vor fast genau einer woche hatte ich in meinem posting "joe job?!" (http://www.rootforum.org/forum/viewtopic.php?t=17107) bereits "dodolin" mit derselben problematik genervt. nach einer kurzen verschnaufpause geht es jetzt wieder los und zwar schlimmer als zuvor - deswegen mein neues posting.
mit anderen Worten: seit freitag gut 600 bounces "nicht zustellbar" von aetzenden spam mails in meiner mailbox - pro tag!
mein frage an euch: wie kann ich jetzt definitiv sicherstellen, dass diese nicht ueber meinen server rausgegangen sind?
das seltsame ist naemlich, das wir den besagtem server so ziemlich zeitgleich (4 Tage vor der ersten gebouncten mail) neu aufgesetzt haben. :?:
bisher ausgewertet:
mail-header
> unser server taucht hier nur in der absenderadresse auf, nicht unter einem "received" - BSP:
tripwire-checksReceived: from lakemtai07.cox.net (lakemtai07.cox.net [68.1.17.125]) by rly-xh02.mx.aol.com ( v96.8 ) with ESMTP id MAILRELAYINXH21-4893f76db9e326; Sun, 28 Sep 2003 09:01:29 -0400
Received: from farooq.com ([68.2.150.129]) by lakemtai07.cox.net
(InterMail vM.5.01.06.05 201-253-122-130-105-20030824) with ESMTP
id <20030928130117.IWKV1231.lakemtai07.cox.net@farooq.com>
for <soccer4103@aol.com>; Sun, 28 Sep 2003 09:01:17 -0400
Message-ID: <2de101c385c0$05597064$19ef9d4e@v5i7ckm>
From: "Khalil Semmens" <semmenszz@xxxxxxxxxx.com>
To: soccer4103@aol.com
Subject: Been searching long for you
Date: Sun, 28 Sep 2003 13:01:17 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_05CE_713E8BC5.9A30BF97"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-AOL-IP: 68.1.17.125
X-AOL-SCOLL-SCORE: 0:XXX:XX
X-AOL-SCOLL-URL_COUNT: 0
> bis auf die ssh binaries (letztes update) und die logs keine aenderungen
traffic
> schwer zu sagen. ipac-ng zeigt keine wirklich grossen abweichungen zu den anderen tagen
lokale und remote gesicherte logs
> www: ein paar relay-versuche via mod_proxy (ist aber nicht installiert)
> mail: kein hinweis auf den ausgang der spam mails
> syslog: nichts gefunden
ordb, abuse ...
> alle tests negativ
tcpdump auf port 25
> ausser vielen megabyte an logs nichts was darauf hinweist, das solche mails rausgehen
> (gesucht habe ich nach "rcpt" werten - ausreichend?)
was kann ich noch ueberpruefen? habe ich mich evtl. bei der bind konfiguration verhauen? (kann das ueberhaupt mit spam zusammenhaengen?)
mta ist exim 4.22
apache ist 1.3.28 mit mod_sll 2.8.15 und mod_perl 1.0
(evtl. "unsaubere" quellen erwischt? hatte nicht von allen die md5's)
bzw. wie sollte man in einem solchen fall ueberhaupt vorgehen? ich kann doch nicht zusehen, wie irgendein ar... jeden freitag tausende mails mit unserer domain als absender versendet - oder :(
ich sitzt ein wenig auf heissen kohlen und minuetlich kommen neue mails rein - panik! 8O
gruss
petersen
