# Spam blockieren



## xwsnet (10. Okt. 2007)

Hallo,
ich hab schon wieder ein Problem. Und da das Forum hier auch mal gefüllt werden muss versuch ich das hier nochmal.

Das Problem ist, dass einer meiner Kunden ein Script für eine Mailbombe installiert hat (Ich weiß leider noch nicht wer). 

Jetzt such ich nach einer Möglichkeit, wie man das generell unterbinden kann, dass so viele Emails an einen Empfänger in so kurzer Zeit verschickt werden können.

Gibt es so eine Möglichkeit?

Und noch eine Frage. Hat jemand eine Idee, wie man den User "bestrafen" kann? Es ist ja nicht direkt eine Straftat und deswegen wollte ich mal fragen, ob es eine Möglichkeit gibt.

Viele Danke für eure Gedult
XWSnet


----------



## Till (11. Okt. 2007)

Es fallen mir da 2 mögliche Lösungen ein:

1) Wenn Dein Kunde die Emails über PHP mit der mail() Funktion verschickt, dann könntest Du in der php.ini Datei den Pfad zum Sendmail Binary auf ein selbst geschriebenes Script umbiegen, dass eine Statistik über die Menge der gesendeten Mails erstellt, bevor es die eigentliche Email an das sendmail binary übergibt.

Als Beispiel:

*http://www.howtoforge.com/forums/showthread.php?t=13780*


2) Eine andere Lösung könnte die Verwendung von policyd sein, der soll laut Beschreibung sender throttling können.

http://www.policyd.org/features.html

Habe das aber noch nicht getestet, ob das auch für lokal versandte Emails funktioniert.


----------



## xwsnet (11. Okt. 2007)

Jo, das sind auch 2 Möglichkeiten, die ich bei Zeiten mal ausprobieren werde.
Zum Glück hinterlässt alles seine Spuren in den Emails. So konnte ich ganz gut herausfinden, wer welche Emails verschickt hat. 

Mal sehen, wie ich weiter vorgehe...


----------



## PierreR32 (11. Okt. 2007)

Zitat von xwsnet:


> Jo, das sind auch 2 Möglichkeiten, die ich bei Zeiten mal ausprobieren werde.
> Zum Glück hinterlässt alles seine Spuren in den Emails. So konnte ich ganz gut herausfinden, wer welche Emails verschickt hat.
> 
> Mal sehen, wie ich weiter vorgehe...


Hi, 

ich hab auch ab  und zu das selbe Problem nur wie hast du rausgefunden wer das war ? Ich hab schon alle Logs gecheckt nichts gefunden. 

Kannst du mir einen Tip geben ? 

Danke dir
Gruß Pierre


----------



## xwsnet (11. Okt. 2007)

Natürlich kann ich dir helfen.
Ich habe die Informationen nicht aus den Logfiles, sondern direkt aus den Emails. Dort steht drinne, von welchem Benutzter/Webspace die Daten verschickt wurden.

Da ich ca 70000 Mails hatte, die nicht versendet wurden (da der empfänger-server nicht online war), hatte ich eine große Auswahl. 
Die Mails habe ich dann auf Hold gesetzt und dann gesichert. 

Anschließend konnte ich mir alle Emails ansehen. In den Headerinformationen steht dann immer 



> C?            705             681               1               0T^P1192076333 71027A^Vcreate_time=1192076333A^Vrewrite_context=remoteA^Qsasl_method=LOGINA^^sasl_username=web578_kevin4070S^VXXXXX@XXXXX.comA-log_client_name=XXXXX.dip0.t-ipconnect.deA!log_client_address=XXX.XXX.XXX.XXXA@log_message_origin=XXXXX.dip0.t-ipconnect.de[XXX.XXX.XXX.XXX]A^^log_helo_name=web578_kevin4070A^Vlog_protocol_name=SMTPA)client_name=XXXXX.dip0.t-ipconnect.deA1reverse_client_name=XXXXX.dip0.t-ipconnect.deA^]client_address=XXX.XXX.XXX.XXXA^Zhelo_name=web578_kevin4070A^Uclient_address_type=2A+dsn_orig_rcpt=rfc822;YYYYYY@YYYYYY.comO^VYYYYYY@YYYYYY.comR^VYYYYYY@YYYYYY.comM^@NPReceived: from web578_kevin4070 (XXXXX.dip0.t-ipconnect.de [XXX.XXX.XXX.XXX])N?     by AAAAAA.de (AAAAAA Postfix-System) with SMTP id 222271456B44NE        for <YYYYYY@YYYYYY.com>; Thu, 11 Oct 2007 06:18:53 +0200 (CEST)N*From: "XXXXX" <XXXXX@XXXXX.com>N^ZTo: YYYYYY@YYYYYY.comN^LSubject: TipN2X-Mailer: Microsoft Outlook Express 6.00.2600.0000N Reply-To: XXXXX@XXXXX.comN%Date: Thu, 11 Oct 2007 06:18:53 +0200N^QMime-Version: 1.0N*Content-Type: text/plain; charset=us-asciiN3Message-Id: <20071011041853.222271456B44@AAAAAA.de>N^@N^@N^DHey,N^@NcI've just won 413$! It's incredible, you get a 500$ Bonus which makes it almost impossible to lose.N^@N+Check it out: http://www.world-wide-win.comX^@E^@


Die IP/Emailadressen und Namen habe ich unkenntlich gemacht. Aber in diesen Dateien steht immer von wo, nach wo die Email gegangen ist. 
Ich hoffe du konntest damit was anfangen. Wenn die das zu durcheinander war kannst du einfach fragen


----------



## PierreR32 (11. Okt. 2007)

Axo ja nur bei mir steht da immer wwwrun bzw. www-data drin und dann die Domain von mir  sonst hätte ich den Space schonlange geblockt weil das nervt und die Provider setzen einen immer gerne auf die Blackliste  

gruss Pierre


----------



## xwsnet (11. Okt. 2007)

Dank SuPHP läuft jeder Webspace unter einem eigenen User. Das schöne ist auch, dass man den Safe_Mode deaktivieren kann.

