Hi liebes Mailcow-Team, ich habe nun seit drei Tagen einen Mailserver am Laufen und muss vorweg sagen, dass es mit mailcow wirklich richtig einfach und gut vonstatten ging. :) Danke an der Stelle! E-Mail-Versand hat alles soweit funktioniert, auch der Mailtester hat mir ein gutes Ergebnis gezeigt, nur seit heute habe ich (unwissentlich natürlich) tausende Spam-E-Mails versand. Ich verstehe nur nicht genau, wie das passieren konnte. [upl-image uuid=db6f6c0f-d554-4d59-b22c-a2b8c32f97dc size=145kB url=https://community.mailcow.email/assets/files/2020-04-23/1587671066-322368-grafik.png]grafik.png[/upl-image] So sieht das Ganze bei mir nun aus. Wie ist es möglich, dass der Spammer seine Absendeadresse spoofen konnte, ohne, dass eine Schutzfunktion greift? Im Log von Rspamd sieht es folgendermaßen aus: [upl-image uuid=b9917f1c-1f75-4805-88a0-1f1feb165477 size=426kB url=https://community.mailcow.email/assets/files/2020-04-23/1587671258-175664-grafik.png]grafik.png[/upl-image] [upl-image uuid=e980ad88-4a4e-4f95-b3a1-649b3994f364 size=455kB url=https://community.mailcow.email/assets/files/2020-04-23/1587671650-968020-grafik.png]grafik.png[/upl-image] Auf der Rspamd-Seite steht die Absendeadresse auch auf der 172.22.1.1, was ja eigentlich der Docker-Host ist. Aber eine Anmeldung über SSH kann ich ausschließen. Nur Pubkey ist aktiviert und das System steht hinter einer Firewall. Allerdings habe ich auf meinem Gateway gesehen, dass sich jemand versucht hat, Zugang zu verschaffen. Aber die Logs sagen, dass er es nicht geschafft hat und nur über den Gateway gelangt man auf den Mailserver. Ich hoffe, dass mir jemand helfen kann!

Spammissbrauch

moozilla

Hi liebes Mailcow-Team,

ich habe nun seit drei Tagen einen Mailserver am Laufen und muss vorweg sagen, dass es mit mailcow wirklich richtig einfach und gut vonstatten ging. 🙂 Danke an der Stelle!

E-Mail-Versand hat alles soweit funktioniert, auch der Mailtester hat mir ein gutes Ergebnis gezeigt, nur seit heute habe ich (unwissentlich natürlich) tausende Spam-E-Mails versand. Ich verstehe nur nicht genau, wie das passieren konnte.

grafik.png

So sieht das Ganze bei mir nun aus. Wie ist es möglich, dass der Spammer seine Absendeadresse spoofen konnte, ohne, dass eine Schutzfunktion greift? Im Log von Rspamd sieht es folgendermaßen aus:

grafik.png

Auf der Rspamd-Seite steht die Absendeadresse auch auf der 172.22.1.1, was ja eigentlich der Docker-Host ist. Aber eine Anmeldung über SSH kann ich ausschließen. Nur Pubkey ist aktiviert und das System steht hinter einer Firewall. Allerdings habe ich auf meinem Gateway gesehen, dass sich jemand versucht hat, Zugang zu verschaffen. Aber die Logs sagen, dass er es nicht geschafft hat und nur über den Gateway gelangt man auf den Mailserver.

Ich hoffe, dass mir jemand helfen kann!

diekuh

Schaut aus, als hättest du ein offenes Relay über IPv6. UFW aktiv? VPN Server oder solche Dinge installiert? Irgendwas, das deine iptables steuern möchte?

moozilla

Ja ich habe WireGuard installiert. Ansonsten nichts dergleichen. UFW nutzte ich nicht, nein. Mein gemieteter vServer ist nach Außen über die Firewall des Anbieters abgesichert und die Ports werden derzeit noch über SSH durch den Tunnel an meine lokale VM weitergereicht, auf der mailcow läuft. Die VM hinter dem vServer ist noch nicht abgesichert 😅

moozilla

Anyone? :/

diekuh

Du wirst vermutlich alles masqueraden. Wenn du nicht genau weißt, was netzwerktechnisch das WG bei dir verändert, dann lass es lieber auf einem anderen Server laufen. Ansonsten schau dir das NAT an und fixe es.