werd ich jetzt schon für spam misbraucht?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
malte
Posts: 25
Joined: 2004-02-21 17:59

werd ich jetzt schon für spam misbraucht?

Post by malte » 2004-02-24 15:34

hallo,

habe an diesem wochenende einen mailserver aufgesetzt und seid heute bekomme ich solche mails:

Code: Select all

Hi. This is the qmail-send program at meine.domain.tld.
I tried to deliver a bounce message to this address, but the bounce bounced!

<ryuttiyryuttiy@yahoo.com>:
64.156.215.7 does not like recipient.
Remote host said: 553 VS10-RT Possible forgery or deactivated due to abuse (#5.1.1)
Giving up on 64.156.215.7.

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 32228 invoked for bounce); 24 Feb 2004 13:22:01 -0000
Date: 24 Feb 2004 13:22:01 -0000
From: MAILER-DAEMON@meine.domain.tld
To: ryuttiyryuttiy@yahoo.com
Subject: failure notice

Hi. This is the qmail-send program at meine.domain.tld.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<rldyap@kibn.net>:
211.53.209.39 does not like recipient.
Remote host said: 551 User unknown <rldyap@kibn.net>
Giving up on 211.53.209.39.

--- Below this line is a copy of the message.

Return-Path: <ryuttiyryuttiy@yahoo.com>
Received: (qmail 32224 invoked from network); 24 Feb 2004 13:21:58 -0000
Received: from unknown (HELO 217.20.116.37) (211.222.84.85)
  by meine.domain.tld with SMTP; 24 Feb 2004 13:21:58 -0000
Message-ID: <Ai1moQyPpEC0TcOmQiCjw4uGq8M9rfaf@LocalHost>
From: �ñ¸Á·Ð-6<566070k0t78k07t8o@yahoo.com>
To: rldyap@kibn.net
Subject: [±ÝÃ?¶.Á¤º¸]½Ã?-¿ë C.a.r.d±Ý¾Ã? ¾ó¸¶°¡ Ã?Ã?¿äßϼ¼¿ä? Ã?¬¸¯Ã?ϳª·Ã? Ã?Ã?°áÃ?ϼ¼¿ä@<Ai1moQyPpEC0TcOmQiCjw4uGq8M9rfaf@>
Date: 2004-02-24 ¿��� 10:24:43
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
was beeuted das? kann ich was dagegen unternehmen?

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: werd ich jetzt schon für spam misbraucht?

Post by chris76 » 2004-02-24 15:56

Hi,

eigentlich steht ja alles da was du wissen solltest.
was genau ist dir daran nicht klar?

kann ich was dagegen unternehmen?
ja, deinen MTA abschalten!

Gruß Christian

floschi
Userprojekt
Userprojekt
Posts: 3388
Joined: 2002-07-18 08:13
Location: München

Re: werd ich jetzt schon für spam misbraucht?

Post by floschi » 2004-02-24 16:42

Es hat jemand eine E-Mail verschickt und dabei eine Absenderadresse angegeben, die auf deinen Server auflöst. Der Empfänger hat die Annahme verweigert, aber der Bounce konnte nicht zugestellt werden, weil es den "Absender" ja gar nicht gibt. Folglich sagt dir dein Server, dass er eine Bounce-Nachricht nicht zustellen konnte, was ja ganz oben steht ;)

Davon bekomme ich einige täglich :(

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: werd ich jetzt schon für spam misbraucht?

Post by malte » 2004-02-24 18:17

ist nur merkwürdig, weil bisher niemand den mailserver kennt ausser mir und einem bekannten. da laufen ja nichtmal meine domains drüber, ist momentan nur zum testen da. und das jemand die adresse kennt bezweifel ich auch irgendwie.. mist echt. jede minute kommen 3 solcher mails bei mir rein also insgesamt schon über 120 :(

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: werd ich jetzt schon für spam misbraucht?

Post by Joe User » 2004-02-24 20:02

Domain bereits registriert gewesen? Domain mit populären Pattern? Wurm/Backdoor auf Deinem PC?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: werd ich jetzt schon für spam misbraucht?

Post by malte » 2004-02-25 00:16

naja also bisher habe ich noch nichteinmal eine domain auf dem server. ist nur ne unterdomain vom provider... ich.provider.tld wurm/backdoor habe ich zumindest auf meinem client nicht. gibts sowas auch fürn server? wenn ja wie finde ich sowas?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: werd ich jetzt schon für spam misbraucht?

Post by dodolin » 2004-02-25 01:14

Du solltest bitte ganz dringend dafür sorgen, dass dein MTA keine Mails für unbekannte Localparts annimmt (das tut QMail anscheinend leider per Default), dann verschwinden solche Probleme quasi automatisch bzw. reduzieren sich auf ein Minimum. Derzeit betreibst du Netzmissbrauch, IMHO.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: werd ich jetzt schon für spam misbraucht?

