0.0.0.0]:25 greeted me with my own hostname ########.nl
Feb 21 10:19:47 postfix/smtp[8727]: warning: host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname ########.nl
Feb 21 10:21:41 postfix/postdrop[8872]: warning: unable to look up public/pickup: Permission denied


Krijg het idee dat het meer met mailstation als met webstation te maken heeft.
Wat kan ik nog doen om uit te zoeken wat er aan de hand is?
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 21 februari 2011, 22:49:52
Voor zover ik het kan zien zonder je logs te beoordelen ben je tot open-relay gebombardeerd.
Als je meer info wilt dan moet je de logs posten of toegang geven tot.
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 22 februari 2011, 07:50:22
Citaat van: "cyrus1977"
Voor zover ik het kan zien zonder je logs te beoordelen ben je tot open-relay gebombardeerd.
Als je meer info wilt dan moet je de logs posten of toegang geven tot.

THX. Welke logs? var/log/messages of zijn er nog meer?
Komt dit nou domweg omdat ik een werkend Mailstation had draaien of heb ik het fout ingesteld?
Titel: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 22 februari 2011, 08:09:55
Ik denk dat je iets niet goed had staan enerzijnds is mail een risico maar ook lekke website software als joomla zien we vaak.
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 22 februari 2011, 09:40:53
Citaat van: "cyrus1977"
Ik denk dat je iets niet goed had staan enerzijnds is mail een risico maar ook lekke website software als joomla zien we vaak.

Mogelijk per ongeluk relaying aanstaan in Mailstation (kan dat?). Draaide eigenlijk al een jaartje zorgeloos maar gebruikte het weinig. Kan wel zonder.
Webstation standaard met een paar php scriptjes voor WOL & shutdown & videostreaming andere PC in netwerk. Wil ik niet missen.
Moet nog een hoop googlen. Ga vanavond op zoek naar maillogfiles en een andere provider (IP nog steeds gebanned).

Krijg geen herkansing bij Telfort. Eigen server wordt gedoogd totdat het 1x fout gaat, daarna mag het niet meer.
Weet ook niet welke poorten evt. nog wel mogen. Heb nog wel torrentpoorten openstaan op de Syno...
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: Robert Koopman op 22 februari 2011, 10:49:21
Ik lees met belangstelling mee!
Sinds een week of twee ook Mailstation in gebruik, naar volle tevredenheid.
Moest wel ergens in een config file relay en dan de naam van de uitgaande mailserver opnemen.
Mijn eigen uitgaande mailserver kan alleen versturen voor ingelogde gebruikers.
Ik hoop dat dit niet van die zelfde problemen geeft als bij de TS starter.
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 23 februari 2011, 10:28:04
Kan iemand mij vertellen waar de logging van mailstation staat? Kan het niet vinden. Kan ook syslog.conf niet vinden waarin je dit zou kunnen instellen ...
 
Heb inmiddels wel http logging aangezet middels http://www.synology-forum.nl/viewtopic.php?f=32&t=4835 (http://www.synology-forum.nl/viewtopic.php?f=32&t=4835)
Misschien toch via Webstation gehacked zoals dit topic vermeld?
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: klen op 23 februari 2011, 11:46:38
dovecot en postfix loggen via syslog
Vermoedelijk komen die dan in /var/log/messages

Let op, misschien moet je de file /etc/syslog.deny editen en voor het woord info een '#" zetten
#info
De levels van het log mechanisme die NIET in de logfile komen staan in deze file. Als je er een commentaar-teken voor zet worden deze levels WEL gelogd.
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 23 februari 2011, 13:11:17
Dank voor de uitleg. Heb de syslog.deny aangepast en info en notice weggehekt. Eigenlijk te laat, want mailstation staat inmiddels uit, maar ik ben nog steeds op zoek naar problemen. Misschien levert het wat op!
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 23 februari 2011, 19:51:40
Heb dan toch nog een groot deel van logging gevonden en het ziet er inderdaad uit als misbruik. In /var/spool/postfix/defer/ staan een paar honderd bestanden met elk een stuk of 10 van onderstaande meldingen. De inhoud van de berichten heb ik nog niet gevonden, en ik weet ook nog steeds niet hoe dit heeft kunnen gebeuren. Dit zijn aleen maar de berichten die nog niet verstuurd waren ...

<naam@inwind.it>: delivery temporarily suspended: connect to inwind.it[1.2
54.254.253]:25: Connection timed out
recipient=naam@inwind.it
offset=502
status=4.4.1
action=delayed
reason=delivery temporarily suspended: connect to inwind.it[1.254.254.253]:25: C
onnection timed out
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 23 februari 2011, 21:47:39
Als ik je posting zo bekijk ben je inderdaad als open relay gebruikt. Via internet kan je testen of je nog steeds een openrelay bent.

