mein Domain wird für Spam missbraucht..

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
fuchsmi
Posts: 44
Joined: 2003-02-27 10:11

mein Domain wird für Spam missbraucht..

Post by fuchsmi » 2003-09-13 15:38

hi!
Ich habe in den letzten 24h ca. 100 non-delivery-reports von Mails bekommen welche ich nicht verschickt habe. Der Inhalt ist Spam, der Return-Path ist immer eine andere Adresse meines Domains, die nicht-zustellbaren landen dann in meiner "Catch-All" Box. Bis jetzt ist kein Ende in sicht, es werden eher immer mehr.

Anhand der Received Einträge im Header der unzustellbaren Mails ist auch keine regelmäßigkeit zu erkennen, sie werden immer von unterschiedlichen IPs mit unterschiedlichen Return-Paths verschickt.

So,
1. Ich denke viel kann man nicht dagegen machen, falls das nicht aufhöhrt werde ich wohl alle Mails mit dem Inhalt "Get Viagra Cheap" ablehnen.
2. Wie kann man sowas vorbeugen? Ich habe meine Catch-All Box zu gerne um sie aufzugeben...
3. Besteht die gefahr dass mein Domain auf eine Blacklist kommt? Meines Wissens nach passiwer das nur mit IPs die ein offener Relay sind...
4. wie kommts eingentlich dass über 100te unterschiedliche SMTP Server Spam verschickt wird wo eine Adresse meines Domains al Return-Path angegeben wird. Ist das ein Virus auf den Client-PCs oder professionelle Spamer die so viele offene Relays kennen?

Michi

Hier ein paar Mailheader:

Code: Select all

Received: from zellermedia.de ([211.172.6.93]) by mailin02.sul.t-online.de
	with esmtp id 19y32J-2GeW000; Sat, 13 Sep 2003 07:33:31 +0200
Subject: =?ISO-8859-1?b?QnV5IFZpYWdyYSBDaGVhcCBBbmQgRGlzY3JldCAtIERlbGl2ZXJ5IFRvIEFsbCBDb3VudHJpZXM=?=
To: ajcosyahoo.de@t-online.de
From: "Madeline Moses" <madelinemosessd@webfox.at>
Message-ID: <JNACKMKADBGEKACKHJOABIMIBIAA.madelinemosessd@webfox.at>
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
MIME-Version: 1.0
Date: Sat, 13 Sep 2003 13:33:22 +0000
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Seen: false


Subject:
Take 50% off Generic Viagra online today!
From:
"Merle Hood" <hood_ne@webfox.at>
Date:
Sat, 13 Sep 2003 13:10:55 +0000
To:
rabi@net-lynx.com
Return-Path:
<postmaster@cnjnet.com>
Delivered-To:
fum-hood_ne@webfox.at
Received:
(qmail 6071 invoked from network); 13 Sep 2003 13:13:42 -0000
Received:
from unknown (HELO mail.cnjnet.com) (65.112.212.14) by mail.albert-unser.net with SMTP; 13 Sep 2003 13:13:42 -0000
Received:
from cnjnet02 [65.112.212.188] by mail.cnjnet.com (SMTPD32-8.01) id A68B3A1A00E6; Sat, 13 Sep 2003 09:07:23 -0400
MIME-Version:
1.0
Content-Type:
multipart/mixed; boundary="------------InterScan_NT_MIME_Boundary"
Message-ID:
<200309130907821.SM01096@cnjnet02>