Aber das tut zu dem Problem nichts zur Sache. Aber eine andere Möglichkeit habe ich noch nicht ausprobiert.


----------



## PierreR32 (11. Okt. 2007)

Zitat von xwsnet:


> Dank SuPHP läuft jeder Webspace unter einem eigenen User. Das schöne ist auch, dass man den Safe_Mode deaktivieren kann.
> 
> Aber das tut zu dem Problem nichts zur Sache. Aber eine andere Möglichkeit habe ich noch nicht ausprobiert.


Tja und an suphp hab ich mih rangetraut da icht dies auf einem Laufenden System machen müsste. Leider hab ich nur ein HowTo gefunden bei einer neuinstallation ... 
Hab halt angst das dann nix mehr geht  Und dann wäre der Ärger riesengroß. 

Gruß
Pierre


----------



## xwsnet (11. Okt. 2007)

Ich hab das auch auf einem Produktiv-Server gemacht. 
Dazu habe ich das erst einmal auf einer lokalen Maschiene getestet und dann eines Nachts umgesetzt.

Sehr hilfreich sind auch die Test-VServer von Server4u und diesen ganzen anbietern. Einfach mal 3 Tage lang ausprobieren, was falsch laufen kann und dann überlegen ob man das wirklich will.

Ich hatte auch ein paar probleme. Aber nach einem Tag hab ich das alles hinbekommen. Das kann man hervoragend in ein bestehendes System einbauen. Dank des super Howtos.


----------



## PierreR32 (11. Okt. 2007)

Zitat von xwsnet:


> Ich hab das auch auf einem Produktiv-Server gemacht.
> Dazu habe ich das erst einmal auf einer lokalen Maschiene getestet und dann eines Nachts umgesetzt.
> 
> Sehr hilfreich sind auch die Test-VServer von Server4u und diesen ganzen anbietern. Einfach mal 3 Tage lang ausprobieren, was falsch laufen kann und dann überlegen ob man das wirklich will.
> ...


neeee vserver sowas hab ich nicht  wenn dann richtig ok dann muss ich mal ins RZ nen test Server stellen. 

Gruß
Pierre


----------



## xwsnet (11. Okt. 2007)

Ein VServer ist hervorragend dafür zum Testen geeignet. 
Die Testserver werden innerhalb von 30min eingerichtet und die haben eine super Anbindung ans Internet...

Für den Produktiveinsatz habe ich auch einen Rootie


----------



## PierreR32 (11. Okt. 2007)

Ja ne klar nur ich hab eh schränke da kann ich dann nen kleinen rechner mal zum testen reinstellen. 

Gruß


----------



## xwsnet (11. Okt. 2007)

Ja gut... In dem fall werd ich mal nichts mehr sagen...


----------



## PierreR32 (31. Okt. 2007)

Zitat von xwsnet:


> Ich hab das auch auf einem Produktiv-Server gemacht.
> Dazu habe ich das erst einmal auf einer lokalen Maschiene getestet und dann eines Nachts umgesetzt.
> 
> Sehr hilfreich sind auch die Test-VServer von Server4u und diesen ganzen anbietern. Einfach mal 3 Tage lang ausprobieren, was falsch laufen kann und dann überlegen ob man das wirklich will.
> ...


Hi
hab mich heute mal ran gewagt nur der Bricht mit einem Fehler ab  ich hab keinen Plan wieso... 

Gruß
Pierre


----------



## xwsnet (31. Okt. 2007)

Zitat von PierreR32:


> Hi
> hab mich heute mal ran gewagt nur der Bricht mit einem Fehler ab  ich hab keinen Plan wieso...
> 
> Gruß
> Pierre




Welcher Fehler denn?


----------



## PierreR32 (31. Okt. 2007)

schaumal hier http://www.howtoforge.de/forum/showpost.php?p=348&postcount=5


----------



## xwsnet (31. Okt. 2007)

Ehrlich gesagt, habe ich keine Ahnung, was der Fehler aussagt.

Bei mir hat es sowohl bei einem frisch installiertem, als auch bei einem produktiv laufendem ISPConfig geklappt. Ich bin da dem Howto hier gefolgt.


----------



## Till (31. Okt. 2007)

Ich hatte den Fehler bis jetzt auch noch nicht und aktuell wüsste ich auch nicht, woran es liegen könnte. Hast Du die Änderungen am Quelltext durchgefphrt, wie im Howto beschrieben? Dann check bitte nochmal, ob Du auch die richtigen Zeilen editiert hast.


----------



## PierreR32 (2. Nov. 2007)

Zitat von Till:


> Ich hatte den Fehler bis jetzt auch noch nicht und aktuell wüsste ich auch nicht, woran es liegen könnte. Hast Du die Änderungen am Quelltext durchgefphrt, wie im Howto beschrieben? Dann check bitte nochmal, ob Du auch die richtigen Zeilen editiert hast.


jaja mein english .... ich depp hab die zeilen nur auskommentiert ... und nicht ersetzt.


----------

