Was ist eigentlich ein Open Relay?

Als Offenes Mail-Relay, Open Relay oder third party SMTP Relay wird ein Rechner (B) bezeichnet, der von jedem beliebigen Rechner (A) E-Mail annimmt und an beliebige Dritte (C) weiterleitet, obwohl er weder für Mail von A noch für Mail an C zuständig ist.

Quelle 

Wie testet mans am einfachsten? Auf dem Server(wo der Mail-Server eingerichtet wurde) einloggen und folgendes eingeben:

1

telnet rt.njabl.org 2500

Und dann warten, wenn nix kommt, sollte man die 2500 durch 2501 tauschen ;)

Zum Schluss sollte dastehen: Can’t relay Ansonsten würd ich mir Gedanken machen, ob die Config nicht nen Fehler hat…

Die Durchführung der folgenden Kommandos erfolgt auf eigene Gefahr! Du solltest wissen was du tust!

Tausche im folgenden “ich@example” durch die Absenderadresse aus:

1

mailq|grep 'ich@example'|awk {'print $1'}|grep -v "(host"|tr -d '*!'|postsuper -d -

Die konkreten Änderungen für 1.4.2:

• Double menuentries for Billing was shown (bug 1003)
• APS menu now shows up again (bug 1002)
• PHPMyAdmin/WebMail/WebFTP links in menu now show up again (bug 1061)
• PHP Configuration is again editable (bugs 1024, 1029, 1031)
• Several language mistakes in english language file were corrected (bug 1070)
• Protected areas with lighttpd work again (bug 1050)
• Awstats configuration page show all configs (bug 1001)
• Added missing line break to nss-mysql.cnf (bug 1026)
• Database query error by searching for ticket on categories page (bug 1073)
• Resellers weren’t able to manage instances of their customers (bug 1088)
• Autoresponder cron script didn’t ran because of short tags (bug 1045)
• Autoresponder didn’t remove the cron lockfile if module was disabled (bug 1091)

Die Änderungen für 1.4.2.1:

• Domain adding was case-insensitive, allowing same domain to be added multiple times (1057)
• Domain panel pagination is faulty, shows too many pages (bug 1157)
• Adding one-letter-subdomains didn’t work (bug 1064)
• Wildcards are agin allowed in IP/Port configuration (bug 1115)
• When adding IP/Port combination: Listen Statement not set (bug 1190)
• Added Debian Lenny 5.0 Configfiles
• Unable to add one-letter-subdomains (bug 1064)
• It is not possible to add a forward as subdomain (bug 1015)
• Admin messages always bounced because of switched email/name (bug 1160, 1040)
• E-Mail-Accounts with IDN-Domains now work again (you have to change your configuration) (bug 1170)
• Mail qouta in “email_quota_used” is not changed if mail account is deleted (bug 1107)
• Customer can disable mail quota (bug 1100)
• Number for email forwarders for customers not possible to set to unlimited (bug 1158)
• Fixed lots of warnings in php code (bug 1044, 1048, 1141)
• In new installations default dir for customers is now /var/customers (bug 1191)
• Dropdown list of path is not sorted alphabetically (bug 1008)
• Updated languagefiles (bug 1124, 1153, 1099)
• Many alias fixes in awstats/webalizer (bug 1077, 1076, 1155, 1118, 1121)
• Many fixes in the configfiles (bug 1167, 1164, 1192, 1069, 1085, 1161, 1030, 1103)
• Keep default language when changed by user (bug 1119)

1
2
3
4
5
6
7
8
9

gpg: WARNING: signing subkey 24F434CE is not cross-certified
gpg: please see http://www.gnupg.org/faq/subkey-cross-certify.html for more
information
[GNUPG:] ERRSIG 6C55397824F434CE 1 2 00 1192690444 1
gpg: Can't check signature: general error
error: GPG validation failed!
The update downloaded successfully, but the GPG signature verification
failed.
channel: GPG validation failed, channel failed

Die Lösung war eigentlich ganz einfach: Der GPG-Key von spamassassin muss neu eingefügt werden:

1
2

wget http://spamassassin.apache.org/updates/GPG.KEY
sa-update --import GPG.KEY

Danach läufts problemlos durch :)

Via 

Wir wechseln ins courier-Verzeichnis:

