sia
gesperrt
Hallo Leute,
Bisher wurde ich glücklicherweise damit verschont, aber heute bekam ich eine Mail vom OVH Monitoring, dass mein Kimsufi-Server Spam verschickt.
Inhalt der Mail:
Der Postfix, der installiert ist, darf nur lokale Mails senden. In dessen Logs habe ich auch keine ausgehenden Mails mit den oben angegebenen Adressen gefunden. Keiner der User lässt ein Script laufen. Keine Infektion feststellbar, auch kein Rootkit, auch nicht über die Recovery-Konsole. Keine offenen Ports. Keine ungewöhnlichen Einträge in der Firewall (listening ist nur 22, 53, 80, 443 erlaubt, outgoing natürlich erst mal alles, habe jetzt aber Port 25, 2525, 465 und 587 geblockt), schon gar nicht zur angegebenen IP.
Welche Methoden würdet ihr in dieser Situation für die Untersuchung nutzen?
Bisher wurde ich glücklicherweise damit verschont, aber heute bekam ich eine Mail vom OVH Monitoring, dass mein Kimsufi-Server Spam verschickt.
Inhalt der Mail:
Dear Customer,
Our anti-spam protection layer has detected that your IP 1.1.1.1 is sending spam.
In order to protect our network, we have blocked the port 25 of your server, at the
network level.
To help you investigate about this problem and fix it, here are a sample
are some advanced details on your emails:
Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDrobaku@aulanet.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
Destination IP: 98.136.102.55 - Message-ID: %MSGIDacoudmuaci@todobandoneon.com.ar - Spam score: 700
If you want more information about anti-spam best practices, check-out this guide:
http://help.ovh.co.uk/AntiSpamBestPractice
Der Postfix, der installiert ist, darf nur lokale Mails senden. In dessen Logs habe ich auch keine ausgehenden Mails mit den oben angegebenen Adressen gefunden. Keiner der User lässt ein Script laufen. Keine Infektion feststellbar, auch kein Rootkit, auch nicht über die Recovery-Konsole. Keine offenen Ports. Keine ungewöhnlichen Einträge in der Firewall (listening ist nur 22, 53, 80, 443 erlaubt, outgoing natürlich erst mal alles, habe jetzt aber Port 25, 2525, 465 und 587 geblockt), schon gar nicht zur angegebenen IP.
Welche Methoden würdet ihr in dieser Situation für die Untersuchung nutzen?
Zuletzt bearbeitet: