>"Mag. Peter Jagl" wrote:
>
> Liebe Kollegen - liebe Experten!
> Zunächst einmal schöne Ferien !
>
> PROBLEM 1:
> Wie ich nun feststellen musste, wird mein webserver in der Schule ja
> doch missbraucht ! Ich hatte zuletzt vorigen Freitag (Schulschluss in
> NÖ) die 'root-Mailbox' durchgeschaut und die Mails gelöscht. Nun hatte
> ich heute 17MB (!) an Nachrichten, davon sehr viele nicht zustellbare;
> zumeist advertisments (Bahamas, rooms, travels, ....) sent by |W.R.C.|
> Hauptverursacher ist OEMComputer PPPa54 - ResaleLosAngeles Metro3 -
> 327088.dialinx.net bzw. amnix.com.
> Also: Tausende von SPAM-MAILS !!!!!!!!!!!!!
>
> Ich bin aber an einer zuverlässigen Lösung interessiert, um Spam zu
> vermeiden. Auf der PI-Hollabrunn Seite gibt es zwar eine Anleitung,
> für älter LINUX Systeme (ih benütze SuSe 6.0) wird aber ein Update
> empfohlen. Die Anleitung für's Update gibt es aber noch nicht.

Auch schöne Ferien :-)!

Prinzipiell gibt es 2 Möglichkeiten um die Benutzung eines SMTP Mailservers von außerhalb zu unterbinden. Die erste Möglichkeit ist mittels einer Firewall (Ipchains unter Linux) die Verbindungen auf den Port 25 (SMTP) des Mailserver nur von bestimmten IP-Adressen (oder Netzadressen) zu erlauben. Diese einfache Lösung hat aber den Nachteil, dass KEINE Mails die von anderen Mailservern zugestellt werden, von dem geschützten Mailserver akzeptiert werden.

Die zweite und wesentlich bessere Lösung verbirgt sich in Sendmail 8.8.8 oder höher selbst :-). Ab Version 8.8.8 ist Sendmail so konfiguriert, dass man mittels der Datei /etc/mail/access (der tatsächliche Pfad kann von dem hier angegebenen Pfad auch abweichen) das Relayen des Mailservers beschränken kann. Alle in dieser Datei angegebenen User/Netze/IP-Host-Adressen/Domainen, ..... dürfen über den Mailserver Mails relayen. Der Rest der Welt bekommt die Fehlermeldung "Relaying denied".

Wie gerade erwähnt kann man mittels der ..../access Datei verschiedenste Regeln erstellen. Hier ein kleiner Auszug der Möglichkeiten:

>>> cyberspammer.com 550 We don't accept mail from spammers

Dieser Eintrag bedeutet, dass alle Verbindungen die von einem Rechner aus "cyberspammer.com" mit der angegebenene Meldung abgebrochen werden.


>>> okay.cyberspammer.com OK

In diesem Fall werden Mails von dem Host okay........... akzepiert wenn die Zielemailadresse auf dem Mailserver zu finden ist (Relaying ist verboten). Hierzu ein Beispiel:

Angenommen ein Mailserver der für die Domaine @xyz.org verantwortlich ist hat diesen Eintrag in seiner access Datei. Nehmen wir weiters an, dass es einen User namens admin auf diesem Mailserver gibt. Schickt nun der Host okay.cyberspammer.com eine Mail an admin@xyz.org in dem er sich direkt auf den SMTP-Port des Mailserver für xyz.org verbindet so wird die Mail akzeptiert und lokal dem User admin zugestellt. Versucht der Host okay...... auf die gleiche Weise zB. eine Mail an ange@htl-donaustadt.at ;-) zu schicken so verbietet dies der Mailserver mit der Meldung "Relaying denied"...


>>> sendmail.org OK

Siehe oben......


>>> 128.32 RELAY

Dies ist nun der interessanteste Eintrag von allen... Er erlaubt allen Rechnern die mit 128.32.xxx.xxx beginnen, dass sie Mails über diesen Mailserver relayen dürfen...


>>> user@ RELAY

Dieser Eintrag gestatten dem User "user" das Relayen unabhängig von der IP-Adresse. Leider funktioniert dieser Eintrag nur wenn die Verbinung zu dem Mailserver von einem (allg. ) UNIX System kommt. Weiters muss die sendmail.cf modifiziert werden.

=============

Hier nun ein konkretes Beispiel. Ich hoffe meine ASCII Arts sind entzifferbar :-).

Nehmen wir folgendes an:

Domain @no-spam.org
IP-Nummernbereich der uns zur Ferfügung steht: 193.170.109.0/24

Um nun allen Rechnern aus unserer virtuellen Organisation no-spam das relayen zu ermöglichen sind folgende Eintragungen in der /etc/mail/access Datei zu tätigen:

# Diese Zeile ist notwendig, dass user die direkt am Mailserver eingeloggt sind relayen können
127 RELAY

# Durch diese Zeile dürfen weiters nur Rechner aus dem angegebenen IP-Bereich über unseren Mailserver relayen.
193.170.109 RELAY

===================

Eine kleine Hürde gibt es noch. die access Datei ist nur eine Konfigurationsdatei. Sendmail greift nicht direkt auf die access-Datei zu. Damit sendmail die Einträge versteht müssen sie noch in eine DB Datenbank umkonvertiert werden. Viele Linuxsysteme darunter auch SuSE erledigen diese Umkonverteritung wenn sendmail neu gestartet wird. Ich weis aber nicht ab welcher Version von SuSE dies "automatisch" geschieht.

Hier der Befehl um die Konvertierung händig durchzuführen:

>>> makemap hash /etc/mail/access.db < /etc/mail/access


Wir an der HLT Donaustadt haben unsere Mailserver so konfiguriert, dass sie Relaying nur von einer IP-Adresse der HTL erlauben. Mit dieser Einstellung fahren wir jetzt schon mehrere Jahre ohne Probleme und ohne, dass unsere Mailserver zum Spammen verwendet werden.


AD SuSE-Update:
=============
Bei einem Update von SuSE Linux geht man am Besten lt. Handbuch vor. Vor einem "Update" empfehle ich Ihnen allerdings ein komplettes Backup Ihres Systems anzufertigen. Denn wie ich seinerzeit von SuSE 6.0 auf 6.3 upgedatet habe funktionierte anschließend nichts mehr :-(.


Mit besten Grüßen

Thomas Angermayer

htl donaustadt








--
Kustodenforum: Liste fuer den Meinungsaustausch von Kustoden
an osterreichischen Schulen.
Diese Liste wird vom Computer Communications Club (http://www.ccc.at) betrieben. Um sich aus der Liste austragen zu lassen, senden Sie ein e-mail an majordomo@ccc.at mit dem Befehl "unsubscribe kustodenforum" im Nachrichtentext.