Linux 14.983 Themen, 106.385 Beiträge

Postfix, Virenscanner Linux Suse 9.3

Duke@Nukem / 6 Antworten / Flachansicht Nickles

Hallo Leute,

Bei einem Kunden schickt der Linux Suse Server mit Postfix, permanent Spam Mails raus.

Ich möchte mal überprüfen, mit welchem Absender die Mails verschickt werden. Gibt es da eine Protokollfunktion ?

Die Ausgaben im Debug vom Router sind da leider nicht aussagekräftig genug.

Desweiteren wollte ich mal fragen, ob es für Linux einen Virenscanner gibt oder wie ich am besten ungebetenen Bot Programme analysieren kann.

Gruß daniel

bei Antwort benachrichtigen
Thovan Duke@Nukem „Postfix, Virenscanner Linux Suse 9.3“
Optionen

Wie angedeutet gibt es bei Postfix Log-Files.
per Default wird unter SuSE 9.3 per syslog in die Dateien /var/log/mail, /var/log/mail.err, /var/log/mail.info und /var/log/mail.warn geloggt.

Das Buch von Peer Heinlein ist wirklich eine Empfehlung.
Allerdings muss ich KarstenW in Punkto Virenscanner wiedersprechen.
Auch wenn Peer Amavis (übrigens korrekterweise amavisd-new) empfiehlt und die Programmbezeichnung Amavis ein Akronym für "a mail virus scanner" ist, handelt es sich dabei mitnichten um einen Virenscanner sondern nur um ein Interface, dass einen Viren- und Spamscanner verwendet.
Für Virenscanner gibt es eine Vielzahl von Möglichkeiten.
2 für private Nutzung kostenlose hat KarstenW zitiert.
Nur die nutzen Deinem (meiner Interpretation Deines Postings nach) gewerblich handelndem Kunden natürlich nichts.
Der einzige mir bekannte kostenlose Virenscanner für Linux im gewerblichen Einsatz ist ClamAV (clamd).
Virenscanner, bei denen die Lizenz für gewerbliche Verwendung bezahlt werden muss, werden eine Menge von Amavis unterstützt.
Zur Analyse von nachrichten auf Spam kommt spamassassin zum Einsatz.

Deiner vagen Beschreibung nach, ist der Server Deines Kunden entweder korrumpiert und selbst Spamquelle (über eingeschleuste Scripts oder Softwarepakete oder per manipulierten Webseiten, sofern darauf auch ein Webserver läuft) oder aber, wie KarstenW vermutete, er ist falsch konfiguriert und kann daher von Spammern als Offenes Relay misbraucht werden.

Auf jeden Fall solltet Ihr umgehend unterbinden, dass er weiter Spam verschickt, da es für Deinen Kunden nicht nur finanzielle Konsequenzen bedeutet (im harmlosesten Fall "nur" Traffickosten) sondern auch rechtliche Folgen haben kann.

Mein Rat ist, dass Du/Dein Kunde sich an Jemanden mit entsprechender Erfahrung wendet, der euch das auf die Schnelle in Ordnung bringt.
Alle Log-Files (nicht nur die von Postfix) sollten weiterhin zur Beweissicherung entsprechend gespeichert und verwahrt werden.
(Einmal zur eigenen rechtlichen Sicherung, auf der anderen Seite um gegebenenfalls Ansprüche gegen den Verursacher geltend machen zu können.)

In punkto Recht wäre die Konsultation eines Anwaltes mit entsprechendem Fachgebiet meines Erachtens empfehlenswert.

Außerdem sollten die Logs analysiert werden um die tatsächliche Spamquelle ausfindig zu machen.
Ein paar der versendeten Spam-Nachrichten sind da sicher auch hilfreich.
Sollte der Server korrumpiert sein, dann kann man nicht mehr auf dessen Sicherheit vertrauen und er sollte ausgetauscht/neu aufgesetzt werden (inklusive Formatierung aller Partitionen aller Festplatten) - aber wie gesagt: Vorher Beweissicherung durch Backup!

Der Fachmann auf dem Gebiet ist Peer Heinlein selbst: Er berät Firmen und erstellt/konfiguriert ihnen E-Mail-Lösungen.

Wenn dann alles wieder in ordnung ist, dann sind seine Bücher (und zusätzlich das von Ralf Hildebrandt und Patrick Ben Koetter) eine sehr gute Lektüre, wenn Du Dich später selbst damit befassen willst.

bei Antwort benachrichtigen