{"id":238,"date":"2009-05-03T14:07:19","date_gmt":"2009-05-03T14:07:19","guid":{"rendered":"http:\/\/blog.benny-baumann.de\/?p=238"},"modified":"2009-05-03T14:07:19","modified_gmt":"2009-05-03T14:07:19","slug":"mailserver-aktivitat-beobachten","status":"publish","type":"post","link":"https:\/\/blog.benny-baumann.de\/?p=238","title":{"rendered":"Mailserver-Aktivit\u00e4t beobachten"},"content":{"rendered":"

Eines der gr\u00f6\u00dften Probleme, wenn man einen eigenen Mailserver betreibt, ist Spam. Das zweitgr\u00f6\u00dfte ist, festzustellen, wie effektiv die Gegenma\u00dfnahmen greifen. Aber gut, daf\u00fcr gibt es ja Unterst\u00fctzung. Eines der Hausmittel, die mir dabei helfen, ist das Debian-Paket mailgraph, Dieses hat sich bereits auf meinem alten Server bew\u00e4hrt und mir sogar bereits mehrfach geholfen, Fehlkonfigurationen zu erkennen. Was aber etwas komplizierter ist, ist dieses Paket in einer Mehrbenutzer-Webserver-Umgebung sauber zu konfigurieren. Hier stell ich einfach mal folgende Anleitung bereit, die f\u00fcr die meisten Zwecke ausreichen sollte.<\/p>\n

Das erste, was man tun muss, ist das Paket mailgraph zu installieren. Nutzt man auf seinem Server zudem suexec, wie es z.B. bei Confixx und ispCP der Fall ist, sollte man zudem von apache2-suexec auf apache2-suexec-custom umsteigen, da sich damit die Konfiguration von suexec etwas flexibler gestalten l\u00e4sst.<\/p>\n

Ist dieser schritt getan, so beginnt mailgraph bereits nach der Installation im Hintergrund die Maillogs auszuwerten und in RRD-Dateien seine Ergebnisse zu speichern. Das ist insofern erstmal nicht schlecht, dass man bereits jetzt erste Daten bekommt, jedoch fehlt hier ein wenig was an der Konfiguration des Startup-Scripts. Um dies zu korrigieren, sucht man sich unter \/etc\/init.d\/ das Start-Script f\u00fcr mailgraph (gleichnamig) und sucht dort den Bereich start) und erg\u00e4nzt auf der start-stop-daemon-Zeile am Ende die beiden Argumente –rbl-is-spam und –virbl-is-virus.<\/p>\n

