Synology-Forum.nl
Packages => Officiƫle Packages => Mail Station => Topic gestart door: crazymans op 21 februari 2011, 21:08:28
-
Ik werd vandaag gebeld door mijn internetprovider die mij gebood mijn Synology uit te zetten en mij per direct verbied ooit nog een web/mailserver te gebruiken. Mijn server wordt verdacht van misbruik door derden. Mijn internetverbinding was inmiddels geblokkeerd, en mijn IP dusdanig geblokkeerd dat ik ook vanaf huis hier niet kan posten. Ik weet niet hoe ik er nu achter kom wat er aan de hand is. Mijn server werd via mijn domeinprovider mogelijk gebruikt voor phishing werd er gezegd.
Ik ben me vangeen kwaad bewust.Ik draaide gewoon de Synology webserver met een kleine site met php en mysql, en daarnaast de standaard mailstation en downloadstation. Heb inmiddels even bijna alle poorten op de router dichtgegooid (21, 25, 80, 143, 8080, 5000 en 7000). Daarnaast Mailstation en Webserver maar even gestopt.
Zie in var/log/messages nogal wat rare HELO en MX boodschappen staan als:
Illegal address syntax from sch74-1-88-184-221-28.fbx.proxad.net[##.###.##.##] in RCPT command: <--alpgiovanile@caisavona.it>
Feb 21 10:08:47 postfix/smtp[8413]: warning: valid_hostname: empty hostname
Feb 21 10:08:47 postfix/smtp[8413]: warning: malformed domain name in resource data of MX record for jabber.linux.it:
warning: numeric domain name in resource data of MX record for assault.com: 0.0.0.0
warning: host 0.0.0.0[0.0.0.0]:25 greeted me with my own hostname ########.nl
Feb 21 10:19:47 postfix/smtp[8727]: warning: host 0.0.0.0[0.0.0.0]:25 replied to HELO/EHLO with my own hostname ########.nl
Feb 21 10:21:41 postfix/postdrop[8872]: warning: unable to look up public/pickup: Permission denied
Krijg het idee dat het meer met mailstation als met webstation te maken heeft.
Wat kan ik nog doen om uit te zoeken wat er aan de hand is?
-
Voor zover ik het kan zien zonder je logs te beoordelen ben je tot open-relay gebombardeerd.
Als je meer info wilt dan moet je de logs posten of toegang geven tot.
-
Voor zover ik het kan zien zonder je logs te beoordelen ben je tot open-relay gebombardeerd.
Als je meer info wilt dan moet je de logs posten of toegang geven tot.
THX. Welke logs? var/log/messages of zijn er nog meer?
Komt dit nou domweg omdat ik een werkend Mailstation had draaien of heb ik het fout ingesteld?
-
Ik denk dat je iets niet goed had staan enerzijnds is mail een risico maar ook lekke website software als joomla zien we vaak.
-
Ik denk dat je iets niet goed had staan enerzijnds is mail een risico maar ook lekke website software als joomla zien we vaak.
Mogelijk per ongeluk relaying aanstaan in Mailstation (kan dat?). Draaide eigenlijk al een jaartje zorgeloos maar gebruikte het weinig. Kan wel zonder.
Webstation standaard met een paar php scriptjes voor WOL & shutdown & videostreaming andere PC in netwerk. Wil ik niet missen.
Moet nog een hoop googlen. Ga vanavond op zoek naar maillogfiles en een andere provider (IP nog steeds gebanned).
Krijg geen herkansing bij Telfort. Eigen server wordt gedoogd totdat het 1x fout gaat, daarna mag het niet meer.
Weet ook niet welke poorten evt. nog wel mogen. Heb nog wel torrentpoorten openstaan op de Syno...
-
Ik lees met belangstelling mee!
Sinds een week of twee ook Mailstation in gebruik, naar volle tevredenheid.
Moest wel ergens in een config file relay en dan de naam van de uitgaande mailserver opnemen.
Mijn eigen uitgaande mailserver kan alleen versturen voor ingelogde gebruikers.
Ik hoop dat dit niet van die zelfde problemen geeft als bij de TS starter.
-
Kan iemand mij vertellen waar de logging van mailstation staat? Kan het niet vinden. Kan ook syslog.conf niet vinden waarin je dit zou kunnen instellen ...
Heb inmiddels wel http logging aangezet middels http://www.synology-forum.nl/viewtopic.php?f=32&t=4835 (http://www.synology-forum.nl/viewtopic.php?f=32&t=4835)
Misschien toch via Webstation gehacked zoals dit topic vermeld?
-
dovecot en postfix loggen via syslog
Vermoedelijk komen die dan in /var/log/messages
Let op, misschien moet je de file /etc/syslog.deny editen en voor het woord info een '#" zetten
#info
De levels van het log mechanisme die NIET in de logfile komen staan in deze file. Als je er een commentaar-teken voor zet worden deze levels WEL gelogd.
-
Dank voor de uitleg. Heb de syslog.deny aangepast en info en notice weggehekt. Eigenlijk te laat, want mailstation staat inmiddels uit, maar ik ben nog steeds op zoek naar problemen. Misschien levert het wat op!
-
Heb dan toch nog een groot deel van logging gevonden en het ziet er inderdaad uit als misbruik. In /var/spool/postfix/defer/ staan een paar honderd bestanden met elk een stuk of 10 van onderstaande meldingen. De inhoud van de berichten heb ik nog niet gevonden, en ik weet ook nog steeds niet hoe dit heeft kunnen gebeuren. Dit zijn aleen maar de berichten die nog niet verstuurd waren ...
