Analýza logu Postfixu - problém se spamem

[xfce]

Zdravím,

ve firmě pro kterou občas dělám mají Linux firewall sloužící zároveň jako smtp server a nyní se dostali na blacklist Spamhausu. Kouknul jsem na log postfixu za září a opravdu tam je spousta odchozích mailů, ale neumím poznat, jestli dochází ke zneužití smtp zvenčí, nebo maily generuje sám fw nebo je napaden nějaký počítač uvnitř sítě, který maily odesílá. Všechny PC uvnitř sítě (WXP) mají NOD32 / Ad-Aware a nic podezřelého nehlásí.
Nebyl by někdo ochotný log projet a říct mi, odkud se ty maily berou, abych věděl, kde začít hledat problém?
Stahoval jsem nějaké log analyzery, ale fungoval mi jen jeden (pflogsumm) a ten mi moc neřekl. Prostě ten log neumím interpretovat ani převést do nějaké pro mě čitelné podoby. V logu jsem změnil název domény na nase_firma.cz a IP fw na 22.23.24.25 (fw má adresu gw.nase_firma.cz)

Díky

http://uloz.to/2656859/log.zip

[marshall1727]

mrknul bych se, ale
Překročen počet FREE slotů, použijte VIP download

[xfce]

mrknul bych se, ale
Překročen počet FREE slotů, použijte VIP download

Taky mi to teď píše, pardon, náhral jsem tedy ještě na edisk: http://www.edisk.cz/stahni/72686/log.zip_2.14MB.html

[marshall1727]

Kód: [Vybrat]

Sep 12 04:55:03 gw postfix/smtpd[6598]: connect from localhost[127.0.0.1]
Sep 12 04:55:03 gw postfix/smtpd[6598]: 7259D1399B: client=localhost[127.0.0.1]
Sep 12 04:55:03 gw postfix/cleanup[6601]: 7259D1399B: message-id=<20090912025503.7259D1399B@gw.nase_firma.cz>
Sep 12 04:55:03 gw postfix/qmgr[893]: 7259D1399B: from=<mattodhe_1988@webisimo.com>, size=9029, nrcpt=2 (queue active)
Sep 12 04:55:03 gw postfix/smtpd[6598]: disconnect from localhost[127.0.0.1]
Sep 12 04:55:04 gw spamd[918]: connection from localhost [127.0.0.1] at port 33432
Sep 12 04:55:05 gw spamd[918]: info: setuid to spamd succeeded
Sep 12 04:55:36 gw spamd[918]: processing message <20090912025503.7259D1399B@gw.nase_firma.cz> for spamd:501.
Sep 12 04:58:00 gw spamd[918]: clean message (4.9/5.0) for spamd:501 in 176.5 seconds, 8892 bytes.
Sep 12 04:58:00 gw spamd[918]: result: .  4 - BAYES_50,HTML_MESSAGE,MIME_HTML_ONLY,MSGID_FROM_MTA_ID,RCVD_IN_SORBS_DUL,URIBL_SBL scantime=176.5,size=8892,mid=<20090912025503.7259D1399B@gw.nase_firma.cz>,bayes=0.500000766790592,autolearn=no
Sep 12 04:58:01 gw postfix/pickup[6452]: 05CE813998: uid=501 from=<mattodhe_1988@webisimo.com>
Sep 12 04:58:01 gw postfix/cleanup[6606]: 05CE813998: message-id=<20090912025503.7259D1399B@gw.nase_firma.cz>
Sep 12 04:58:01 gw postfix/qmgr[893]: 05CE813998: from=<mattodhe_1988@webisimo.com>, size=9400, nrcpt=2 (queue active)
Sep 12 04:58:01 gw postfix/pipe[6602]: 7259D1399B: to=<pavlinav@localhost.nase_firma.cz>, orig_to=<ve.ja@nase_firma.cz>, relay=spamassassin, delay=178, status=sent (gw.nase_firma.cz)
Sep 12 04:58:01 gw postfix/pipe[6602]: 7259D1399B: to=<vendyj@localhost.nase_firma.cz>, orig_to=<ve.ja@nase_firma.cz>, relay=spamassassin, delay=178, status=sent (gw.nase_firma.cz)
Sep 12 04:58:01 gw postfix/qmgr[893]: 7259D1399B: removed
máte tam počítač gw.nase_firma.cz ?
tohle je realna schranka - qzihgl@nase_firma.cz  ?
schranka pavlinav ma dostavat temer vsechnu postu ?
neběží na tom serveru webserver s nějakými hezkými stránkami?

[xfce]

máte tam počítač gw.nase_firma.cz ?
tohle je realna schranka - qzihgl@nase_firma.cz  ?
schranka pavlinav ma dostavat temer vsechnu postu ?
neběží na tom serveru webserver s nějakými hezkými stránkami?

gw.nase_firma.cz je ten fw z kterého je log (viz konec prvního postu)
qzihgl@nase_firma.cz není reálná schránka ani alias
pavlinav dostává všechnu poštu, která nemá jiného konkrétního příjemce, takže to by mělo být ok (fw vybírá doménový koš pro nase_firma.cz a maily rozhazuje jednotlivým lidem/skupinám/aliasům)
webserver tam neběží, běží tam jen věci zajišťující přístup k internetu (squid, pošta+antivir+antispam), z venku by mělo být možno připojit se k tomu stroji pouze přes ssh (pouze dané ip) a openvpn (nestd port a nutno mít certifikáty)

[Martin Kiklhorn]

jenom co jsem to prolít - relay je zakázaná, pokusy s pipe ( |infon@nase_firma.cz ) taky neprocházejí.
Doména b...x.m.cz ?