\r\ncase \"$1\" in\r\n  start)\r\n    echo -n \"Starting Postfix Mail Statistics: $NAME\"\r\n    start-stop-daemon -S -q -b -p $PID_FILE -x $DAEMON -- -l $MAIL_LOG -d --daemon_rrd=$RRD_DIR $IGNORE_OPTION --rbl-is-spam --virbl-is-virus\r\n    echo \".\"\r\n    ;;\r\n<\/pre>\n
Ist dies getan startet man den mailgraph-Daemon neu. <\/p>\n
\r\n\/etc\/init.d\/mailgraph restart\r\n<\/pre>\n
Absofort hat man auch RBLs korrekt als Spam in den Graphen aufgef\u00fchrt. Fehlen diese Optionen, so werden nur von SpamAssassin oder AMaViS gefilterte Mails gewertet.<\/p>\n
Bliebe noch die Geschichte mit dem Installieren auf der eigenen Homepage. Hierf\u00fcr ist nun ein wenig mehr Arbeit n\u00f6tig, da ein paar kleinere Anpassungen an die lokalen Gegebenheiten n\u00f6tig sind. Hierf\u00fcr sollte man sich auf jeden Fall schon mal die Logfiles von suexec und seine error.log des Apache raussuchen, da man diese wahrscheinlich konsultieren muss.<\/p>\n
Aber alles der Reihe nach. Als n\u00e4chster Schritt ist es n\u00f6tig, in seiner Webverwaltungsoberfl\u00e4che (Confixx oder ispCP) daf\u00fcr zu sorgen, dass allgemein CGIs ausgef\u00fchrt werden k\u00f6nnen – ohne dies geht es nicht. Sobald diese \u00c4nderung \u00fcbernommen ist, sucht man sich aus \/usr\/lib\/cgi-bin die mailgraph.cgi und kopiert sich diese in sein lokales cgi-bin-Verzeichnis. Anschlie\u00dfend sollte man auf seiner lokalen Kopie die BErechtigungen und Eigentumsrechte entsprechend setzen (User und Gruppe sauber \u00fcbernehmen, X-Rechte setzen).<\/p>\n
Nun bleibt nur noch eine kleine \u00c4nderung im Script auszuf\u00fchren, um die Anzeige der Graphen zu erm\u00f6glichen. Hierzu muss die Zeile folgende Zeile entsprechend den \u00f6rtlichen Gegebenheiten angepasst werden:<\/p>\n
\r\nmy $tmp_dir = '\/var\/lib\/mailgraph'; # temporary directory where to store the images\r\n<\/pre>\n
Andere Konfigurationseinstellungen k\u00f6nnen zus\u00e4tzlich ge\u00e4ndert werden, sind aber f\u00fcr den reinen Betrieb nicht n\u00f6tig.<\/p>\n
Eine weitere Alternative w\u00e4re das Verbiegen der Apache-Konfiguration f\u00fcr das Proxying solcher Script-Aufrufe auf das Systemweite cgi-bin-Verzeichnis, was jedoch den Nachteil hat, dass dann keine Nachvollziehbarkeit der Einbruchsursache im Falle des Falles ermittelt werden kann, da der Webserver u.U. mehr Rechte im Dateisystem besitzt, als der CGI-User dieses einen speziellen Accounts.<\/p>\n
Wenn nun alles gut gegangen ist, sieht das Ergebnis so hier<\/a> aus. Was mich dazu bringt, warum man damit Fehlkonfigurationen erkennen kann …<\/p>\n
Nunja, ich hatte an meinem Mailserver mehrfach \u00c4nderungen an der Konfiguration vornehmen m\u00fcssen, um die Spamflut etwas einzud\u00e4mmen. Und u.a. hatte ich dabei auch einmal aus Versehen Mailversand generell nur mit SSL und Auth eingestellt, was dazu f\u00fchrte, dass jegliche Mails – also auch legitime Einsendungen, abgelehnt wurden. Da dies nun eine ganze Reihe von Hosts betraf, die mir Mails senden wollten, lie\u00dfen sich zwei Dinge beobachten: 1. Ein Einknicken der empfangenen Nachrichten auf nahezu null und 2. ein Spike in den Spam-Nachrichten, da p\u00fcnktlich alle 10 Minuten jegliche Mailversender erneut die Einlieferung versuchten.<\/p>\n
Ferner sieht man am Vergleich zwischen Rejected und Spam recht sch\u00f6n, ob der Spamfilter greift: Im Normalfall sollte die Rejected-Linie nahezu auf verlaufen (Ausnahme Greylisting), wenn diese jedoch oberhalb der Spamlinie verl\u00e4uft, so sollte man seine Filter nachkonfigurieren.<\/p>\n
\"Flattr<\/a><\/p>","protected":false},"excerpt":{"rendered":"
Eines der gr\u00f6\u00dften Probleme, wenn man einen eigenen Mailserver betreibt, ist Spam. Das zweitgr\u00f6\u00dfte ist, festzustellen, wie effektiv die Gegenma\u00dfnahmen greifen. Aber gut, daf\u00fcr gibt es ja Unterst\u00fctzung. Eines der Hausmittel, die mir dabei helfen, ist das Debian-Paket mailgraph, Dieses hat sich bereits auf meinem alten Server bew\u00e4hrt und mir sogar bereits mehrfach geholfen, Fehlkonfigurationen […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[4],"tags":[156,155,154,346,157],"class_list":["post-238","post","type-post","status-publish","format-standard","hentry","category-server","tag-apache","tag-cgi","tag-mailgraph","tag-server","tag-suexec"],"_links":{"self":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/238","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=238"}],"version-history":[{"count":1,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/238\/revisions"}],"predecessor-version":[{"id":239,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=\/wp\/v2\/posts\/238\/revisions\/239"}],"wp:attachment":[{"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=238"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=238"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.benny-baumann.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=238"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}