Someone is using my Astaro box as a SPAM EMAIL Server

Same problem here. Got a abuse restriction mail from my ISP.

Had a LOT a mail in my queue from a SPAMMER...

Note!, here is the link the spammer is sending people to:

www.lotsonet.com

in 3.2 it's exim, do you have the SMTP relay activated, what are the allowed networks and smtp routes (in case it's activated)? In case it's activated, from what i understand you don't have a internal mail server, turn the relay off, you don't need it in this case.

I have a internal Exchange server on eth0, witch uses ASL relay proxy. Only local domains, but still SPAM:

"Received: from [212.53.103.13] (helo=mail.dreamvacationgiveaways.com) 
by my.mailserver.dk with esmtp (Exim 6.66 #1) 
id 17ZGo0-0000mi-00; Mon, 29 Jul 2002 22:07:48 +0200 
Message-ID:  
To:  
From: "Opt-in Travel Promotions"  
Subject: A Little fun under the Florida SUN! 
Date: Mon, 29 Jul 2002 16:07:47 -1600 
MIME-Version: 1.0 
Content-Type: text/html; 
charset="iso-8859-1" 
Content-Transfer-Encoding: quoted-printable 
Reply-To: traveloffers@dreamvacationgiveaways.com 
X-mailer: Microsoft Outlook Express 5.50.4807.1700 

 "

My smtp relay function is turned off via the administrative web interface.  As a matter of fact, I never had it turned on.

I am on my last warning from my ISP and have shut Astaro down all together. 

Any Thoughts?

cbarone@dca.net

Hello alltogether,

your problem seems to be worldwide open proxies.
It is no problem to relay e-mail through http
or socks proxies. Please make sure that your
proxies are not accessable from outside, remove
all external interfaces from proxy settings and
select only the internal network as allowed 
network!

read you
o|iver

One of my users that has an ASL box had this problem too. the spamsters were using his http proxy to send spam to gadzillions of people on the 'net. 
the problem seems to be that the http proxy was accessible from the outside, even tho it was set to only allow internal access.  there must be some sort of bug there. I would recommend disabling your http and socks proxies until you are sure you can't connect to them from the outside.

oh, I've taken that machine offline entirely and I've still got the logs if anyone wants me to check on something.
 
 [size="1"][ 06 August 2002, 09:18: Message edited by: madmage ][/size]

I am done with Astaro.  This issue has caused me so many headaches in reference to my ISP. 

Notes!

1) I do not have allow any outside access on any of my proxy settings.

2) I do not have the smtp open relay function enabled.

My ISP was starting to question my integrity in reference to this matter, while the compliants were piling up.

I never had this problem with 2.025 which I have used for months, prior to the 3.2.0.2 installation a few months back.

Regards,

cbarone@dca.net

I am done with Astaro.  This issue has caused me so many headaches in reference to my ISP. 

Notes!

1) I do not have allow any outside access on any of my proxy settings.

2) I do not have the smtp open relay function enabled.

My ISP was starting to question my integrity in reference to this matter, while the compliants were piling up.

I never had this problem with 2.025 which I have used for months, prior to the 3.2.0.2 installation a few months back.

Regards,

cbarone@dca.net

You probably had a misconfigured packet filter.

Maybe a rule like 

Any - Any - external_Interface__ - Allow

??

That would explain it too ...

/tom

There is no problem fixing youre problem...
I had 27000 spam messages in my BOX, but that was not because of Packet-filter rules, 
the problem is the Outgoing Mail section, allowed networks:
if its ANY! then anyone can send spam trough you!
Fix:
In definitions: networks
add your incoming and outgoing mail servers ip adresses....
thenAdd only the incoming and outgoing email servers and your internal networks, not the ext interfaces. in the Outgoing Mail section in smtp relay section!    Hope this fix youre problem...

This does seem to be an issue.

I have SMTP allowed outbound set to my internal private IP address range and still people can use the box to relay spam !  Logs report Exim as the culprit.

There is some hole here I cannot trace.  I have disabled SMTP relay now as well.

BTW, I am not running SOCKS at all and Squid is set to allow only internal hosts.

I have a funny feeling that the spammers are spoofing their IP addresses to match the internal network's ip range. In our case we DEFINATELY had the squid daemon disabled for outside access, and they were still able to access it from the outside.
It would be nice to have an option in the web admin to have squid and socks listen to a specific interface (like the DNS proxy does)
It may solve this problem, dontcha think?

Simon and all others,

please send your firewalls IP to support@astaro.com
to find out what's wrong and to end this discussion!

Please provide the version of your firewall!

read you
o|iver

OK, tracked the problem to squid.
Even though squid is set to allow only internal IP access it is still allowing 3rd party access to the squid proxy. (I can telnet to it from any box).  It's like the filter isn't taking affect.

I *think* the version is 3.04 (For which there was no up-2-date released).  I can't be sure of the version because our ISP there just collapsed !  (They can't afford to pay their inet bill apparently !)  So I have no access to the box at present  [:(]

FYI I have a definition for the internal network called Micromine which is (192.168.1.0/24)

Allowed networks is set to Micromine

But I can still telnet to port 8080 of the Astaro box from outside IP's.  Version 3.04

I know I shouldn't be running 3.04 any more and I'm not too fussed about the version as I've got permission to purchase a license for that office now, (well, as soon as they get a working ISP again !).

Ahh OK, suspected that.

I'm going to be totally upgrading that box anyway as soon as they get a new ISP.
Thanks for the tip.