Kijk maar eens op: http://www.abuse.net/relay.html (http://www.abuse.net/relay.html)

Zorg wel dat de juiste poorten naar je router zijn geforward anders zie je de info van de verkeerde machine.

trouwens:
Zie je iets als je via ssh (root) ingeeft:

mailq
Mochten er nog mails in de queue zitten dan kan je de mailqueue leeg maken per mail of in een keer;
postsuper -d ALL
alles in een keer of
postsuper -d mailid
of alleen de mails met defered status:
postsuper -d ALL deferred
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 23 februari 2011, 22:07:55
Heb even zitten vogelen. Wellicht heb je hier (of iemand anders) in de toekomst wat aan

#!/usr/bin/perl
 
$REGEXP = shift || die "no email-adress given (regexp-style, e.g. bl.*@yahoo.com)!";
 
@data = qx</usr/sbin/postqueue -p>;
for (@data) {
  if (/^(w+)(*|!)?s/) {
     $queue_id = $1;
  }
  if($queue_id) {
    if (/$REGEXP/i) {
      $Q{$queue_id} = 1;
      $queue_id = "";
    }
  }
}
 
#open(POSTSUPER,"|cat") || die "couldn't open postsuper" ;
open(POSTSUPER,"|postsuper -d -") || die "couldn't open postsuper" ;
 
foreach (keys %Q) {
  print POSTSUPER "$_n";
};
close(POSTSUPER);

Opslaan op je server als bijvoorbeeld bestandsnaam.pl en chmod +x bestandsnaam.pl
Gebruik alsvolgt.

bestandsnaam.pl spamdomain.com

of

bestandsnaam.pl xyzs

waarbij xyzs een deel kan zijn wat in het afzender adres voorkomt.
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 24 februari 2011, 09:28:08
Citaat van: "cyrus1977"
Als ik je posting zo bekijk ben je inderdaad als open relay gebruikt. Via internet kan je testen of je nog steeds een openrelay bent.

Kijk maar eens op: http://www.abuse.net/relay.html (http://www.abuse.net/relay.html)

Zorg wel dat de juiste poorten naar je router zijn geforward anders zie je de info van de verkeerde machine.


THX. Kan het nu niet checken (@work) maar ga hier zsm. mee aan de slag! Heb alle mailpoorten dicht gegooid en ben niet van plan om ze nog open te zetten.
Sta op de lijst van Spamhaus en kan met mijn eigen internetverbinding hier niet eens posten. Kan ik ook nog ergens de inhoud van deze spamberichten vinden?

Vind het ook wel belangrijk om te weten of ik veilig poort 80 weer kan openzetten, wat dat wil ik graag. Ben nog steeds niet 100% overtuigd dat dit enkel door Mailstation komt. Kan jij (of iemand anders) hier iets over zeggen? Heb inmiddels al een nieuwe provider gevonden, ga geen mailserver meer draaien, en wil niet het risico lopen dat dit daar opnieuw gebeurd.
Titel: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 24 februari 2011, 10:06:08
Zonder op de server te kijken kan ik slechts gissen!
Titel: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 24 februari 2011, 10:08:09
Trouwens je moet bij spamhaus een verzoek doen om Van de lijst te gaan dat gaat niet vanzelf.

Ze doen dan gelijk een check of je je probleem hebt opgelost zo nee blijf je op de lijst zo ja ga je eraf
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 25 februari 2011, 08:26:46
Citaat van: "cyrus1977"
Trouwens je moet bij spamhaus een verzoek doen om Van de lijst te gaan dat gaat niet vanzelf.

Ze doen dan gelijk een check of je je probleem hebt opgelost zo nee blijf je op de lijst zo ja ga je eraf

Goeie tip! Binnen een paar uur was ik van de blacklist. Nu kan ik weer posten vanuit mijn eigen IP-adres.
Die mailq opdrachten leverden niks op. waarschijlijk omdat mailstation niet meer draait.

Ik denk dat ik de hele directory /var/spool/postfix/ maar weggooi. Ik kan daar toch niks nuttigs meer uithalen.
Titel: Gebanned door internetprovider wegens Mailstation?
Bericht door: cyrus1977 op 25 februari 2011, 08:29:12
Jammer had het graag willen uitzoeken want als er iets mis zit in de software van synode moeten we dat wel fixen!

Graag gedaan hopelijk heeft de rest wat aan de scripts ze werken namelijk goed.

Druk op bedankt als je er wat aan hebt :)
Titel: Re: Gebanned door internetprovider wegens Mailstation?
Bericht door: crazymans op 01 maart 2011, 08:48:25
Citaat van: "cyrus1977"
Jammer had het graag willen uitzoeken want als er iets mis zit in de software van synode moeten we dat wel fixen!

Graag gedaan hopelijk heeft de rest wat aan de scripts ze werken namelijk goed.

Druk op bedankt als je er wat aan hebt :)

Jammer, dat had ik niet zo begrepen en wilde zsm. wat zekerheid dat ik niet meer zat te spammen. Ben nog lang op zoek geweest naar berichten en processen maar kon als leek niks vinden. Heb nog wel een backup gemaakt van  /var/spool/postfix/ voor ik hem verwijderde. Heb daarna een upgrade naar 3.0 gedaan en ook /var/spool/postfix/ is weer terug (zonder Mailstation geinstalleerd te hebben.)