Spam ??

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
malibuu
Posts: 53
Joined: 2003-06-16 18:41
Location: München

Spam ??

Post by malibuu » 2003-10-03 10:55

Hallo könnt ihr mir sagen was diese Logs in meiner "warn" zu suchen haben ?


Oct 2 21:41:57 pxxxxxxxx postfix/smtpd[24773]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:annapmoldt@flashmail.com
Oct 2 21:47:26 pxxxxxxxx postfix/smtpd[24838]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:aliciadbethel@acmemail.net
Oct 2 22:07:35 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:jackbran4@hotmail.com
Oct 2 22:08:18 pxxxxxxxx postfix/smtpd[25141]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:belindakshaw@flashmail.com
Oct 2 22:11:29 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:annieb1980@yahoo.com

wäre um Hilfe sehr Dankbar :-)

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Spam ??

Post by captaincrunch » 2003-10-03 10:57

Der Client hat keine korrekte SMTP-Verbindung aufgebaut. Vermutlich handelt es sich dabei um Spam, um das genauer sagen zu können, liferst du aber nicht genug relevante Logs
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

malibuu
Posts: 53
Joined: 2003-06-16 18:41
Location: München

ok

Post by malibuu » 2003-10-03 11:02

meine "mail" log ist voll von dem Zeug !!

Oct 2 22:05:35 p15131864 postfix/smtpd[25130]: connect from radio2b.org[217.160.110.45]
Oct 2 22:06:05 p15131864 postfix/smtpd[25130]: 5F384488052: client=radio2b.org[217.160.110.45]
Oct 2 22:06:05 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <knobstripe04@aol.com>: Relay access denied; from=<jackbran4@hotmail.com> to=<knobstripe04@aol.com>
Oct 2 22:06:10 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <klouo@acmemail.net>: Relay access denied; from=<jackbran4@hotmail.com> to=<klouo@acmemail.net>
Oct 2 22:06:15 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <marykiou@flashmail.com>: Relay access denied; from=<jackbran4@hotmail.com> to=<marykiou@flashmail.com>
Oct 2 22:06:18 p15131864 postfix/smtpd[25141]: connect from radio2b.org[217.160.110.45]
Oct 2 22:06:20 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<jackbran4@hotmail.com> to=<lennnfrtg@swbell.net>
Oct 2 22:06:25 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<jackbran4@hotmail.com> to=<angelakthalman@mail.ru>
Oct 2 22:06:30 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<jackbran4@hotmail.com> to=<beckynmoldt@gofree.co.uk>
Oct 2 22:06:41 p15131864 postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<jackbran4@hotmail.com> to=<jrdelly@hotmail.com>
Oct 2 22:06:48 p15131864 postfix/smtpd[25141]: AAA34488065: client=radio2b.org[217.160.110.45]
Oct 2 22:06:48 p15131864 postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <knobstripe04@aol.com>: Relay access denied; from=<belindakshaw@flashmail.com> to=<knobstripe04@aol.com>
Oct 2 22:06:53 p15131864 postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <klouo@acmemail.net>: Relay access denied; from=<belindakshaw@flashmail.com> to=<klouo@acmemail.net>
Oct 2 22:06:58 p15131864 postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <marykiou@flashmail.com>: Relay access denied; from=<belindakshaw@flashmail.com> to=<marykiou@flashmail.com>
Oct 2 22:07:01 p15131864 popper[25147]: Stats: web2p1 0 0 20 97330 ppp-62-245-232-69.mnet-online.de 62.245.232.69 [pop_updt.c:296]
Oct 2 22:07:03 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<belindakshaw@flashmail.com> to=<lennnfrtg@swbell.net>
Oct 2 22:07:08 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<belindakshaw@flashmail.com> to=<angelakthalman@mail.ru>
Oct 2 22:07:13 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<belindakshaw@flashmail.com> to=<beckynmoldt@gofree.co.uk>
Oct 2 22:07:24 pxxxxxxxx postfix/smtpd[25141]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<belindakshaw@flashmail.com> to=<jrdelly@hotmail.com>
Oct 2 22:07:35 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:jackbran4@hotmail.com
Oct 2 22:07:51 pxxxxxxxx postfix/smtpd[25130]: disconnect from radio2b.org[217.160.110.45]
Oct 2 22:08:18 pxxxxxxxx postfix/smtpd[25141]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:belindakshaw@flashmail.com
Oct 2 22:08:34 pxxxxxxxx postfix/smtpd[25141]: disconnect from radio2b.org[217.160.110.45]
Oct 2 22:09:28 pxxxxxxxx postfix/smtpd[25130]: connect from radio2b.org[217.160.110.45]
Oct 2 22:09:59 pxxxxxxxx postfix/smtpd[25130]: 0A710488052: client=radio2b.org[217.160.110.45]
Oct 2 22:09:59 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <knobstripe04@aol.com>: Relay access denied; from=<annieb1980@yahoo.com> to=<knobstripe04@aol.com>
Oct 2 22:10:04 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <klouo@acmemail.net>: Relay access denied; from=<annieb1980@yahoo.com> to=<klouo@acmemail.net>
Oct 2 22:10:09 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <marykiou@flashmail.com>: Relay access denied; from=<annieb1980@yahoo.com> to=<marykiou@flashmail.com>
Oct 2 22:10:14 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <lennnfrtg@swbell.net>: Relay access denied; from=<annieb1980@yahoo.com> to=<lennnfrtg@swbell.net>
Oct 2 22:10:19 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <angelakthalman@mail.ru>: Relay access denied; from=<annieb1980@yahoo.com> to=<angelakthalman@mail.ru>
Oct 2 22:10:24 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <beckynmoldt@gofree.co.uk>: Relay access denied; from=<annieb1980@yahoo.com> to=<beckynmoldt@gofree.co.uk>
Oct 2 22:10:35 pxxxxxxxx postfix/smtpd[25130]: reject: RCPT from radio2b.org[217.160.110.45]: 554 <jrdelly@hotmail.com>: Relay access denied; from=<annieb1980@yahoo.com> to=<jrdelly@hotmail.com>
Oct 2 22:11:29 pxxxxxxxx postfix/smtpd[25130]: warning: radio2b.org[217.160.110.45] sent message header instead of SMTP command: From:annieb1980@yahoo.com
Oct 2 22:11:45 pxxxxxxxx postfix/smtpd[25130]: disconnect from radio2b.org[217.160.110.45]