Return-Path: <sgilbert_bk@webfox.at>
Received: (qmail 16367 invoked from network); 13 Sep 2003 13:08:55 -0000
Received: from unknown (HELO spamninja1.hugehosting.com) ([66.179.72.66]) (envelope-sender <sgilbert?bk@webfox.at>)
          by mail.firstworld.net (qmail-ldap-1.03) with SMTP
          for <vcapuano@hypercon.com>; 13 Sep 2003 13:08:55 -0000
Received: from localhost (localhost.localdomain [127.0.0.1])
	by spamninja1.hugehosting.com (Postfix) with ESMTP id 90B651D426B
	for <vcapuano@hypercon.com>; Sat, 13 Sep 2003 07:08:55 -0600 (MDT)
Received: from spamninja1.hugehosting.com ([127.0.0.1])
 by localhost (spamninja1.hugehosting.com [127.0.0.1]) (amavisd-new, port 10024)
 with SMTP id 16020-12 for <vcapuano@hypercon.com>;
 Sat, 13 Sep 2003 07:08:53 -0600 (MDT)
Received: from notare-marktplatz.de (ppp-148-134.98-62.inwind.it [62.98.134.148])
	by spamninja1.hugehosting.com (Postfix) with ESMTP id 37FE31D42BA
	for <vcapuano@hypercon.com>; Sat, 13 Sep 2003 07:08:49 -0600 (MDT)
To: vcapuano@hypercon.com
MIME-Version: 1.0
X-MimeOLE: Produced By Microsoft Exchange V6.0.6479.0
Date: Sat, 13 Sep 2003 13:08:51 +0000
Message-ID: <JPPHNLIKANGIGJOFDKNBHOKOAKAA.sgilbert_bk@webfox.at>
From: "Stanley Gilbert" <sgilbert_bk@webfox.at>
Subject: ***SPAM*** =?iso-8859-1?b?Q2hlYXBlc3QgU2lsZGVuYWZpbCBDaXRyYXRlICBHdWFyYW50ZWVk?=
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: by amavisd-new at spamninja1.hugehosting.com
X-Spam-Status: Yes, hits=7.4 tagged_above=3.0 required=6.3 tests=BAYES_90,
 HTML_80_90, HTML_IMAGE_ONLY_02, HTML_IMAGE_RATIO_02, HTML_MESSAGE,
 MIME_HTML_ONLY
X-Spam-Level: *******
X-Spam-Flag: YES
X-Spam-Report: This mail is probably spam.  The original message has been attached

s4fuser
Posts: 136
Joined: 2003-06-01 01:22

Re: mein Domain wird für Spam missbraucht..

Post by s4fuser » 2003-09-13 15:42

Schon mal die Suche benutzt?
Kurz unter Deinem Thread findet sich dieser:
http://www.rootforum.org/forum/viewtopic.php?t=16702

gw丨breaki
Posts: 6
Joined: 2002-08-05 10:57

Re: mein Domain wird für Spam missbraucht..

Post by gw丨breaki » 2003-09-14 20:32

also bei mir hat es seit 3 tagen angefangen... sind bis jetzt schon über 400 bounce-mails bei mir angekommen... will gar nicht wissen, wieviele mails an empfänger gegangen sind... hat noch jemand das problem, weil so wie ich bisher gelesen habe war es am anfang des jahres genauso, das viele rooties für solche zwecke missbraucht werden. ne richtige lösung zu dem problem hab ich jetzt nicht gefunden, nur eben das man rein gar nichts tun kann als einfach zu warten bis es aufhört und die ganzen bounce-mails löscht...

das schlimmste wäre aber das meine domain in ne blacklist oder etwas ähnlichem von anderen providern aufgenommen wird und ich dann doof dastehe...

falls noch ein paar rooties betroffen sind meldet euch doch mal bidde in dem thread damit man vielleicht doch ne lösung finden kann (evtl. den absender über mehrere umwege herrausfinden...)

es grüßt der von den nervigen bounce-mails schon verrückt werdende

breaki

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: mein Domain wird für Spam missbraucht..

Post by captaincrunch » 2003-09-14 21:23

falls noch ein paar rooties betroffen sind meldet euch doch mal bidde in dem thread damit man vielleicht doch ne lösung finden kann (evtl. den absender über mehrere umwege herrausfinden...)
Liest eigentlich niemand hier auch mal andere Beiträge ? Wir haben mittlerweile 5 Threads, die sich mit genau diesem Thema befassen. Ich kann ja gut nachvollziehen, dass das komplett Sch... ist, aber noch einen Thread dazu brauchen wir wirklich nicht. Daher ist dieser closed.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc