itallrounder
Goto Top

SPAM Eingrenzung Zimbra Mailserver

Hallo liebe Admins,

ich betreibe privat einen Zimbra (7.11 Open Source) E-Mailserver auf Ubuntu 16.04 Basis.

Der Server ist eine VM auf einem VMWare Host im Rechenzentrum und bekommt sein Netzwerk über eine PFsense mit Port forward.

Nun erhalte ich seid ca. 4 Monaten dauern E-Mails à la:

Mail Delivery System <MAILER-DAEMON@tdcwmail06.tdcw.opa.tdch.dk> | Olson86@meinedomain.net

Undelivered Mail Returned to Sender

This is the mail system at host tdcwmail06.tdcw.opa.tdch.dk.

I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can delete your own text from the attached returned message.

The mail system

<rb.zg@beomasterdealer.com>: permission denied. Command output: maildrop:
maildir over quota.

__________________________________________________________________________________________________________________________

Fehler bei der Nachrichtenzustellung an folgende Empfänger oder Gruppen:
zysk@colognepride.de
Die eingegebene E-Mail-Adresse konnte nicht gefunden werden. Überprüfen Sie die E-Mail-Adresse des Empfängers, und versuchen Sie, die Nachricht erneut zu senden. Wenden Sie sich an den Helpdesk, falls das Problem weiterhin besteht.

Diagnoseinformationen für Administratoren:
Generierender Server: SVR2.punktnet.loc
zysk@colognepride.de
Remote Server returned '550 5.1.1 RESOLVER.ADR.RecipNotFound; not found'
Ursprüngliche Nachrichtenköpfe:
Received: from SVR2.punktnet.loc (2002:57c1:bcca::57c1:bcca) by
svr2.punktnet.loc (2002:57c1:bcca::57c1:bcca) with Microsoft SMTP Server
(TLS) id 15.0.1210.3; Wed, 5 Jul 2017 09:06:16 +0200
Received: from [1.52.100.93] (1.52.100.93) by svr2.punktnet.loc
(87.193.188.202) with Microsoft SMTP Server id 15.0.1210.3 via Frontend
Transport; Wed, 5 Jul 2017 09:06:15 +0200
Received: from root by ZVOHZGW.local with local (Exim 4.84_2)
(envelope-from <Adkins58590@meinedomain.net>)
id nYgcof-WCLVGK-Ec
for zysk@colognepride.de; Wed, 05 Jul 2017 14:07:44 +0700
To: <zysk@colognepride.de>
Subject: Hi
Date: Wed, 5 Jul 2017 14:07:44 +0700
From: Julia <Adkins58590@meinedomain.net>
Reply-To: <Adkins58590@meinedomain.net>
Message-ID: <ED3A7012AA843CBE10644FFEAEB8F40C@meinedomain.net>
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Return-Path: Adkins58590@meinedomain.net
Received-SPF: Neutral (SVR2.punktnet.loc: 1.52.100.93 is neither permitted nor
denied by domain of Adkins58590@meinedomain.net


Oder aber auch SPAM von der "eigenen Domain" von copier@meinedomain.net and info@meinedomain.net

Könnt ihr mir vielleicht Tipps geben, das ganze Einzugrenzen bzw. ganz zu unterbinden?
Ich bin leider nicht der SPAM-Filter Pro.
SPF und DKIM Einträge sind für die Domain bereits gesetzt.

Schönen Abend noch.

Content-ID: 342551

Url: https://administrator.de/contentid/342551

Ausgedruckt am: 22.11.2024 um 03:11 Uhr

em-pie
em-pie 05.07.2017 um 21:16:06 Uhr
Goto Top
Moin,

das liest sich im ersten Moment so, dass es hier ekin Spam ist, sondern versucht wird, über deinen Mail-Server/ mit deinen Absender-Adressen Spam zu versenden. Und ein Großteil der von dir gesendeten Spam-Mails erhält dann eine NDR, welche wiederum dir zugestellt wird.

Hatte das Problem Ende letzten Jahres, kurz nachdem benakkt wurde, dass div. Daten bei LinkedIn abhanden gekommen sind. Ich bin nicht schnell genug mit dem Ändern des Passwortes/ meiner Webhoster-Kennung (SMTP-User = Mail-Adresse) gewesen, sodass hier über 3h in etwa jemand fleißig aktiv gewesen ist.

Ändere also im ersten Step mal deine Kennwörter und beobachte...

