BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) , Bots und Bitcoin

Backscatter: Wie kann ich meinen Server Testen? (Qmail, Postfix mit Plesk 9.x 10.x ): 1 Star2 Stars3 Stars4 Stars5 Stars
4,00 von 5 Punkten, basierend auf 1 abgegebenen Stimmen.
Loading...

Backscatter: Wie kann ich meinen Server Testen? (Qmail, Postfix mit Plesk 9.x 10.x )

Ich bekomme in diesen Tagen immer mehr Anfragen zu Backscatter Problematiken.
Sollten Sie auch eine E-Mail von Ihrem Hoster (1&1, Strato, Hetzner, HostEurope ) bekommen haben, der Sie darauf hinweist, dass Ihr Server "backscattert" einfach weiter lesen...

Was ist Backscattering?
"Backscatter bezeichnet eine automatische Antwort eines empfangenden E-Mail-Servers an die falsche Absender-Adresse, wenn diese (insbesondere bei Spam, E-Mail-Viren und -Würmern) bei der ankommenden E-Mail gefälscht worden ist." (Quelle: Wikipedia)

Dies bedeutet, dass ein Angreifer Ihren Mailserver (z.B. qmail oder postfix) dazu missbraucht, E-Mails an gefälschte "from" Adressen zu versenden.
Dies impliziert nicht unbedingt, dass man zusätzlich ein "open relay" auf dem Mailserver hat oder betreibt.

Wir kann ich überprüfen, ob mein Server "backscattert"?
Hier gibt es zwei Möglichkeiten, die erste Möglichkeit ist einen "online Backscatter-Test" durchzuführen.

Online Backscatter Test

Online Backscatter Test der Firma ITS-Netzwerk für Qmail und Postfix unter Linux

Die Firma ITS-Netzwerk.com stellt einen online Backscatter-Test zur Verfügung. Diesen finden Sie hier: ITS-Netzwerk Backscatter Test für Qmail und Postfix

Manuelle Überprüfung:

Fals Sie eine manuell Überprüfung durchführen möchten, können Sie dies mit Hilfe von Telnet durchführen.
(Wichtig dabei ist den Test nicht auf dem Mailserver durchzuführen, sondern auf einem externen Host)

Linux/Unix Benutzer:
1. Möglichkeit: Mit vollständiger E-Mail Adresse

_$: telnet ihr.mailserver.com 25
_$: ehlo test
250-mein-mailserver Hello test [172.XX.XX.XX]
250-SIZE 52428800
250-PIPELINING
250-STARTTLS
250 HELP

(bitte hier eine existierende E-Mail Adresse von Ihnen eintragen)

_$: mail from:meine_private@email.adresse
250 OK

(Hier bitte eine Domain von Ihnen eingeben anstatt "@Ihre_Domain.com")

_$: rcpt to: blablubb00@Ihre_Domain.com
250 Accepted
_$: data
354 Enter message, ending with "." on a line by itself
_$: hier können Sie nun einen Freitext schreiben
_$: . (mit "." melden Sie dem SMTP Server ich bin fertig mit meinem Freitaxt)
250 OK id=1PhXXXS-00XXXf-1M

Mit "STRG+5" bricht man nun den Telnet Dialog ab und kommt wieder auf seinen gewohnten Prompt.

2. Möglichkeit nur mit local-Part

_$: telnet ihr.mailserver.com 25
_$: ehlo test
250-mein-mailserver Hello test [172.XX.XX.XX]
250-SIZE 52428800
250-PIPELINING
250-STARTTLS
250 HELP

(bitte hier eine existierende E-Mail Adresse von Ihnen eintragen)

_$: mail from:meine_private@email.adresse
250 OK

(Hier bitte eine Domain von Ihnen eingeben anstatt "@Ihre_Domain.com")

_$: rcpt to: blablubb00

hier wird nur der "local-Part" (blablubb00) verwendet nicht die gesamte E-Mail Adresse

250 Accepted
_$: data
354 Enter message, ending with "." on a line by itself
_$: hier können Sie nun einen Freitext schreiben
_$: . (mit "." melden Sie dem SMTP Server ich bin fertig mit meinem Freitaxt)
250 OK id=1PhXXXS-00XXXf-1M

Sollte alles funktioniert haben, müssten Sie nun eine E-Mail an "meine_private@email.adresse" bekommen haben mit ähnlichem Inhalt:

------------------------------------------------------------------
Betreff: Mail delivery failed: returning message to sender