<naam@inwind.it>: delivery temporarily suspended: connect to inwind.it[1.2
54.254.253]:25: Connection timed out
recipient=naam@inwind.it
offset=502
status=4.4.1
action=delayed
reason=delivery temporarily suspended: connect to inwind.it[1.254.254.253]:25: C
onnection timed out
-
Als ik je posting zo bekijk ben je inderdaad als open relay gebruikt. Via internet kan je testen of je nog steeds een openrelay bent.
Kijk maar eens op: http://www.abuse.net/relay.html (http://www.abuse.net/relay.html)
Zorg wel dat de juiste poorten naar je router zijn geforward anders zie je de info van de verkeerde machine.
trouwens:
Zie je iets als je via ssh (root) ingeeft:
mailq
Mochten er nog mails in de queue zitten dan kan je de mailqueue leeg maken per mail of in een keer;
postsuper -d ALL
alles in een keer of
postsuper -d mailid
of alleen de mails met defered status:
postsuper -d ALL deferred
-
Heb even zitten vogelen. Wellicht heb je hier (of iemand anders) in de toekomst wat aan
#!/usr/bin/perl
$REGEXP = shift || die "no email-adress given (regexp-style, e.g. bl.*@yahoo.com)!";
@data = qx</usr/sbin/postqueue -p>;
for (@data) {
if (/^(w+)(*|!)?s/) {
$queue_id = $1;
}
if($queue_id) {
if (/$REGEXP/i) {
$Q{$queue_id} = 1;
$queue_id = "";
}
}
}
#open(POSTSUPER,"|cat") || die "couldn't open postsuper" ;
open(POSTSUPER,"|postsuper -d -") || die "couldn't open postsuper" ;
foreach (keys %Q) {
print POSTSUPER "$_n";
};
close(POSTSUPER);
Opslaan op je server als bijvoorbeeld bestandsnaam.pl en chmod +x bestandsnaam.pl
Gebruik alsvolgt.
bestandsnaam.pl spamdomain.com
of
bestandsnaam.pl xyzs
waarbij xyzs een deel kan zijn wat in het afzender adres voorkomt.
-
Als ik je posting zo bekijk ben je inderdaad als open relay gebruikt. Via internet kan je testen of je nog steeds een openrelay bent.
Kijk maar eens op: http://www.abuse.net/relay.html (http://www.abuse.net/relay.html)
Zorg wel dat de juiste poorten naar je router zijn geforward anders zie je de info van de verkeerde machine.
THX. Kan het nu niet checken (@work) maar ga hier zsm. mee aan de slag! Heb alle mailpoorten dicht gegooid en ben niet van plan om ze nog open te zetten.
Sta op de lijst van Spamhaus en kan met mijn eigen internetverbinding hier niet eens posten. Kan ik ook nog ergens de inhoud van deze spamberichten vinden?
Vind het ook wel belangrijk om te weten of ik veilig poort 80 weer kan openzetten, wat dat wil ik graag. Ben nog steeds niet 100% overtuigd dat dit enkel door Mailstation komt. Kan jij (of iemand anders) hier iets over zeggen? Heb inmiddels al een nieuwe provider gevonden, ga geen mailserver meer draaien, en wil niet het risico lopen dat dit daar opnieuw gebeurd.
-
Zonder op de server te kijken kan ik slechts gissen!
-
Trouwens je moet bij spamhaus een verzoek doen om Van de lijst te gaan dat gaat niet vanzelf.
Ze doen dan gelijk een check of je je probleem hebt opgelost zo nee blijf je op de lijst zo ja ga je eraf
-
Trouwens je moet bij spamhaus een verzoek doen om Van de lijst te gaan dat gaat niet vanzelf.
Ze doen dan gelijk een check of je je probleem hebt opgelost zo nee blijf je op de lijst zo ja ga je eraf
Goeie tip! Binnen een paar uur was ik van de blacklist. Nu kan ik weer posten vanuit mijn eigen IP-adres.
Die mailq opdrachten leverden niks op. waarschijlijk omdat mailstation niet meer draait.
Ik denk dat ik de hele directory /var/spool/postfix/ maar weggooi. Ik kan daar toch niks nuttigs meer uithalen.
-
Jammer had het graag willen uitzoeken want als er iets mis zit in de software van synode moeten we dat wel fixen!
Graag gedaan hopelijk heeft de rest wat aan de scripts ze werken namelijk goed.
Druk op bedankt als je er wat aan hebt :)
-
Jammer had het graag willen uitzoeken want als er iets mis zit in de software van synode moeten we dat wel fixen!
Graag gedaan hopelijk heeft de rest wat aan de scripts ze werken namelijk goed.
Druk op bedankt als je er wat aan hebt :)
Jammer, dat had ik niet zo begrepen en wilde zsm. wat zekerheid dat ik niet meer zat te spammen. Ben nog lang op zoek geweest naar berichten en processen maar kon als leek niks vinden. Heb nog wel een backup gemaakt van /var/spool/postfix/ voor ik hem verwijderde. Heb daarna een upgrade naar 3.0 gedaan en ook /var/spool/postfix/ is weer terug (zonder Mailstation geinstalleerd te hebben.)