Gmailu se nelíbí - https://mail.google.com/support/bin/answer.py?answer=81126&&hl=en

a jak vypadá tohle?

http://www.dnsbl.info/dnsbl-database-check.php
http://www.spamhaus.org/query/bl?ip=XXX.XXX.XXX.XXX

[xfce]

Doména b...x.m.cz ?

Jsem trochu natvrdlý, co s tou doménou? m.cz mi nic neříká

http://www.dnsbl.info/dnsbl-database-check.php

U všech zelená ikonka (OK)

http://www.spamhaus.org/query/bl?ip=XXX.XXX.XXX.XXX

XXX.XXX.XXX.XXX is not listed in the SBL
XXX.XXX.XXX.XXX is not listed in the PBL
XXX.XXX.XXX.XXX is listed in the XBL, because it appears in:
    * CBL
Na Spamhausu ta IP je vedená, to jsem psal v prvním postu a vlastně tím se přišlo na problém, protože se začaly vracet odesílané emaily.

To s tím Gmailem musím pročíst, abych pochopil o co tam jde, a pak ještě doplním.

[marshall1727]

mě se před časem stalo tohle:

Kód: [Vybrat]

Diagnostic-Code: smtp; 554 5.7.1 Service unavailable; Client host
    [XX.XX.XX.XX] blocked using sbl-xbl.spamhaus.org;
tož jsem se odtamtud vymazal a nic se dále nedělo. ale dělalo mi to jen u jednoho adresáta asi u dvou emailů. konkrétně 22.9. a na IP odesilatele patřící do rozsahu IOL adsl.

btw co je toto?

Kód: [Vybrat]

Sep 17 09:31:53 gw postfix/qmgr[893]: 7BC0F139B2: from=<FETCHMAIL-DAEMON@gw.nase_firma.cz>, size=3942, nrcpt=1 (queue active)
Sep 17 09:31:54 gw postfix/smtp[4874]: 7BC0F139B2: host vmail.nextra.cz[193.179.158.50] said: 450 4.1.8 <FETCHMAIL-DAEMON@gw.nase_firma.cz>: Sender address rejected: Domain not found (in reply to RCPT TO command)
Sep 17 09:31:54 gw postfix/smtp[4874]: 7BC0F139B2: to=<sales@spm-liberec.com>, relay=mailx.nextra.cz[193.85.2.19], delay=78388, status=deferred (host mailx.nextra.cz[193.85.2.19] said: 450 4.1.8 <FETCHMAIL-DAEMON@gw.nase_firma.cz>: Sender address rejected: Domain not found (in reply to RCPT TO command))

tohle se tam opakuje 17/9 docela často

[Martin Kiklhorn]

http://www.dnsbl.info/dnsbl-database-check.php

U všech zelená ikonka (OK)

XXX.XXX.XXX.XXX is listed in the XBL, because it appears in:
    * CBL

A CBL říkáte že je OK (zelená)

Takže tipuji falešný poplach, nebo nějaký jednorázový incident mezi updaty databáze antispamu. Nevím jak se podívat na to jak vypadaly spamlisty v době incidentu. V logu by se objevilo něco jako rejected because listed...
Párkrát jsem to potkal i doma - mladej je jediná černá ovce s Windows, paří, stahuje cracky, reinstalace několikrát do roka. Když chytí nového trojana který ještě není podchycený tak mi to přes filter prošlo. Ostatním nešly maily. Zaříznul jsem mu smtp, ať používá webmail. Pár tisícovek počítačů si uhlídám - uživatelé nemají admin práva, takže je minimální šance že něco chytí, ale to jedno hnízdo trojanů neuhlídám.

[xfce]

A CBL říkáte že je OK (zelená)

Takže tipuji falešný poplach, nebo nějaký jednorázový incident mezi updaty databáze antispamu. Nevím jak se podívat na to jak vypadaly spamlisty v době incidentu. V logu by se objevilo něco jako rejected because listed...
Párkrát jsem to potkal i doma - mladej je jediná černá ovce s Windows, paří, stahuje cracky, reinstalace několikrát do roka. Když chytí nového trojana který ještě není podchycený tak mi to přes filter prošlo. Ostatním nešly maily. Zaříznul jsem mu smtp, ať používá webmail. Pár tisícovek počítačů si uhlídám - uživatelé nemají admin práva, takže je minimální šance že něco chytí, ale to jedno hnízdo trojanů neuhlídám.

Na tom odkazu bylo sice vše zelené, ale jediné CBL tam je cbl.abuseat.org, nevím jestli to CBL o kterém píše Spamhaus je stejné CBL.

Falešný poplach nevím jestli to je, ale nešlo postupně odesílat na čím dál více adres (jak se asi mailserver dostával na více spamlistů). Pořád mám problém s interpretací toho logu, ty kvanta mailů, to jsou všechno příchozí z venku? Protože z firmy by měly odcházet jednotky, maximálně desítky mailů denně a v logu jsou stovky mailů denně. Pokud si vyjedu např. 20.9. (neděle), mělo by odchozích mailů být 0, ve firmě nikdo fyzicky není. Prostě log neumím rozdělit na směr ven a dovnitř, jestli ty kvanta mailů v logu jsou jen příchozí pošta (spam) - to by nevadilo, s tím se spamfiltry případně obsluha poperou a nebo tam je i odchozí pošta z firmy, což by byl problém, protože v tom případě asi něco odchází "samo" a ani bych se nedivil, kdyby se pak dostali na black list.

[Martin Kiklhorn]

tohle by mohlo pomoct?
isoqlog
http://www.debian-administration.org/articles/230