Postfix - Tipps und Tricks

Nachdem gestern der Server eines Freundes in den Genuß einer SpamAttacke kam und ein Script fröhlich von einem australischen Server aus über seinen Server massenweise Mails verschicken wollte (grund war ein gehackter Mailaccount der mit dem Passwort test gesichert war :) ) mußten wir schauen, wie wir das Problem in den Griff bekommen. 

Da auf dem Server Postfix als MTA eingesetzt wird, kommen hier ein paar Tipps, wie man bei Postfix die Queue löschen kann, die Logs einstellt oder auch einfach nur den Dienst startet oder stoppt. Betriebssystem des Servers ist Debian.

Postfix starten / stoppen

/etc/init.d/postfix start / stop

Postfix Queue leeren

mailq | tail -n +2 | awk 'BEGIN { RS = "" } /\.*$/ { print $1 } ' | tr -d '*!' | postsuper -d -

Postfix Logs einstellen

vi /etc/syslog.conf

#####
mail.*                          -/var/log/mail/mail.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info                       -/var/log/mail/mail.info
mail.warn                       -/var/log/mail/mail.warn
mail.err                        /var/log/mail/mail.err

####

:wq

/etc/init.d/sysklogd force-reload

Fazit: Der erste Schritt beim Abwehren der SpamAttacke war das stoppen des PostfixDaemon. Anschliessend mußten die tausende und abertausende Mails aus der Postfix Queue entfernt werden und dann konnte der MTA wieder neu gestartet werden.

Sollten dann, wie bei uns geschehen, die Attacken trotzdem weitergehen, hilft ein Blick in die Maillogs, um die IP bzw. die IPs des Angreifers zu identifizieren und über iptables zu blocken.

Den Befehl zum Blocken von IPs schreib ich im nächsten Artikel.