Onderwerp: Spam probleem op shared server?

Iemand logt in met smtp en stuurt spam, maar wie?

[root@sha01 log]# lsof -ni tcp:25
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
exim 3432 mail 3u IPv4 7752 TCP *:smtp (LISTEN)
exim 26786 mail 5u IPv4 9282534 TCP 93.158.114.85:smtp->117.2.127.1:20376 (ESTABLISHED)
exim 26786 mail 6u IPv4 9282534 TCP 93.158.114.85:smtp->117.2.127.1:20376 (ESTABLISHED)
exim 26787 mail 5u IPv4 9282536 TCP 93.158.114.85:smtp->117.2.127.1:20381 (ESTABLISHED)
exim 26787 mail 6u IPv4 9282536 TCP 93.158.114.85:smtp->117.2.127.1:20381 (ESTABLISHED)

Code:

2011-04-05 16:15:38 H=(localhost) [117.2.127.1] sender verify fail for <ffartemus@ahm.honda.com>: Unrouteable address
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <trofimov@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <trofimova@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <ts@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tsv@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tt@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tur@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <tv@svetasavina.ru>: Sender verify failed
2011-04-05 16:15:38 H=(localhost) [117.2.127.1] F=<ffartemus@ahm.honda.com> rejected RCPT <ty@svetasavina.ru>: Sender verify failed
2011-04-05 16:16:40 H=(localhost) [117.2.127.1] incomplete transaction (RSET) from <amaycy@paigeme.com>
2011-04-05 16:16:44 H=(localhost) [117.2.127.1] incomplete transaction (RSET) from <ffartemus@ahm.honda.com>
2011-04-05 16:17:44 failed to expand condition "${perl{check_limits}}" for lookuphost router: You (unknown) have reached your daily email limit of 200 emails

exim draait nu enkel op 587, 25 heb ik verwijderd maar dat is uiteraard geen oplossing.

Chris,

Zet even "+arguments \" in je exim.conf onder log_selector (uit m'n hoofd) en je hebt iets betere mogelijkheden om te zoeken...

Heb de user gevonden.

En vaak blijft er wel iets in je mail queue hangen. Met exim -Mvl <message-id> krijg je de logging terug, inclusief eventuele authenticatie. Ook al heb je de user al gevonden, wie weet heeft iemand er nog iets aan :-)

Wat was bij jou uiteindelijk de oplossing?

Oorspronkelijk geplaatst door getUP

En vaak blijft er wel iets in je mail queue hangen. Met exim -Mvl <message-id> krijg je de logging terug, inclusief eventuele authenticatie. Ook al heb je de user al gevonden, wie weet heeft iemand er nog iets aan :-)

Wat was bij jou uiteindelijk de oplossing?

ip dat in de log staat was een dedicated ip. Mail queue was zo goed als leeg (5 frozen), waarschijnlijk door de limiet van 200 mails per gebruiker per dag.

Nu staat de log vol met de soort dingen:

Code:

2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithv@tba-ec.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithperkins@metrotvl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithp@aumort.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithod@medrgrp.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keithn@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <keller@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kelley@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kellyh@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kendall@techservintl.com>: authentication required
2011-04-06 15:33:13 H=(JGTLQBAUX) [46.225.242.226] F=<alleviatedz01@keystonerestore.com> rejected RCPT <kerr@techservintl.com>: authentication required

Ik mag er van uitgaan dat dat de spammers zijn die proberen in te loggen maar dat ze geweigerd worden tot smtp?

Het is een spammer die denkt dat je een open-relay bent, dat lijkt niet het geval dus kan verder weinig kwaad.

Kun je geen "rate limiting" aanzetten? Als een IP-adres teveel verbindingen tegelijkertijd maakt met Exim, zal het IP-adres tijdelijk geblokkeerd worden, zodat je er geen last van hebt.