{"id":73,"date":"2015-05-12T08:36:43","date_gmt":"2015-05-12T08:36:43","guid":{"rendered":"http:\/\/www.smtp-server.net\/?p=73"},"modified":"2015-05-04T20:34:51","modified_gmt":"2015-05-04T20:34:51","slug":"auth-smtp-einfache-schritte-um-smtp-auth-relay-angriff-zu-stoppen-und-kompromittiertes-email-konto-fur-postfix-zu-identifizieren","status":"publish","type":"post","link":"https:\/\/www.smtp-server.net\/de\/auth-smtp-einfache-schritte-um-smtp-auth-relay-angriff-zu-stoppen-und-kompromittiertes-email-konto-fur-postfix-zu-identifizieren\/","title":{"rendered":"Auth SMTP - Einfache Schritte, um SMTP AUTH Relay Attacke zu stoppen und kompromittierte E-Mail-Konten f\u00fcr Postfix zu identifizieren"},"content":{"rendered":"
https:\/\/youtube.com\/watch?v=IaGV9l_3xZM<\/div>\n

Heutzutage sind viele E-Mail-Anwendungen wie Sendmail, Postfix oder sogar MS Exchange so umgestaltet worden, dass sie nicht mehr als \"Spam-Relay\" eingesetzt werden k\u00f6nnen. Unserer Erfahrung nach werden die meisten SMTP AUTH-Relay-Angriffe durch die Kompromittierung von schwach passwortgesch\u00fctzten Benutzerkonten verursacht. Sobald die Konten entdeckt und kompromittiert wurden. Spammer authentifizieren sich mit den Benutzeranmeldeinformationen und erhalten die Erlaubnis, \u00fcber den Server weiterzuleiten, der dann zum Versenden von Spam verwendet wird.<\/p>\n

<\/p>\n

Nachfolgend finden Sie einfache Schritte, um diese Spam-E-Mails schnell zu stoppen und festzustellen, welches Konto bzw. welche Konten kompromittiert wurden.<\/p>\n

Schritt 1: Anhalten der Warteschleife<\/strong>.<\/p>\n

Gro\u00dfe Mengen an Spam-E-Mails stehen in der Warteschlange des Mail-Spoolers. Das Schlimmste daran ist, dass die Spam-Mails Ihren gesamten \/var-Speicher f\u00fcllen. Daher sollten Sie die Mail-Warteschlange immer vor\u00fcbergehend zur\u00fcckhalten, bis Sie herausfinden, welches Konto von Spammern ausgenutzt wurde und eine gro\u00dfe Menge an E-Mails versendet hat.<\/p>\n

Schritt 2: \u00dcberpr\u00fcfen Sie Ihr E-Mail-Protokoll.<\/strong><\/p>\n

Gehen Sie zu \/var\/log\/maillog und werfen Sie einen Blick auf die Zeile mit from:. Sie werden dort viele E-Mail-Dom\u00e4nennamen sehen, die nicht zu Ihrer Organisation geh\u00f6ren. Das liegt daran, dass der Spammer die E-Mail von: f\u00e4lscht.<\/p>\n

Schritt 3: Identifizierung des kompromittierten Kontos, das die SMTP AUTH-Verbindung authentifiziert<\/strong><\/p>\n

Als n\u00e4chstes \u00fcberpr\u00fcfen wir die E-Mail-Konten, die ausgenutzt wurden. F\u00fchren Sie cat grep sasl_username aus und sortieren Sie es. Sie sollten eine lange Liste der Anmeldeversuche und Sitzungen f\u00fcr die ausgenutzten Konten sehen. Sie k\u00f6nnen auch eine schnelle Berechnung durchf\u00fchren, indem Sie den Befehl wc -l ausf\u00fchren, um die Gesamtzahl der Sitzungen f\u00fcr einen bestimmten Benutzer zu sehen.<\/p>\n

Schritt 4: Deaktivieren Sie das missbrauchte E-Mail-Konto.<\/strong><\/p>\n

Einmal haben wir die Zeichenfolge SASL_username, die das Benutzerkonto darstellt. Es wird empfohlen, das Passwort zu deaktivieren oder in ein komplexes Passwort zu \u00e4ndern.<\/p>\n

Schritt 5: Verschieben Sie die Mail-Warteschlange oder l\u00f6schen Sie die Spam-Mail<\/strong><\/p>\n

Nun m\u00fcssen wir uns um unsere Mail-Warteschlange k\u00fcmmern. Der einfachste und schnellste Weg ist, die Mail-Warteschlange zu verschieben und die Hausarbeit sp\u00e4ter zu erledigen. Oder Sie k\u00f6nnen diese Spam-E-Mails mit einem Bash-Skript l\u00f6schen.<\/p>\n

Schritt 6: Mail-Warteschlange freigeben<\/strong><\/p>\n

Denken Sie daran, die Mail-Warteschlange nach unserem Housekeeping-Prozess freizugeben und den Mailverkehr weiter zu \u00fcberwachen.<\/p>","protected":false},"excerpt":{"rendered":"

Today lots of the email application such as Sendmail, Postfix, or even MS Exchange has been re-designed to reduce the possibility of become an ‘spam-relay’. From our experience, most of the SMTP AUTH relay attack is caused by the compromised of the weakly password protected user accounts. Once the accounts discovered and been compromised. Spammer Read more about Auth SMTP – Easy Steps to Stop SMTP AUTH Relay Attack and Identify Compromised Email Account for Postfix<\/span>[…]<\/a><\/p>","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-73","post","type-post","status-publish","format-standard","hentry","category-smtp-servers"],"_links":{"self":[{"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/posts\/73","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/comments?post=73"}],"version-history":[{"count":1,"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/posts\/73\/revisions"}],"predecessor-version":[{"id":74,"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/posts\/73\/revisions\/74"}],"wp:attachment":[{"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/media?parent=73"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/categories?post=73"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.smtp-server.net\/de\/wp-json\/wp\/v2\/tags?post=73"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}