Mailserver postfix unbekannter Versender

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
tsaenger
Posts: 413
Joined: 2003-08-13 01:14

Mailserver postfix unbekannter Versender

Post by tsaenger » 2003-12-23 18:30

Hallo,

Ich habe folgende Frage:

Ich habe gerade eine Mail über meinem Server von einer Bekannten bekommen, die Sie gar nicht abgeschickt hat.

Mein Mailprotokoll sagt dazu folgendes:
Ich habe die Domain von ihrem richtigen Namen aus Sicherheitsgründen in test123.de umgenannt. Auch habe ich die Serveradresse unkenntlich gemacht.

Dec 23 14:15:51 p15140xxx postfix/smtpd[10329]: connect from xplus-agency.de[213.133.101.226]
Dec 23 14:15:51 p15140xxx postfix/smtpd[10329]: lost connection after CONNECT from xplus-agency.de[213.133.101.226]
Dec 23 14:15:51 p15140xxx postfix/smtpd[10329]: disconnect from xplus-agency.de[213.133.101.226]
Dec 23 14:15:51 p15140xxx postfix/smtpd[10329]: connect from xplus-agency.de[213.133.101.226]
Dec 23 14:15:51 p15140xxx postfix/smtpd[10329]: lost connection after CONNECT from xplus-agency.de[213.133.101.226]
Dec 23 14:15:51 p15140xxx postfix/smtpd[10329]: disconnect from xplus-agency.de[213.133.101.226]
Dec 23 14:15:51 p15140xxx popper[10330]: (null) at xplus-agency.de (213.133.101.226): -ERR POP EOF or I/O Error [popper.c:820]
Dec 23 14:15:51 p15140xxx popper[10333]: (null) at xplus-agency.de (213.133.101.226): -ERR POP EOF or I/O Error [popper.c:820]
Dec 23 14:15:52 p15140xxx postfix/qmgr[12181]: 3D5F73140CC: from=<uli@test123.de>, size=103069, nrcpt=3 (queue active)Dec 23 14:15:52 p15140xxx postfix/local[10336]: 3D5F73140CC: to=<web2p3@p15140xxx.pureserver.info>, relay=local, delay=39, status=sent (mailbox)Dec 23 14:15:52 p15140xxx postfix/local[10335]: 3D5F73140CC: to=<web2p13@p15140xxx.pureserver.info>, relay=local, delay=39, status=sent (mailbox)Dec 23 14:15:52 p15140xxx postfix/local[10337]: 3D5F73140CC: to=<web2p6@p15140xxx.pureserver.info>, relay=local, delay=39, status=sent (mailbox)Dec 23 14:15:52 p15140xxx postfix/local[10335]: 3D5F73140CC: to=<web2p3@p15140xxx.pureserver.info>, relay=local, delay=39, status=sent (mailbox)
Dec 23 14:15:52 p15140xxx postfix/cleanup[10291]: B7A523140CD: message-id=<20031223131513.3D5F73140CC@p15140xxx.pureserver.info>
Dec 23 14:15:52 p15140xxx postfix/qmgr[12181]: B7A523140CD: from=<uli@test123.de>, size=103230, nrcpt=6 (queue active)Dec 23 14:15:52 p15140xxx postfix/local[10335]: 3D5F73140CC: to=<confixx-du-33@p15140xxx.pureserver.info>, relay=local, delay=39, status=sent (forwarded as B7A523140CD)
Dec 23 14:15:53 p15140xxx postfix/smtpd[10290]: disconnect from c-134-104-36.k.dial.de.ignite.net[62.134.104.36]

Der Header der Mail sieht so aus:
Return-Path: <uli@test123.de>
Delivered-To: web2p3@p15140xxx.pureserver.info
Received: from OEMCOMPUTER.de (c-134-104-36.k.dial.de.ignite.net [62.134.104.36])
by p15140xxx.pureserver.info (Postfix) with ESMTP
id 3D5F73140CC; Tue, 23 Dec 2003 14:15:13 +0100 (CET)
From: uli@test123.de
To: xhostend3292X@test123.de
Subject: Sie Drohen mir!!
X-MailScanner: Nothing was found
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MSMail-Priority: Normal
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="ab428033cf1e2f.43994f06a943f"
Message-Id: <20031223131513.3D5F73140CC@p15140xxx.pureserver.info>
Date: Tue, 23 Dec 2003 14:15:13 +0100 (CET)
X-UIDL: DXh!!!CI!!~em"!b!X!!