vielleicht sagt das jetzt mehr aus ??! :-) ?? Von den Einträgen stehen noch viel mehr drine !!

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Spam ??

Post by captaincrunch » 2003-10-03 11:04

Ja, und zwar, dass dein Postfix bisher alle versuche, Spam über ihn zu versenden abgelehnt hat.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

malibuu
Posts: 53
Joined: 2003-06-16 18:41
Location: München

ist

Post by malibuu » 2003-10-03 11:06

ist es sinnvoll ein Update zum machen ?? Oder gibt es die möglichkeit das es gar nicht dazu kommt alleine zu versuchen spam zu verschicken ??

danke übrigends :-)

nero27
Posts: 4
Joined: 2003-03-10 10:38
Location: Stuttgart

Re: Spam ??

Post by nero27 » 2003-10-03 11:09

Hi malibuu,

bei mir stehen die gleichen Einträge in meinen Logs. Allerdings von 2:09 bis 2:31. Da hat ein "lieber Nachbar" versucht über unsere Server Spam zu verschicken. Aber, wie CaptainCrunch schon sagte, erfolglos (reject).

Gruß nero

malibuu
Posts: 53
Joined: 2003-06-16 18:41
Location: München

aha

Post by malibuu » 2003-10-03 11:35

aha !! Ist es schlau so etwas 1und1 zu melden ??
oder war das gar nicht der Server mit der Domain:
radio2b.org[217.160.110.45] ??

thx
chris

nero27
Posts: 4
Joined: 2003-03-10 10:38
Location: Stuttgart

Re: Spam ??

Post by nero27 » 2003-10-03 11:55

Doch doch, das is schon der Richtige (ein nslookup der IP verweist auch auf die Domain)

Geschickterweise hat der Gute auf seiner Seite ein Wiki. Da hab ich ihm mal ne kleine Nachricht hinterlassen.
[url]http://www.radio2b.org/cgi-bin/moin.cgi[/url]

Mal schauen, ob sich der Hamburger Jung' darauf hier meldet.
Wenn der sowas noch mal macht, sollten wir das glaub ich schon mal melden.
Vielleicht war's ja auch nur ein Versehen...

malibuu
Posts: 53
Joined: 2003-06-16 18:41
Location: München

das

Post by malibuu » 2003-10-03 14:14

das war bestimmt kein Versehen !! Mehrere Server wurden davon betroffen ! Das ist auch kein Spass mehr..

wgot
RSAC
Posts: 1707
Joined: 2003-07-06 02:03

Re: Spam ??

