Someone is using my Astaro box as a SPAM EMAIL Server

Same problem here. Got a abuse restriction mail from my ISP.

Had a LOT a mail in my queue from a SPAMMER...

Same problem here. Got a abuse restriction mail from my ISP.

Had a LOT a mail in my queue from a SPAMMER...

Note!, here is the link the spammer is sending people to:

www.lotsonet.com

in 3.2 it's exim, do you have the SMTP relay activated, what are the allowed networks and smtp routes (in case it's activated)? In case it's activated, from what i understand you don't have a internal mail server, turn the relay off, you don't need it in this case.

I have a internal Exchange server on eth0, witch uses ASL relay proxy. Only local domains, but still SPAM:

"Received: from [212.53.103.13] (helo=mail.dreamvacationgiveaways.com) 
by my.mailserver.dk with esmtp (Exim 6.66 #1) 
id 17ZGo0-0000mi-00; Mon, 29 Jul 2002 22:07:48 +0200 
Message-ID:  
To:  
From: "Opt-in Travel Promotions"  
Subject: A Little fun under the Florida SUN! 
Date: Mon, 29 Jul 2002 16:07:47 -1600 
MIME-Version: 1.0 
Content-Type: text/html; 
charset="iso-8859-1" 
Content-Transfer-Encoding: quoted-printable 
Reply-To: traveloffers@dreamvacationgiveaways.com 
X-mailer: Microsoft Outlook Express 5.50.4807.1700 

 "

My smtp relay function is turned off via the administrative web interface.  As a matter of fact, I never had it turned on.

I am on my last warning from my ISP and have shut Astaro down all together. 

Any Thoughts?

cbarone@dca.net

Hello alltogether,

your problem seems to be worldwide open proxies.
It is no problem to relay e-mail through http
or socks proxies. Please make sure that your
proxies are not accessable from outside, remove
all external interfaces from proxy settings and
select only the internal network as allowed 
network!

read you
o|iver

One of my users that has an ASL box had this problem too. the spamsters were using his http proxy to send spam to gadzillions of people on the 'net. 
the problem seems to be that the http proxy was accessible from the outside, even tho it was set to only allow internal access.  there must be some sort of bug there. I would recommend disabling your http and socks proxies until you are sure you can't connect to them from the outside.

oh, I've taken that machine offline entirely and I've still got the logs if anyone wants me to check on something.
 
 [size="1"][ 06 August 2002, 09:18: Message edited by: madmage ][/size]

I am done with Astaro.  This issue has caused me so many headaches in reference to my ISP. 

Notes!

1) I do not have allow any outside access on any of my proxy settings.

2) I do not have the smtp open relay function enabled.

My ISP was starting to question my integrity in reference to this matter, while the compliants were piling up.

I never had this problem with 2.025 which I have used for months, prior to the 3.2.0.2 installation a few months back.

Regards,

cbarone@dca.net

You probably had a misconfigured packet filter.

Maybe a rule like 

Any - Any - external_Interface__ - Allow

??

That would explain it too ...

/tom

There is no problem fixing youre problem...
I had 27000 spam messages in my BOX, but that was not because of Packet-filter rules, 
the problem is the Outgoing Mail section, allowed networks:
if its ANY! then anyone can send spam trough you!
Fix:
In definitions: networks
add your incoming and outgoing mail servers ip adresses....
thenAdd only the incoming and outgoing email servers and your internal networks, not the ext interfaces. in the Outgoing Mail section in smtp relay section!    Hope this fix youre problem...

This does seem to be an issue.

I have SMTP allowed outbound set to my internal private IP address range and still people can use the box to relay spam !  Logs report Exim as the culprit.

There is some hole here I cannot trace.  I have disabled SMTP relay now as well.