1

cd /etc/courier-imap

Anschließend legen wir einen privaten Schlüssel mit 2048 Bits an:

1

openssl genrsa -out sslcouriermailserver.key 2048

Dann legen wir eine Konfigurationsdatei namens sslcouriermailserver.cnf für OpenSSL mit folgendem Inhalt an:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17

RANDFILE = /usr/share/imapd.rand
[ req ]
default_bits = 2048
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
C=US
ST=State
L=City
O=Company
OU=Mail server
CN=mail.example.com
emailAddress=root@example.com
[ cert_type ]
nsCertType = server

Hinweis: Ein Klick auf PLAIN CODE erleichtert das kopieren

Der Teil unter “req_dn” kann ordnungsgemäß ausgefüllt werden, bei CAcert wird bis auf den Common Name (CN) allerdings davon nichts bearbeitet. Der CN MUSS dem Namen des Mailservers entsprechen, ansonsten gibt es später Fehler beim verbinden!

Jetzt wird der Zertifikatsrequest erstellt:

1

openssl req -new -key sslcouriermailserver.key -config sslcouriermailserver.cnf -out sslcouriermailserver.csr

Kopiere den Inhalt der sslcouriermailserver.csr in die Zertifikatsrequestseite von CAcert und speichere das gewonnene Zertifikat unter sslcouriermailserver.crt.

Jetzt muss man noch eine *.pem Datei erstellen, welche courier dann einlesen wird:

1

cat sslcouriermailserver.key sslcouriermailserver.crt > sslcouriermailserver.pem

Und noch ein wenig Diffie-Hellman -Parameter:

1

openssl gendh >> sslcouriermailserver.pem

Jetzt schützt man die enstandenen files noch:

1

chmod 400 sslcouriermailserver.*

Das SSL-Zertifikat wird dann in der imapd-ssl und pop3d-ssl eingetragen:

1

TLS_CERTFILE=/etc/courier-imap/sslcouriermailserver.pem

Nun noch den courier-server durchstarten und schon ist alles durch:

1
2

/etc/init.d/courier-imapd-ssl restart
/etc/init.d/courier-pop3d-ssl restart

Dafür gibt es mehrere Ansätze: Bash:

1

for i in `mailq|grep '@' |awk {'print $1'}|grep -v '@'`; do postsuper -d $i ; done

Oder zum löschen aller Mails im Queue:

1

postsuper -d ALL

Oder zum löschen aller Mails im Queue mit dem Status “deferred”:

1

postsuper -d ALL deferred

So bin ich ganz schnell diese Mails losgeworden…wie immer vorsichtig anwenden und ich übernehme keine Haftung ;)

Dieser ist in Postfix schnell aktiviert: Öffne /etc/postfix/master.cf und suche:

1
2
3
4

#submission inet n - n - - smtpd
# -o smtpd_enforce_tls=yes
# -o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject

und ändere auf:

1
2
3
4

submission inet n - n - - smtpd
 -o smtpd_enforce_tls=yes
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Damit ist der Traffic auf Post 587 möglich, aber auf den TLS-verschlüsselten, authentifizierten Verkehr beschränkt.

Danke an PaGo für den Hinweis ;)

Das Programm besteht aus zwei Komponenten. Die eine Komponente ist ein serverseitiges PHP-Script, welches auf jedem PHP-Webspace mit IMAP-Untersützung lauffähig ist. Sollte IMAP in PHP nicht verfügbar sein, müsste man sich das Script auf die PEAR-Bibliothek “Mail_IMAPv2”  umschreiben. Die meisten Hoster bieten aber IMAP-Unterstützung an. Derzeit kann das Skript zudem NUR IMAP-Konten abfragen. Da die Passwörter im KLARTEXT im Quelltext abgelegt werden, sollte das Skript in einem passwortgeschützten Bereich und auf einem vertrauenswürdigen Space abgelegt werden (Stichwort: AUTH BASIC). Das Script bietet verschiedene Rückgabewerte:

• Ist der Wert 0, so gibt es keine neuen Nachrichten.
• Ist der Wert >0, so gibt es $Wert neue Nachrichten
• Ist der Wert sonstiges, so ist ein Fehler aufgetreten