Post by wgot » 2003-10-03 14:35

Hallo,

sieht nach Proxy aus. Ist dann vermutlich keine Absicht sondern Unwissen.

Gruß, Wolfgang

Anonymous

Sorry, an alle, und danke für den hinweis

Post by Anonymous » 2003-10-03 17:03

ich habe dummerweise, einem ohne ahnung etwas zuviele rtechte eingeräumt, wird schnellstmöglich behoben, es sollte jetzt erstmal gestoppt sein, wenn nicht, bitte sofort melden, an <rootforum-[at]-slasha.de>
schönen feiertag trotzdem noch

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spam ??

Post by dodolin » 2003-10-03 20:10

ich habe dummerweise, einem ohne ahnung etwas zuviele rtechte eingeräumt, wird schnellstmöglich behoben, es sollte jetzt erstmal gestoppt sein, wenn nicht, bitte sofort melden, an <rootforum-[at]-slasha.de>
schönen feiertag trotzdem noch
Sollte der Rechner 217.160.110.45 dir gehören, dann ist da gar nix gefixed. Ich habe ihn jetzt erstmal erfolgreich auf http://dsbl.org/listing?217.160.110.45 gelistet. ;) Wenn du es schnell fixed, erspare ich dir auch die Abuse-Mail an abuse.schlund.de. :) Hint: mod_proxy im Apachen bitte NICHT laden.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spam ??

Post by adjustman » 2003-10-05 01:10

meinst Du sowas in der httpd.conf:

AddModule mod_proxy.c

Das steht bei mir drin. :roll:

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spam ??

Post by Joe User » 2003-10-05 13:09

yupp, sowohl die Direktiven AddModule als auch LoadModule für mod_proxy* müssen raus!

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spam ??

Post by adjustman » 2003-10-05 14:41

und wie kommen die da rein? Ich hab sie nicht explizit reingeschrieben.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spam ??

Post by dodolin » 2003-10-05 16:25

und wie kommen die da rein? Ich hab sie nicht explizit reingeschrieben.
Dann waren's wohl die Heinzelmännchen. ;)

PS: Wenn man weiß, was man tut, kann man selbstverständlich auch mod_proxy laden und nutzen, wenn es wirklich nötig ist. Aber wie man sieht, kann man sich dabei halt sehr leicht selbst ins Bein schießen... Und als erste Gegenmaßnahme, wenn es bereits zu spät ist, hilft Apache neustarten ohne das Proxy-Modul.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spam ??

Post by adjustman » 2003-10-05 19:36

wozu ist denn mod_proxy gut? (Server war vorinstalliert)

mutombo
Posts: 184
Joined: 2003-06-19 06:10

Re: Spam ??

Post by mutombo » 2003-10-06 00:16

jo mod_proxy ist vorinstalliert bei 1und1 hat allerdings für den einzel-server-benutzer nicht wirklich eine sinnvolle aufgabe.

adjustman
Posts: 1132
Joined: 2003-03-26 23:29
Location: SA

Re: Spam ??

Post by adjustman » 2003-10-06 00:26

und wenn ich das auskommentiere, geht immer noch alles? :wink:

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Spam ??

Post by dodolin » 2003-10-06 14:16

@adjustman: Oh Mann, warum liest du nicht einfach die Doku zu mod_proxy?! Wenn du es nicht (wissentlich) benutzt, wird wohl auch noch ohne alles gehen...

darth
Posts: 62
Joined: 2003-01-10 19:20
Location: Berlin/ ehem. Mönchengladbach

Re: Spam ??

Post by darth » 2003-10-10 08:55

Kann ich nur zustimmen.

Beim 8.1er ist das beides geladen.
Ein einfaches Auskommentieren beider Einträge und ein Apache restart helfen hier schonmal weiter :)

Und solange Du einfach nur ein paar Homepages, Mail etc über den Server laufen lässt, und nichts spezielles das dieses Modul benötigt, kannst Du es einfach auskommentieren..

Gruss,
Michael

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Spam ??

Post by Joe User » 2003-10-10 17:26

adjustMan wrote:und wie kommen die da rein? Ich hab sie nicht explizit reingeschrieben.
SuSE-Standard