Post by malte » 2004-02-25 01:22

ja deswegen ist der mta auch gestoppt bis ich weiss wie ich es ändern kann, nur leider weiss ich noch nicht wie, habe jetzt einige howtos durchstöbert, aber die helfen mir nicht weiter :( da stehen dann tolle tipps von wegen dies u nd das in der und der config ändern und dann hab ich diese configs garnicht oder es stehen völlig andere sachen drin.. flass noch jemand tipps hat immer her damit, stehe voll aufm schlauch ;)

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: werd ich jetzt schon für spam misbraucht?

Post by dodolin » 2004-02-25 01:53

Von QMail hab ich keine Ahnung, kann dir daher nicht viel helfen. Was du aber mit deiner Config erreichen solltest, ist, dass du unbekannte Localparts gleich im SMTP-Dialog abweist, in etwa so:
dominik@trinity:~$ telnet mail.dodolin.de 25
Trying 217.160.191.190...
Connected to trinity.dodolin.de.
Escape character is '^]'.
220 mail.dodolin.de ESMTP Exim 4.30 Wed, 25 Feb 2004 01:49:03 +0100
helo localhost
250 mail.dodolin.de Hello dominik at dodolin.de [217.160.191.190]
mail from: <spammer@example.com>
250 OK
rcpt to: <gibts-nicht@dodolin.de>
550 unknown user

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: werd ich jetzt schon für spam misbraucht?

Post by kenzo » 2004-02-25 03:12

Was du aber mit deiner Config erreichen solltest, ist, dass du unbekannte Localparts gleich im SMTP-Dialog abweist,
Was wiederum heftig umstritten ist - nicht unerwähnt sollte man
http://groups.google.de/groups?hl=de&lr ... 5.ornl.gov
lassen. Aber für qmail gibt's dennoch eine Lösung: http://www.interazioni.it/qmail/#qmail-smtpd
Was IMHO aber das größere Problem ist: Ich finde im Doublebounce als Absender und Empfänger nur serverfremde Adressen - hat da jemand wohl ein Scheunentor offen stehen?

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: werd ich jetzt schon für spam misbraucht?

Post by dodolin » 2004-02-25 03:33

Was wiederum heftig umstritten ist
Nein. (Fast) nur unter QMail / DJB Fans.
Ansonsten ist die Meinung ziemlich klar.

Das mit den Bruteforce-Attacken stimmt, davon betroffen sind aber eigentlich nur größere Domains mit vielen verschiedenen gültigen Localparts innerhalb einer einzigen Domain, wie es oft nur bei Freemailern etc. der Fall ist. (Bei kleineren Domains lohnen sich Bruteforce Attacken einfach nicht, weil zu wenige valide Localparts rauskommen für die Spammer.)

Außerdem gibt es immer mehr MTAs, die bei Maileinlieferung den Envelope-Sender mit einem Callback verifizieren. Das wird ebenso unmöglich, wenn man nicht nach dem RCPT TO ablehnt. Es ist also in zweierlei Hinsicht Selbstschutz, das zu machen: Nicht nur, weil man sonst in Double-Bounces erstickt, sondern auch, um es Spammern, die die eigene Domain im gefälschten Absender benutzen schwerer zu machen, ihre Mails loszuwerden (, die dann ebenso wieder an uns gebounced werden, etc. pp.)

Yahoo hat hier ein recht effektives System aufgesetzt, das normalerweise unbekannte RCPT erstmal akzeptiert, dann aber nach dem DATA, also immer noch im SMTP-Dialog, abweist. Probleme hierbei sehe ich, wenn die Mail mehrere RCPT hat, und manche gültig sind und manche nicht. Was passiert dann nach dem DATA?! Wenn jedoch auf einem bestimmten unbekannten User von Yahoo zuviele Bounces pro Zeit eintreffen, switchen sie ihre Konfiguration automatisch um, sodass dieser spezielle User (, der vermutlich in einem Spamrun als gefälschter Absender benutzt wurde) direkt nach dem RCPT TO abgelehnt wird, um Callouts für diesen einen User wieder funktionieren zu lassen (s.o. zum Selbstschutz von Yahoo).

kenzo
RSAC
Posts: 530
Joined: 2003-07-15 20:30

Re: werd ich jetzt schon für spam misbraucht?

Post by kenzo » 2004-02-25 12:02

Ansonsten ist die Meinung ziemlich klar.
Btw: Stimme Dir zu - sollte lediglich ein Hinweis auf die andere Seite der Medaille sein.

malte
Posts: 25
Joined: 2004-02-21 17:59

Re: werd ich jetzt schon für spam misbraucht?

Post by malte » 2004-02-25 23:03

ok hat sich erledigt, ihr dürft mich jetzt aber mal so richtig verhauen.... ich weiss nicht wieso, aber meine rcpt-hosts... lalala problem hat sich in luft aufgelöst...