email verkehr überwachen!

**asp2php** · 24.07.2006, 09:20

also du kannst keine Mails versenden, ohne einen Mailserver oder zumindest einen SMTP-Server installiert zu haben. Da in Linuxwelt soviele Softwares frei verfügbar sind, kann man dir nicht wirklich helfen, wenn du nicht sagst, was du auf dem Server laufen hast.

Andererseits, wie kann man denn einen Rootserver übernehmen, ohne was zu kennen/wissen

**TriphunEM** · 24.07.2006, 09:41

äm, ich kenne mich mit linux server grundlegend aus.
habe 3 root-server und administriere die auch schon eine ganze weile...
aber mit dem mailserver selbst hatte ich noch nicht viel zu tun.
klar läuft da ein mail server sonst würde die kontakt formular ja auch nicht funktionieren.

linux-server protokollieren ka in den logfiles jede menge, aber wird auch der email verkehr irgendwo protokolliert. wie gesagt ist ein suse linux server!

???

**wahsaga** · 24.07.2006, 09:50

Re: email verkehr überwachen!

Was bringt dich auf den Gedanken, dass dir so eine Protokollierung ohne weiteres erlaubt wäre ...?

**TriphunEM** · 24.07.2006, 10:01

weil ich der root-admin bin.

es geht eigentlich nur darum, da die sicherheit vernachlässigt wurde...und ich glaube das per email-injection spam verschickt wird. ich würde daher gern wissen bei welchen der 100 kunden-webseiten das geschieht...

verstehs'te?

**wahsaga** · 24.07.2006, 10:21

Original geschrieben von TriphunEM
weil ich der root-admin bin.

Und deshalb haben sämtliche den Datenschutz betreffenden Regelungen für dich keine Gültigkeit ...?

es geht eigentlich nur darum, da die sicherheit vernachlässigt wurde...und ich glaube das per email-injection spam verschickt wird. ich würde daher gern wissen bei welchen der 100 kunden-webseiten das geschieht...

Das berechtigt dich m.E. noch lange nicht, ohne explizite Genehmigung Mailinhalte zu loggen.

Anstatt mich da auf's Glatteis zu begeben, würde ich erst mal den MTA so konfigurieren, dass er die Nutzerkennung/Kunden-ID oder auch den Scriptnamen/-Pfad als zusätzlichen Header in die Mail einfügt, o.ä.
Dann könnte man anhand konkret vorgelegter Spam-Mails erst mal schauen, bei welche(m|n) Benutzer(n) das Problem liegt, und dann deren Scripte genauer in Augenschein nehmen.

**TriphunEM** · 24.07.2006, 10:49

von emails lesen hat keiner was gesagt. ich möchte nur protokolliert haben, welcher absender die meisten emails verschickt und an wem.
gibt es nun in postfix eine möglichkeit das zu protokollieren?

**onemorenerd** · 24.07.2006, 22:08

PHP-Code:


#!/usr/bin/php

<?php

/*



This sendmail wrapper prevents mail form hijacking

by converting all cc and bcc headers to x-spam-cc 

and x-spam-bcc.

Since we run a lot of mail forms and I can not check

them all against their vulnerabilities, I decided to take

this measure, even if all PHP-, Perl- and whateverelse-

scripts loose the power of intentionally send copies

via cc and bcc.



*/



// This serves as hookup for filters applied by the 

// mailserver or the addressees client.

$mail = "x-mailformspam-filter: On\r\n";



// fetch the mail that is piped into here

while ($line = fgets(STDIN)) $mail .= $line;



// For performance reasons we do not rewrite mails to 

// and from the newsletter account.

// Following line matches To, From and Reply-To headers.

if (strpos($mail, ': [email]newsletter@example.com[/email]') === FALSE) {

    // Rewrite cc and bcc header

    $mail = preg_replace("/(b)?cc:(.*)\n/iU", 

            'x-mailformspam-${1}cc:${2}'."\n", $mail);

}



// Assemble the sendmail-call (set correct env for 

// the mailserver and pipe rewritten mail into original 

// sendmail).

$cmd = 'export MAIL_ROOT=/var/MailRoot; ';

$cmd.= 'export DEFAULT_DOMAIN=example.com; ';

$cmd.= 'echo "'.$mail.'" | /var/MailRoot/bin/sendmail ';

for ($i = 1; $i < $_SERVER['argc']; $i++) {

    $cmd .= $_SERVER['argv'][$i].' ';

}



// Log the credentials (happens before mail is handed 

// over to the mailserver so that he can use the log for 

// quirky measures).

system('echo "'.date("Y-m-d H:i:s").' '.$_ENV['PWD']."\n"

        .$headers.'" >> /var/MailRoot/logs/form-'.date('Ymd'));



// Blow it out, handing over the return code to the 

// calling process like sendmail does.

return shell_exec($cmd);



?>

Das ist eine gekürzte Version eines Wrappers, den ich mal aus der Not heraus für einen XMail-MTA geschrieben habe. Dein sendmail-Aufruf ist wahrscheinlich etwas anders und auch das Logging ... der Code ist also nur ein Ansatz für einen sendmail-Wrapper.

Lass deine php.ini darauf zeigen, statt auf die originale sendmail. Oder benenne die sendmail um und platziere den Wrapper an ihrer Stelle, um alle Mails deines Systems zu erfassen, die über sendmail gehen.

Ich weise ausdrücklich darauf hin, dass du dich selbst informieren mußt, was erlaubt und was rechtswidrig ist. Das Script ist nicht als Handlungsanweisung sondern vielmehr als Inspiration zu verstehen.

**Lennie** · 19.08.2006, 15:24

Das Thema ist zwar en bisschen älter, aber ich bin gerade am suchen an sicherheitskram was spam betrifft.
Du hast selbst als root-admin keinerlei befugnis. dieses etwas was man bei dem richtigen postverkehr "briefgeheimnis" nennt, besteht auch im internet. und da ist sogar noch viel mehr mit gemeint.
vielleicht fragst du einfach deine Kunden ob sie sowas bemekrt haben, sollte keiner was bemerkt haben, ist ja alles gut und du kannst dir die mühe sparen.

email verkehr überwachen!