Offenes Exim Relay schließen oder: Mist, ich bin ein Spammer…

Heute und gestern war einer unserer Server eine Spamschleuder! *schock* Es handelte sich hierbei glücklicherweise nicht um ein Produktivitätssystem sondern einen relativ Testserver mit dem üblichen LAMP-Standard (Debian, Exim, Confixx).

Und zwar ist es so, dass in der /etc/hosts die IP-Adresse 127.0.0.1 nicht nur localhost zugeordnet wurde sondern auch localhost.localdomain. Diese Datei hat Exim zumindest in unserer Konfiguration in die Liste erlaubten Relaynetze eingelesen und damit zu einem Sicherheitsleck geführt.

Der Spammer nutzte (ob bewusst oder unbewusst) eben diesen Umstand und identifizierte sich beim Aufbau der SMTP-Verbindung mit „localhost.localdomain“.

Unser Exim, unerfahren und blöd, erkannte mit seiner rosaroten Bille nur *bing* ein erlaubtes Relay und versuchte (wohlbemerkt versuchte) munter jede Menge Mails zu versenden – summa summarum ein paar Tausend Nachrichten inklusive jeweils 10 Bildcopies (BCC).

Glücklicherweise hatten wir den Reverse-DNS Eintrag noch nicht gesetzt, so dass Yahoo! (mein absoluter Negativfavorit in Sachen Freemailer) keine einzige Mail vom Spam entgegengenommen hat. Ein zweites Mal Glück im Unglück hatten wir, dass zufällig alle(!) Mails an Yahoo! Adressen adressiert waren – grins…

Naja… Auf jeden Fall habe ich den localhost.localdomain Eintrag erst einmal entfernt und hoffe, dass nun kein Connect mehr akzeptiert wird. Falls doch muss werde ich doch Postfix installieren…

Schreibe einen Kommentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.