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

blablubb00@Ihre_Domain.com
Unrouteable address

------ This is a copy of the message, including all the headers. ------

Return-path:
Received: from [172.XX.XX.X] (helo=test)
by ihr.mailserver.com with esmtp (envelope-from )
id 1Phjmq-00XXXt-Ha
for blablubb00@Ihre_Domain.com; Tue, 25 Jan 2011 15:22:26 +0100
X-Virus-Scanned: Symantec AntiVirus Scan Engine
Message-ID: 

hier können Sie nun einen Freitext schreiben

------------------------------- end -----------------------------------

Für Windows Benutzer:

Mit den folgenden Schritten führen Sie Telnet von der Befehlszeile aus. Klicken Sie zum Öffnen der Befehlszeile auf Start und auf Ausführen, geben Sie "cmd" in das Feld Öffnen ein, und klicken Sie anschließend auf OK. Windows-Telnet Hilfe

Dann führen Sie genau die Schritte aus, wie auch die Linux/Unix Benutzer.

Sollten Sie eine E-Mail an Ihre private E-Mail Adresse erhalten haben und der Telnet Dialog wie oben beschrieben funktioniert hat, "backscattert" Ihr Server !!!
Dies stellt ein großes Sicherheitsrisiko dar und Ihr Provider/Hoster wird Sie höchstwahrscheinlich vom Netz nehmen.

Wie sieht ein SMTP-Dialog eines ordentlich konfigurierten Mailservers aus, der die Backscatter E-Mails ablehnt:

_$: telnet ihr.sicherer-mailserver.com 25
_$: ehlo test
250-sicherer-mailserver Hello test [172.XX.XX.XX]
250-SIZE 52428800
250-PIPELINING
250-STARTTLS
250 HELP

(bitte hier eine existierende E-Mail Adresse von Ihnen eintragen)

_$: mail from:meine_private@email.adresse
250 OK
_$: rcpt to: blablubb00@Ihre_Domain.com
450 4.7.1 Client host rejected: cannot find your hostname, [21X.XXX.XXX.XXX]
_$: data
554 5.5.1 Error: no valid recipients

So sollte der Mailserver auf ein gefälschtes "from" reagieren. Die Ausgabe kann abweichen, je nach Mailserver Typ den Sie verwenden.

Wie kann ich das Backscatter-Problem lösen und Postfix anstatt Qmail verwenden?

  • 1. Erstellen Sie ein vollständiges Backup Ihrer Daten.
  • 2. Mailserver stoppen über die Plesk Oberfläche
  • 3. Postfix installieren. Dazu verbinden Sie sich mit auf Ihren Linux Server via SSH Mit folgendem Befehl wechseln Sie Ihren Mailserver von Qmail auf Postfix:
  • /usr/local/psa/admin/sbin/autoinstaller --select-release-current
    --install-component postfix
    
  • 4. Starten Sie nun wieder Ihren Mailserver über die Plesk Oberfläche. Ihre Mails und E-Mail Konten, sind wie gewohnt wieder verfügbar.
  • Mehr Informationen finden Sie auch auf der Paralles Webseite unter [LINK]

Wo finde ich weitere Hilfe?

qmail Webseite
postfix Webseite

Kommerzielles Angebot für die Beseitigung des Backscatter-Problems:?

Sollten Sie Probleme haben bei der Umstellung Ihres Mailserver, können wir Ihnen von ITS-Netzwerk gerne weiter helfen. Wir übernehmen die komplette Umstellung Ihres Mailservers inkl. eines einmaligen Backups. Für ein Angebot schicken Sie uns doch einfach eine E-Mail oder schreiben Sie uns über unser Kontaktformular. Sofern Sie wegen des Backscatter-Problems anrufen, erhalten Sie von uns ein kostenloses 15 Minütiges Beratungsgespräch.

Kommentare (2) Trackbacks (0)
  1. Hallo,

    Zitat: (Bitte beachten Sie, sollte Ihr Server “backscattern” wird die IP auf deren internen IP-Blackliste geführt.)

    Das stimmt nicht. Auf der Seite kann man lediglich nachschauen, ob die IP als Backscatterer bekannt ist. Ein „Lifetest“ wird nicht durchgeführt !

  2. Danke für den Input. Ich habe den Teil aus dem Artikel gelöscht und es dahingegen umformuliert, dass man nur testen kann ob die Mailserver IP dort gelistet ist.


Leave a comment

Noch keine Trackbacks.

/* google like button API */