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

<!--?php
//SSL:
$server = "{localhost:143/imap/tls/novalidate-cert}Inbox";
//NO-SSL:
//$server = "{localhost:143/imap/}Inbox";
$user = "IMAPLOGIN";
$pass = "PASSWORT";
$mbox = imap_open($server, $user,$pass) or die('connection failed');
$status = imap_status($mbox,$server, SA_UNSEEN);
echo $status--->unseen;
imap_close($mbox);
?>

Der zweite Part ist der clientseitige Mailchecker: Dieser wurde in AutoIT  mittels SciTE  geschrieben. Das Programm-Icon ist von famfamfam  und steht unter der CC2.5-Lizenz. Die restlichen icons sind derzeit aus der system32/shell.dll. Das fertig kompilierte Paket mit allen Developmentfiles ist ganz unten zu finden.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71

#NoTrayIcon
#Region ;**** Directives created by AutoIt3Wrapper_GUI ****
#AutoIt3Wrapper_icon=note_go.ico
#AutoIt3Wrapper_outfile=notifier.exe
#AutoIt3Wrapper_Compression=4
#AutoIt3Wrapper_Res_Description=Prüft Mails per PHP-Script
#AutoIt3Wrapper_Res_Fileversion=0.1.0.0
#AutoIt3Wrapper_Res_LegalCopyright=Copyright 2008 by Ulrich Wolf <m@il.wolf-u.li>
#AutoIt3Wrapper_Res_Language=1031
#EndRegion ;**** Directives created by AutoIt3Wrapper_GUI ****
#cs
Dieses Programm ist unter einer Creative Commons-Lizenz lizenziert;
Es darf unter Namensnennung der Autoren nicht-kommerziell weiter-
gegeben und auch bearbeitet werden, soweit das neue Werk gleichfalls
wieder dieser Creative-Commons-Lizenz unterliegt. Die Einzelheiten
ergeben sich aus dem Lizenzvertrag unter:
http://creativecommons.org/licenses/by-nc-sa/2.0/de/
#ce
#Include <constants.au3>
#include <inet.au3>
Opt("TrayMenuMode",1)
$exititem       = TrayCreateItem("Exit")
$recheckstart   = IniRead("notifier.ini", "config", "recheckstart", 270000)
$recheckdiff    = IniRead("notifier.ini", "config", "recheckdiff", 60000)
$ballontimeout  = IniRead("notifier.ini", "config", "ballontimeout", 1000)
$rechecktime    = $recheckstart + Random(0,$recheckdiff,1)
$checkadress    = IniRead("notifier.ini", "check", "adress", "ERROR")
$checkname      = IniRead("notifier.ini", "check", "name", "ERROR")
TraySetState()
TraySetClick(16)

$start = 0
$state = 0
While 1
    $msg = TrayGetMsg()
    If $msg = $exititem Then ExitLoop
    If $msg = $TRAY_EVENT_PRIMARYDOUBLE Then
        $start = $rechecktime + 1
    EndIf
    If TimerDiff($start) &gt; $rechecktime Then
        TraySetIcon("Shell32.dll",14) ;Checking Mails
        $source =_INetGetSource($checkadress)
        If String($source) = "0" Then ;No unread Mail
            TraySetIcon("Shell32.dll",22)
            TraySetToolTip($checkname &amp; " - Keine ungelesenen Nachrichten - Last Check: " &amp; @HOUR &amp; ":" &amp; @MIN &amp; ":" &amp; @SEC)
            $state = 0
        ElseIf Number($source) &gt; 0 Then ;New Mail
            TraySetIcon("Shell32.dll",25)
            If $state &lt;&gt; 1 Then
                TraySetToolTip($checkname &amp; " - " &amp; $source &amp; " ungelesene Nachrichten - Last Check: " &amp; @HOUR &amp; ":" &amp; @MIN &amp; ":" &amp; @SEC)
                TrayTip("Neue Nachrichten in " &amp; $checkname,"Anzahl: " &amp; $source, 1, 1)
                Sleep($ballontimeout)
                TrayTip("","",0)
            EndIf
            $state = 1
        Else ;Error
            TraySetIcon("Shell32.dll",54)
            If $state &lt;&gt; -1 Then
                TraySetToolTip("Error - Last Check: " &amp; @HOUR &amp; ":" &amp; @MIN &amp; ":" &amp; @SEC)
                TrayTip("Fehler","Bitte prüfen Sie das Ergebnis des Checkers von Konto " &amp; $checkname, 1, 1)
                Sleep($ballontimeout)
                TrayTip("","",0)
            EndIf
            $state = -1
        EndIf
        $start = TimerInit()
        $rechecktime = $recheckstart + Random(0,$recheckdiff,1)
    EndIF
WEnd

