SPAM-Versand über meinen Server?!

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
dani_ch
Posts: 79
Joined: 2003-03-23 17:42

SPAM-Versand über meinen Server?!

Post by dani_ch » 2004-01-29 14:56

Hallo zusammen

Mein Server läuft mit Postfix und benötigt SMTP-Auth, wenn jemand Mails versenden möchte.

Nun habe ich folgendes Mail-Delivery-Status-Mail in meine Catch-All-Mailbox erhalten:
These recipients of your message have been processed by the mail server:
Diese Nachrichtenempfänger wurden vom Mail-Server verarbeitet:
Ces destinataires ont été traités par le serveur de messagerie :

robert@bluewin.ch;

-> Failed
Fehlgeschlagen
Ã?chec

Error-Code; 5.2.2 (mailbox full)
(Mailbox voll)
(boîte aux lettres saturée)

Remote MTA :
Entfernter MTA :
ATM à distance : mssazhh-int.msg.bluewin.ch

SMTP diagnostic :
SMTP-Diagnose :
Diagnostic SMTP : 552 RCPT TO:<robert@bluewin.ch> Mailbox disk quota exceeded




Reporting-MTA: dns; mx5.bluewin.ch
Received-from-MTA: dns; damanet.ch (212.60.43.95)
Arrival-Date: Thu, 29 Jan 2004 13:10:42 +0000

Final-Recipient: rfc822; robert@bluewin.ch
Action: Failed
Status: 5.2.2 (mailbox full)
Remote-MTA: dns; mssazhh-int.msg.bluewin.ch
Diagnostic-Code: smtp; 552 RCPT TO:<robert@bluewin.ch> Mailbox disk quota exceeded


Return-Path: <bob@damanet.ch>
Received: from damanet.ch (212.60.43.95) by mx5.bluewin.ch (Bluewin AG 7.0.024)
id 400B9A2B00481691 for robert@bluewin.ch; Thu, 29 Jan 2004 13:10:42 +0000
Message-ID: <400B9A2B00481691@mx5.bluewin.ch> (added by postmaster@bluewin.ch)
From: bob@damanet.ch
To: robert@bluewin.ch
Subject: Server Report
Date: Thu, 29 Jan 2004 14:10:02 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0008_B5F70154.1314AA5C"
X-Priority: 3
X-MSMail-Priority: Normal
Wenn ich jedoch in meinem Logfile nach bob@damanet.ch oder robert@bluewin.ch suche, dann taucht nichts auf.

Ist es möglich, dass allenfalls das SPAM über einen anderen Server verschickt wurde und einfach der Absender bob@damanet.ch verwendet wurde und ich daher nun die lieben Delivery-Mails zurückbekomme?

Oder woran liegt das?

Wie gesagt, für den Mailversand ist SMTP-Auth. notwendig, kann mirs daher nicht wirklich erklären?!

Vielen Dank für Eure Hilfe.

vratislav
Posts: 118
Joined: 2002-05-05 12:05

Re: SPAM-Versand über meinen Server?!

Post by vratislav » 2004-01-29 15:38

Hallo,
Ist es möglich, dass allenfalls das SPAM über einen anderen Server verschickt wurde und einfach der Absender bob@damanet.ch verwendet wurde und ich daher nun die lieben Delivery-Mails zurückbekomme?
so ist es. Catch-All ist seit den letzten Viren nicht mehr zu gebrauchen, da durch viren viele E-Mailadressen ala 'post@<existierendeDomain> usw. erfunden werden.

Durch Catch-All bekommt man dann die Rückmeldungen. Was man tun kann. Catch-All abschalten. Mehr kann man nicht machen.

Björn

dani_ch
Posts: 79
Joined: 2003-03-23 17:42

Re: SPAM-Versand über meinen Server?!

Post by dani_ch » 2004-01-29 16:18

vratislav wrote:Durch Catch-All bekommt man dann die Rückmeldungen. Was man tun kann. Catch-All abschalten. Mehr kann man nicht machen.
beruhigt mich auf jedenfall, dass es nicht von meinem server her stammt.

habe aber glaubs den server gefunden, von dem gespammt wurde (bzw. über den). Die IP sämtlicher Absender-Emails war gleich..habe den Inhaber gleich mal angemailed.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SPAM-Versand über meinen Server?!