Gruß
em-pie
ITAllrounder
ITAllrounder 05.07.2017 um 21:25:57 Uhr
Goto Top
Danke für den Hinweis,

das war auch schon meine Vermutung mit gekarperten Konten. Daher ändere ich alle Passwörter seid dem alle 21 Tage.
certifiedit.net
certifiedit.net 05.07.2017 um 21:40:14 Uhr
Goto Top
Vielleicht solltest du DANN mal überlegen dein komplettes Setup zu ändern, bringt ja nicht, wenn jemand AUF deinem System sitzt.
ITAllrounder
ITAllrounder 05.07.2017 um 21:45:22 Uhr
Goto Top
Ich habe im Rechenzetrum sogar schon ein geofiltering aif mein subnetz einrichten lassen. Auch die SSH Passwörter geändert und die vm neu installiert. Per ssh kommt man nur via von drauf mit einem definierten subnetz.
In den Auth Logs auf dem server ist leider auch nichts auffälliges zu finden. Lediglich fail2ban sperrt am Tag ca. 400 ip's aus Frankreich, Rumänien, Estland und Litauen
BassFishFox
BassFishFox 05.07.2017 aktualisiert um 22:06:27 Uhr
Goto Top
Hallo,

Schau mal in die Logfiles des Servers. Speziell hier in das Logfile des MTA (/var/log/zimbra.log). Da sollte drin steht was rausgegangen ist von der Maschine.
Wo andere eventuell interessant Logs liegen findest Du hier.
https://wiki.zimbra.com/wiki/Log_Files

Denk eventuell daran, das Ubuntu auch zu durchforsten und wenn es wirklich 16.04 ist die Version anzuheben auf 16.04.2.
Zimbra waere auch an die aktuelle Version anzupassen.

Im besten Fall, die Mailboxen und Einstellungen exportieren und neu aufsetzen.

BFF
LordGurke
Lösung LordGurke 06.07.2017 aktualisiert um 00:04:01 Uhr
Goto Top
Der Spam kommt vermutlich NICHT von deinem Server. Zimbra setzt AFAIK auf Postfix auf, diese Mail wurde aber von einem exim-Mailserver verschickt:

 Received: from root by ZVOHZGW.local with local (Exim 4.84_2)
(envelope-from <Adkins58590@meinedomain.net>)
id nYgcof-WCLVGK-Ec
for zysk@colognepride.de; Wed, 05 Jul 2017 14:07:44 +0700

Der Zeitzone nach zu urteilen, steht der Server auch nicht in diesen Breitengraden sondern sehr viel weiter östlich.
Ich nehme auch mal an, dass dein Mailserver nicht auf irgendwelchen DNSBLs steht, denn sonst hätte das Problem bei dir vermutlich eine höhere Priorität bekommen face-wink
Aber auch das ist ein Indiz dafür, dass nicht dein Mailserver selbst sendet sondern jemand anderes.
Was du bekommst ist dummer Backscatter, weil irgendein untalentierter Mailserver-Betreuer ein Catchall-Postfach verwendet, dieses per POP3 abruft und bei unbekannten lokalen Empfängern selbst Bounces erzeugt. Ich hoffe, der steht zu Recht auf allen Blacklisten dieser Welt.

Schau mal, ob hier etwas für dich bei ist was du mal eben umsetzen kannst.
Was in der Anleitung etwas untergeht ist, dass du eine DMARC-Policy für deine Domain erstellen kannst, ohne selbst erstmal E-Mails mit DKIM-Signaturen zu versehen ("Monitor only"). Du musst nur eine DMARC-Policy erzeugen, welche angibt dass nicht alle E-Mails signiert sein müssen - du bekommst von den meisten großen Maildiensten dennoch Reports welche IP-Adressen E-Mails mit deiner Domain im Absender verschicken.
Dabei beschränkt sich der Arbeitsaufwand auf das Erzeugen eines DNS-Records.

Ich finde es - unabhängig davon - aber schon erstaunlich, dass man vier Monate lang dieses Problem aussitzen kann.
Mal angenommen, jemand hätte wirklich deinen Mailserver aufgemacht, hätte er vier Monate lang alle E-Mails auf der Büchse mitlesen können.
Auch die mit Kennworterinnerungen für andere Dienste.
Wenn man sowas vermutet, reagiert man bitte etwas schneller (nicht überhastet) aber nunmal halt mit ein bisschen mehr Tempo. Und dann guckt man in die Logfiles und sucht nach Message-IDs, Queue-IDs oder wenigstens der Kombination aus Absender und Empfänger.
Entweder hast du das getan und verschweigst es oder du hast es nicht getan, dann ist das fahrlässig.

P.S.: seit face-wink
ITAllrounder
ITAllrounder 06.07.2017 um 08:24:55 Uhr
Goto Top
Guten Morgen,

ein großes Danke an euch für die Unterstützung.

Ich habe nun eine neue VM aufgesetzt.
Installiert ist nun Ubuntu 16.04.02 mit Zimbra 8.7.11_GA_1854.FOSS
Außerdem habe ich noch einmal alle Passwörter geändert und die DMARC Records neu gesetzt.
Meinen SPF Eintrag habe ich Zeitgleich auch neu gesetzt.
Bis stand gestern Abend war dieser nämlich: v=spf1 ip4:79.133.XYZ.ABC nun ist er v=spf1 mx ip4:79.133.XYZ.ABC -all

Ich werde mir die Logdateien heute auch noch einmal alle vornehmen und mal schauen, ob ich da was finde. Ggf. war auch ein fehlerhaftes PHP Skript mit Klartext Kennwörtern für den Mailversand das Problem.