Exit

Alle Einstellungen werden vom Programm aus einer INI-Datei geholt:

1
2
3
4
5
6
7
8

[config]
recheckstart=270000
recheckdiff=60000
ballontimeout=1500

[check]
adress=http://ihre.check-adresse.tld/dateiname.php
name=Aussagekraeftiger Name

Zu den Einstellungen:

• recheckstart: Abstand zwischen den Checks in Millisekunden
• recheckdiff: Varianz der Checks in Millisekunden
• ballontimeout: Millisekunden, die der Ballon im Tray angezeigt wird
• adress: Aufzurufende Adresse, wo das PHP-Skript liegt. Kann auch als http://user:password@ihre.check-adresse.tld/dateiname.php  verwendet werden
• name: Aussagekräftiger Name für das Konto

Warum benötigt man die Varianz der Checks? Ein IDS (Intrusion Detection System) prüft unter anderem auch auf eventuelle Regelmäßigkeiten im Traffic. Da der Mailchecker nicht im Sinne des Erfinders der Portsperre ist, soll er auch keine Regelmäßigkeiten aufweisen. Ich habe bei mir alle so eingestellt, dass etwa alle 5 Minuten ±30Sekunden geprüft wird. Hierzu habe ich recheckstart auf 4,5 Minuten gestellt und die Varianz auf 60 Sekunden.

Warum muss man einen aussagekräftigen Namen vergeben? Ich habe das Programm so geschrieben, dass man es auch mehrmals aufrufen kann. Daher kann man das Programm (und natürlich das Serverseitige Script) mehrmals kopieren und aufrufen. Bei Eingang einer Mail poppt dann im Tray der Ballon mit dem Namen auf.

Warum ist das Passwort & der Benutzername nicht clientseitig gespeichert und dem Server-Script erst bei Aufruf übergeben? Relativ einfach: Eine Kommunikation ist nicht sicher, solange diese nicht über SSL läuft (auch dann kann Sie unsicher sein, aber das ist nicht Thema meines Beitrages). Daher können, im Klartext übertragene Passwörter gefährliche Auswirkungen wie Identitätsklau oder Spionage zur Folge haben.

Beenden kann man das Programm mittels eines Rechtsklicks auf das Icon. Ein Doppelklick löst einen manuellen Mailcheck aus. Das Programm hat den unauffälligen Namen “notifier”, kann aber jederzeit durch eine manuelle Kompilierung auf einen anderen Namen kompiliert werden.

Download von Mailchecker V0.4

TODO:

• Prüfung mehrerer Konten in einer Programminstanz (geplant for 0.5)
• Icons vereinheitlichen (geplant for 0.5)

KNOWN BUGS:

• None

1
2
3

spamd[5061]: mkdir /root/.spamassassin: Permission denied at /usr/lib/perl5/vendor_perl/5.8.8/Mail/SpamAssassin.pm line 1536
spamd[5061]: locker: safe_lock: cannot create tmp lockfile /root/.spamassassin/auto-whitelist.lock.ainra.cundenserver.de.5061 for /root/.spamassassin/auto-whitelist.lock: Permission denied
spamd[5061]: bayes: locker: safe_lock: cannot create tmp lockfile /root/.spamassassin/bayes.lock.ainra.cundenserver.de.5061 for /root/.spamassassin/bayes.lock: Permission denied

Zunächst habe ich tatsächlich ein Rechte-Problem erkannt, denn Spamassassin sollte nicht unter root laufen. Also habe ich das mal geändert, was aber den Fehler in den Logs nur auf das Home-Directory des neuen Users verlegt, aber nicht geändert hat.

Was war nun die Lösung: Editiere: /etc/conf.d/spamd und füge bei den SPAMD_OPTS die Option -x hinzu.

So einfach kanns sein….

PS: Weil die Frage aufkam: Meine Optionen: SPAMD_OPTS="-m 7 -q -x -H -u vmail"