Spammailversand - Mailadresse blockieren oder löschen

  • @Ninos
    er schreibt doch im ersten Post was von Webmaster. Also sind die Funktionen von phpmail absolut uninteressant. Sollte der Webspace kompromittiert worden sein, dann machen die sich nicht die Mühe den Absender zu manipulieren. Das würde Unmengen an Emails erzeugen die niemals ihr Ziel erreichen, weil der Mailserver des Empfängers in der Regel einen DNS Lookup macht und dann erkennt das die Domain nicht zu der IP gehört und somit die Email Rejected. Das ist doch nicht das Ziel von diesen Affen. Die wollen Spam versenden der ankommt, solange der Server nicht auf der Blacklist steht.


    Ist im PHPmail Script kein Absender deklariert wird die Mail auch mit dem Absender "webmaster@domain.tld" versendet.

  • Hallo Jungs,
    und sorry für die späte Rückmeldung, aber ich habe keine Benachrichtigung über eure Antworten erhalten und als ich reinschaute gab es noch keine. Da es damals akut war musste ich daher am System arbeiten. Ich konnte den Fehler finden und es war in der Tat eine kompromitierte Webseite. Ein altes Plugin in Joomla war Schuld, dass sich dort ein Script hochladen konnte, was sich zudem noch auf dem Webspace verteilte. Ich habe alles bereinigen könne und seitdem läuft der Server und die Webseite wieder 1a. Allerdings hatte ich ein paar Tage danach richtig Ärger mit Yahoo wegen dem Server der dort bereits auf der Blacklist stand ;(. Aber auch das ist geklärt. Nochmal viele Dank für eure Antworten.

  • Problematisch ist generell, wenn die Scripte eine eigene SMTP-Engine haben. Dann kriegst du von der Spammerei halt nix mit - im Mailserverlog sieht man ja sonst zumindest was. Aus diesem Grund habe ich meine Firewall so konfiguriert, dass nur noch der postfix-User ausgehend auf Port 25 Verbindungen aufbauen kann. Spammerei kann also nur noch über Postfix laufen und da sehe ich es wenigstens.
    Besser wärs allerdings noch, wenn sich auch lokal alle Benutzer authentifizieren müssten. Das hätte ich allerdings gleich von Anfang an einführen müssen - jetzt ist es dafür zu spät, da sich die Webpräsenzen halt darauf verlassen, dass es so geht.

  • Hi,
    klingt interessant. Ansonsten hatte ich bisher auch nie Probleme, aber so ist es ja immer - irgendwann sind sie da ;). Ich habe es nur mitbekommen, weil ich ein Script über die Mailqueue laufen lasse und mir per Mail zu sende. Da standen dann auf einmal unglaubilche >5000 Mails in der Queue und das ist schon ungewöhnlich. Leider waren die Bits und Bytes dann schneller als ich, sodass schon ein beträchlicher Teil gesendet wurde. Da ich die anderen Webseiten vorerst nicht mit runter ziehen wollte hatte ich dann ein Script was genau diese Mails aus der Queue löscht und ich nebenher den Übeltäter suchen konnte. Gesendet wurde letztendlich über die betroffene Webseite mit der Mailadresse des Absenders und dem, ich glaube es war, der php-mailer... - Naja wieder was dazu gelernt. Ich hatte noch kurz nach einer Lösung gesucht und irgendwas für Postfix mit der Limitierung von X Mails pro Stunde gefunden. Das wäre ggf. auch eine Möglichkeit - einfach pro User 100 Mails pro Stunde oder 500 pro Stunde einstellen und es ist etwas "sicherher". Ich habe es aber nicht eingestellt, weil ich nur diesen einen Server habe und nicht daran rumbasteln wollte, jedenfalls nicht so lange ein Pro die Einstellungen bestätigt...

  • Das massenhafte Löschen von Mails aus der Q bei Postfix geht übrigens ganz einfach - auch ohne Script :-)
    >mailq |grep <dein_suchstring> |awk '{print $1}'| postsuper -d -


    Wichtig ist das "-" ganz am Ende.
    Nur so als Tipp und Klugscheisserei :-)


    Ich hatte diese Obergrenzen in Postfix mal gesucht, aber letztlich nix Passendes PRO USER gefunden. Generell habe ich natürlich schon die Möglichkeit, das Ganze mit iptables zu begrenzen. Aber es kommt durchaus mal vor, dass ein User einen Newsletter verschickt und dann liegt der Kram auch in der Q rum. Und dann gehen halt auch "reguläre" Mails nicht mehr raus. Tja, also die "goldene" Lösung habe ich auch noch nicht gefunden, ich denke da müsste ich was scripten

  • Hi,
    ja genau den Befehl meine ich, habe ich am Anfang von Hand gemacht jedoch wurde es irgendwan neben der Suche nach dem Übeltäter zu lästig und ablenkend, sodass ich dann das als Script automatisch alle 10Sek ausgeührte hatte ;) also in sofern ... dakor