Kann mir jemand behilflich sein und mir sagen, wie eine Person bitte die Mail über das Mailkonto verschicken konnte?
Habe ich irgendwo ein Sicherheitsloch im Mailserver?

MfG und ein frohes Weihnachtsfest

Tobias

morgherkul
Posts: 44
Joined: 2003-08-08 01:08

Re: Mailserver postfix unbekannter Versender

Post by morgherkul » 2003-12-25 21:22

Habe das gleiche Problem. Die Mail, die versendet wurde, war der Sober.C-Wurm.

Ist das ein Postfix-Sicherheitsloch? Würde mich über eine Info sehr freuen.

wirsing
RSAC
Posts: 611
Joined: 2002-11-20 21:32
Location: Vaihingen und Karlsruhe

Re: Mailserver postfix unbekannter Versender

Post by wirsing » 2003-12-25 22:44

Da ist kein Sicherheitsloch auf dem Server. SMTP ist nun einmal so, dass jeder einen beliebigen Absender angeben kann.

morgherkul
Posts: 44
Joined: 2003-08-08 01:08

Re: Mailserver postfix unbekannter Versender

Post by morgherkul » 2003-12-26 13:41

Wie ich gelesen habe, soll der Sober.C-Wurm selbst eine SMTP-Engine besitzen.

Für mich konkret heißt das, dass irgendwer mit meinen richtigen Email-Daten irgendwelche Emails verschicken kann. Und das beunruhigt mich maßlos.

Hat jemand noch weiterführende Infos? Vielen Dank im Voraus.

kaizan
Posts: 33
Joined: 2002-07-19 17:32

Re: Mailserver postfix unbekannter Versender

Post by kaizan » 2003-12-27 12:41

Also (korrigiert mich falls ich was falsches schreibe) es sieht so aus:
der wurm infiziert ein ungeschütztes system durchsucht den rechner nach dokumenten mit email adressen und verschickt sich dan selbst and die gefundenen adressen und verwendet wiederum gefundene adressen als absenderadresse. wenn er also deine adresse deines servers als absender verwendet bekommst du eine fehlermeldung das diese nicht gefunden werden konnte... hierbei hängt aber im anhang die mail mit dem virus drin. (geändertes szenario mit catchallaccounts auch möglich)

da hilft nur eins entweder alle mail mit dem betreff filtern, einen vernünftigen virenscanner einsetzten oder die mails über ein gmx powerpacket mit virenschutz jagen

mfg
christian

User avatar
Joe User
Project Manager
Project Manager
Posts: 11578
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Mailserver postfix unbekannter Versender

Post by Joe User » 2003-12-27 13:51

kaizan wrote:Also (korrigiert mich falls ich was falsches schreibe) es sieht so aus:
http://securityresponse.symantec.com/av ... .c@mm.html
kaizan wrote:der wurm infiziert ein ungeschütztes system durchsucht den rechner nach dokumenten mit email adressen und verschickt sich dan selbst and die gefundenen adressen und verwendet wiederum gefundene adressen als absenderadresse.
Fast ;) Er "fälscht" den From und gegebenfalls auch den Return-Path, nichts ungewöhnliches.
kaizan wrote:wenn er also deine adresse deines servers als absender verwendet bekommst du eine fehlermeldung das diese nicht gefunden werden konnte...
Der SMTPd des Wurms verwirft den Statuscode seines "Gesprächspartners", das hat nichts mit dem MTA des OP zu tun.
kaizan wrote:da hilft nur eins entweder alle mail mit dem betreff filtern, einen vernünftigen virenscanner einsetzten oder die mails über ein gmx powerpacket mit virenschutz jagen
Nein.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

kaizan
Posts: 33
Joined: 2002-07-19 17:32

Re: Mailserver postfix unbekannter Versender

Post by kaizan » 2003-12-28 13:50

Nein
HEHE ;) gehts auch ein bisschen konstruktiver!?