Post by dodolin » 2004-01-29 17:50

Subject: Server Report
Date: Thu, 29 Jan 2004 14:10:02 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
Einer der neuen Mass-Mail-Würmer, die durch sämtliche Medien geistern... (verschlafen?!)... er hatte - wie üblich - den Absender gefälscht. Und zwar mit deiner Adresse. Sicher könnte man das aber nur mit vollständigen Headern der Mail sagen, ansonsten könnte es auch sein, dass er sich direkt an dich geschickt hat (diesen Fall halte ich aber für unwahrscheinlicher anhand der bisherigen Informationen).

dani_ch
Posts: 79
Joined: 2003-03-23 17:42

Re: SPAM-Versand über meinen Server?!

Post by dani_ch » 2004-01-29 17:53

Hier einige Header:
------------------------- BEGIN HEADERS -----------------------------
Return-Path: <daniel.meier@damanet.ch>
Received: from damanet.ch (095.catv43.mur01.lan.ch [212.60.43.95])
by gdp-lin-230-110.as16215.net (Postfix) with ESMTP id 065D9469E0B
for <andrew@damanet.ch>; Thu, 29 Jan 2004 15:24:11 +0100 (CET)
From: daniel.meier@damanet.ch
To: andrew@damanet.ch
Subject: Hello
Date: Thu, 29 Jan 2004 15:23:27 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0010_C51C5775.0A2BA654"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040129142411.065D9469E0B@gdp-lin-230-110.as16215.net>
-------------------------- END HEADERS ------------------------------

Reporting-MTA: dns; mx5.bluewin.ch
Received-from-MTA: dns; damanet.ch (212.60.43.95)
Arrival-Date: Thu, 29 Jan 2004 13:10:42 +0000

Final-Recipient: rfc822; robert@bluewin.ch
Action: Failed
Status: 5.2.2 (mailbox full)
Remote-MTA: dns; mssazhh-int.msg.bluewin.ch
Diagnostic-Code: smtp; 552 RCPT TO:<robert@bluewin.ch> Mailbox disk quota exceeded

-------------------------- END HEADERS ------------------------------

Received: from damanet.ch (095.catv43.mur01.lan.ch [212.60.43.95])
by gdp-lin-230-110.as16215.net (Postfix) with ESMTP id 065D9469E0B
for <andrew@damanet.ch>; Thu, 29 Jan 2004 15:24:11 +0100 (CET)
From: daniel.meier@damanet.ch
To: andrew@damanet.ch
Subject: Hello
Date: Thu, 29 Jan 2004 15:23:27 +0100
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0010_C51C5775.0A2BA654"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20040129142411.065D9469E0B@gdp-lin-230-110.as16215.net>

-------------------------- END HEADERS ------------------------------
Es handelt sich bei der IP anscheinend um einen Kabelmodem-Endkunden. Der Provider selber ist informiert über die Emails.

Mal schauen, ob da was geht.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SPAM-Versand über meinen Server?!

Post by dodolin » 2004-01-29 18:07

Wenn das die vollständigen Header sind, dann wurde dir der Virus direkt zugeleitet. Da war doch noch ein Attachment dabei, oder?! ;)

Weil:
Reporting-MTA: dns; mx5.bluewin.ch
dieser überhaupt nicht im Header auftaucht, was aber der Fall sein müsste, wenn dieser wirklich diese DSN generiert hätte.

dani_ch
Posts: 79
Joined: 2003-03-23 17:42

Re: SPAM-Versand über meinen Server?!

Post by dani_ch » 2004-01-29 19:11

dodolin wrote:Wenn das die vollständigen Header sind, dann wurde dir der Virus direkt zugeleitet. Da war doch noch ein Attachment dabei, oder?! ;)
nee, die attachements wurden direkt vom virenscanner auf dem server gelöscht. aber gut möglich.

ego
Posts: 87
Joined: 2003-07-21 10:18

Re: SPAM-Versand über meinen Server?!

Post by ego » 2004-01-29 23:13

Wie stellt man denn Catch-All bei Postfix ab?

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: SPAM-Versand über meinen Server?!

Post by chris76 » 2004-01-30 06:48

schau dir mal die datei /etc/postfix/virtual an da wirst du den chatchall definiert haben!