Mailserver skickar spam - användarkonto hackat?

Upptäckte idag när jag skulle kolla mailen från min server att jag hade 7000 mail gällande "delivery failures". Jag kollade upp några, och fann att de alla var skickade till helt slumpmässiga adresser vid kända stora domäner innehållande ett typiskt spam-mail från "Greetings.com". Mailen var alla skickade från användaren "hlds" som endast är på mitt system som ägare av just hlds-paketet, men som jag aldrig använt för att skicka/ta emot mail (den finns exvis. inte i MySql-databasen där jag har alla användare av mailservern).

Min första reaktion på detta var att stänga port 25 i min Pfsense NAT/Brandvägg och blockera lösenordet på användaren "hlds", och än så länge tycks detta ha stoppat utskicken. Därefter gick jag vidare till att lusläsa den kilometerlånga mail.log, där jag strax innan alla mail från "hlds" började skickas kunde läsa följande två rader som väckte mitt intresse:

#Sep 12 03:24:09 localhost postfix/smtpd[4860]: connect from (IP-Adress).dynamic.hinet.net[ip-adress]

#Sep 12 03:24:11 localhost postfix/smtpd[4860]: NOQUEUE: rejec(samma ip-adress).dynamic.hinet.net: RCPT from (samma ip-adress).dynamic.hinet.net[samma ip-adress]: 554 Service unavailable; Client host [samma ip-adress] blocked using dnsbl.njabl.org; 1153350452; from=<(en-användare)@MyMainServer.com> to=<(till synes random adress)@yahoo.com.tw> proto=SMTP helo=<www.MyMainServer.com>

Tillägg inom parentes på svenska är "censureringar" av en och samma IP-adress samt två mailadresser. Domännamnen är intakta.

Det jag undrar först och främst är: Kan jag med denna rad dra några som helst slutsatser om vem som attackerat min server? Användaren (ip-adress).dynamic.hinet.net återkommer ett par gånger sedan, men inte med någon "unik" rad, som den här ovan.

Vidare vore det intressant att veta hur dessa mail kunde komma iväg trots att jag inte skickar ut någonting direkt från den servern, utan allt relayas via bredbandsbolagets SMTP-server (detta eftersom utgående port 25 är blockerad hos BBB). Jag har dock varit slarvig nog att ha både ut- och ingående port 25 öppen på min brandvägg - har detta utgjort en potentiell säkerhetsrisk?

Slutligen tar jag ytterst gärna emot tips om hur jag kan undvika att något liknande händer igen, och idéer om hur angriparen kunnat komma in från början.

Tack på förhand!

Jo, självklart ska port 25 vara öppen, man ska inte skriva inlägg efter en hård skoldag tydligen

Hur som helst var det ett bra tag sen jag tog mig i kragen och konfigurerade hela alltet, och nu verkar den mesta kunskapen ha trängts bort till förmån för en massa matte- och fysikkurser, vilket innebär att jag inte har koll på hur jag kontrollerar att jag verkligen har begränsat relayingen. Jag sitter med Postfix's main.cf här, och hittar pinsamt nog ingen rad som skulle kunna begränsa tillgången till "relayhost". Har visserligen en rad "smtpd_sender_restrictions", som bl a är satt till att "permit mynetworks". Mynetworks är dock inte specificerat någonstans?

Detta är oturligt nog ett mycket ovant område för mig, så ja, inget är för självklart för att påpekas

Med servern antar jag att du menar postfix-servern? Den ska vad jag vet endast ligga på port 25.

Fler inputs mottages tacksammast!

mynetworks_style ligger på "host", frågan är ju vad de åsyftar med "host" ((har i min ungdom (dvs för några månader sen) råkat radera alla förklaringar till de olika konfigurationsalternativen ))

Får pilla vidare imorrn antar jag, det sista jag gjorde nu var att stoppa postfix, så att åtminstone inte mer skit skickas med min domän som avsändare...

Nu ska vi se, är även idag nyss hemkommen från skolan, så jag reserverar mig för tankefel

Mailen hämtas FRÅN servern med IMAP, men de kommer ju TILL serverns databas via postfix's port 25? Eller?

Någon med några tips på hur jag ska låsa ut användaren som uppenbarligen fortfarande skickar spam med mitt gamla HLDS-konto? Jag har spärrat lösenordet på användaren, så det är uppenbarligen inte så han kommer in. Temporärt har jag löst det hela genom att stoppa postfix, men det är ju ingen speciellt bra lösning eftersom även jag får mail

Ojdå, nej, beskrivningen var inte den bästa..

Hur som helst står den som en fullgod mailserver som servar mail för min domän. Inkommande mail kommer direkt till den och lagras i en MySQL-databas och hämtas sedan av klienterna med IMAP. Utgående mail går från klienten till servern, men realayas hos servern ut till BBBs SMTP-server. Någon aktiv SMTP-server körs alltså inte.

Ska prova att lägga till en mynetworks-post i Postfix's main.cf som begränsar anslutningsmöjligheterna till mitt lokala subnät samt localhost och kolla på ett sätt att bygga ut till SSL-kryptering.

Tack så mycket för hjälpen så långt!