Rootie der Spammt?

Post by **chris76** » 2003-08-07 08:52

Tach, ich habe folgenden Eintrag in meinen logs gefunden

postfix/smtpd[10097]: warning: p150*****.pureserver.info[217.160.106.***] sent message header instead of SMTP command: From:annkmacklin@acmemail.net

Das es ein 1&1 Rootie ist sieht man am IP Bereich, aber der hat wohl kaum diese Nachricht verschickt?

Sollte man den Root Besitzer darüber infomieren?

Sorry für die Frage, aber vielleicht kann man ja einen anderen Root Besitzer vor Problemem schützen.

Ciao Christian

Post by **dodolin** » 2003-08-07 09:18

Hast du noch mehr Logs dazu? Vermutlich wollte er mit dieser Methode auch über dich relayen, oder? Oder hat dein Postfix das vorher schon abgeblockt, wegen der falschen Header?

Ich würde zuerst an Postmaster auf dem Rootserver schreiben, die Logs mitschicken (möglichst vollständig) und ihn auf den Verdacht eines offenen Proxies bzw. mod_proxy im Webserver hinweisen. Solltest du keine oder nur eine unbefriedigende Antwort erhalten bzw. sollte sich an der Situation nichts ändern, ... -> abuse at schlund.de, dann gibt es ein LART. ;)

Gruß vom BOFH vom Dienst. :)

Post by **chris76** » 2003-08-07 09:26

Guten morgen BOFH, ist heute Backup Tag? :-D

Tja das ist der einzige Eintrag in meinen logs mit der IP.
Mein Postfix hat das schon vorher geblockt.

Tja dann werde ich den Postmaster anschreiben. wo bekomme ich denn die Adresse her wenn ich nur die ip habe? :oops:
(Ich sende ihm dann das komplette log, ich habe es hier nur ausge* )

Was ist LART?

Ciao Christian

Post by **dodolin** » 2003-08-07 10:30

Guten morgen BOFH, ist heute Backup Tag?

Jepp. Bei mir ist jeden Tag Backup Tag. Ist aber ziemlich wurscht, weil meinen Server ausser mir keiner nutzt. ;)

Tja dann werde ich den Postmaster anschreiben. wo bekomme ich denn die Adresse her wenn ich nur die ip habe?
(Ich sende ihm dann das komplette log, ich habe es hier nur ausge* )

Jo, warum eigentlich?

Entweder du schickst es an <postmaster@[ip]>, mit den eckigen Klammern um die IP oder du suchst dir zur IP den Reverse-Lookup und schickst es an <postmaster@reverselookupdomain.example>. Zusätzlich kannst du dann im whois zu dieser Reverse-Lookup-Domain schauen, wer als tech-c gelistet ist und diesem ebenso eine Mail schreiben.

Was ist LART?

http://www.catb.org/~esr/jargon/html/L/LART.html *eg*

Post by **chris76** » 2003-08-07 11:37

Jepp. Bei mir ist jeden Tag Backup Tag. Ist aber ziemlich wurscht, weil meinen Server ausser mir keiner nutzt.

Ja das ist immer gut, wobei ich die Einstellung vom BOFH klasse finde, sollte ich aber bei uns in der Klinik wohl besser nicht machen - OBWOHL :)

Jo, warum eigentlich?

Gute Frage - Keine Ahnung - War noch vor 9 Uhr morgens

Das mit dem Postmaster werde ich dann mal versuchen.

http://www.catb.org/~esr/jargon/html/L/LART.html *eg*

OK :-)

Post by **chris76** » 2003-08-07 18:02

@ dodolin

hier alles was meine logs hergaben

Code: Select all

Aug  6 16:37:01 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <knobstripe04@aol.com>: Relay access denied; from=<annkmacklin@acmemail.net> to=<knobstripe04@aol.com>
Aug  6 16:37:06 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <klouo@acmemail.net>: Relay access denied; from=<annkmacklin@acmemail.net> to=<klouo@acmemail.net>
Aug  6 16:37:11 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <marykiou@flashmail.com>: Relay access denied; from=<annkmacklin@acmemail.net> to=<marykiou@flashmail.com>
Aug  6 16:37:16 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<annkmacklin@acmemail.net> to=<lennnfrtg@swbell.net>
Aug  6 16:37:21 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<annkmacklin@acmemail.net> to=<angelakthalman@mail.ru>
Aug  6 16:37:26 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<annkmacklin@acmemail.net> to=<beckynmoldt@gofree.co.uk>
Aug  6 16:37:37 p15******** postfix/smtpd[10097]: reject: RCPT from p15091675.pureserver.info[217.160.106.163]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<annkmacklin@acmemail.net> to=<jrdelly@hotmail.com>
Aug  6 16:38:31 p15******** postfix/smtpd[10097]: warning: p15091675.pureserver.info[217.160.106.163] sent message header instead of SMTP command: From:annkmacklin@acmemail.net

Ciao Christian

Post by **dodolin** » 2003-08-07 18:34

Also doch. Immer feste druff, das LART ruft... ;)

Post by **Joe User** » 2003-08-07 19:20

dodolin wrote:Also doch. Immer feste druff, das LART ruft... ;)

jepp, zumal der 'Spammer' eine GMBH mit Sitz in Bonn ist... ;)

Post by **chris76** » 2003-08-07 20:50

jepp, zumal der 'Spammer' eine GMBH mit Sitz in Bonn ist...

Wie kommste denn da drauf?

Ciao Christian

Post by **crasline** » 2003-08-07 21:56

p15091675.pureserver.info -> "Das ist meinrootserver.de" -> Denic

Post by **chris76** » 2003-08-08 07:13

Also ich bekomme da keinen denic eintrag?
Ciao Christian

Post by **chris76** » 2003-08-08 13:16

So ich habe dann mal an abuse at schlund.de geschrieben, da der nicht errechbar ist

Ich halte euch auf dem laufenden was so rauskommt.

Ciao Christian

[Edit von dodolin: Spamschutz für den Schlund-Abuse *g*]

RootForum Community

Rootie der Spammt?

Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?

Re: Rootie der Spammt?