Page 1 of 1
werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-24 15:34
by malte
hallo,
habe an diesem wochenende einen mailserver aufgesetzt und seid heute bekomme ich solche mails:
Code: Select all
Hi. This is the qmail-send program at meine.domain.tld.
I tried to deliver a bounce message to this address, but the bounce bounced!
<ryuttiyryuttiy@yahoo.com>:
64.156.215.7 does not like recipient.
Remote host said: 553 VS10-RT Possible forgery or deactivated due to abuse (#5.1.1)
Giving up on 64.156.215.7.
--- Below this line is the original bounce.
Return-Path: <>
Received: (qmail 32228 invoked for bounce); 24 Feb 2004 13:22:01 -0000
Date: 24 Feb 2004 13:22:01 -0000
From: MAILER-DAEMON@meine.domain.tld
To: ryuttiyryuttiy@yahoo.com
Subject: failure notice
Hi. This is the qmail-send program at meine.domain.tld.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<rldyap@kibn.net>:
211.53.209.39 does not like recipient.
Remote host said: 551 User unknown <rldyap@kibn.net>
Giving up on 211.53.209.39.
--- Below this line is a copy of the message.
Return-Path: <ryuttiyryuttiy@yahoo.com>
Received: (qmail 32224 invoked from network); 24 Feb 2004 13:21:58 -0000
Received: from unknown (HELO 217.20.116.37) (211.222.84.85)
by meine.domain.tld with SMTP; 24 Feb 2004 13:21:58 -0000
Message-ID: <Ai1moQyPpEC0TcOmQiCjw4uGq8M9rfaf@LocalHost>
From: Ã?ñ¸Ã·Ã-6<566070k0t78k07t8o@yahoo.com>
To: rldyap@kibn.net
Subject: [±ÃÃ?¶.亸]½Ã?-¿ë C.a.r.d±Ã¾Ã? ¾ó¸¶°¡ Ã?Ã?¿äßü¼¿ä? Ã?¬¸¯Ã?óª·Ã? Ã?Ã?°áÃ?ü¼¿ä@<Ai1moQyPpEC0TcOmQiCjw4uGq8M9rfaf@>
Date: 2004-02-24 ¿��� 10:24:43
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
was beeuted das? kann ich was dagegen unternehmen?
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-24 15:56
by chris76
Hi,
eigentlich steht ja alles da was du wissen solltest.
was genau ist dir daran nicht klar?
kann ich was dagegen unternehmen?
ja, deinen MTA abschalten!
Gruß Christian
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-24 16:42
by floschi
Es hat jemand eine E-Mail verschickt und dabei eine Absenderadresse angegeben, die auf deinen Server auflöst. Der Empfänger hat die Annahme verweigert, aber der Bounce konnte nicht zugestellt werden, weil es den "Absender" ja gar nicht gibt. Folglich sagt dir dein Server, dass er eine Bounce-Nachricht nicht zustellen konnte, was ja ganz oben steht ;)
Davon bekomme ich einige täglich :(
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-24 18:17
by malte
ist nur merkwürdig, weil bisher niemand den mailserver kennt ausser mir und einem bekannten. da laufen ja nichtmal meine domains drüber, ist momentan nur zum testen da. und das jemand die adresse kennt bezweifel ich auch irgendwie.. mist echt. jede minute kommen 3 solcher mails bei mir rein also insgesamt schon über 120 :(
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-24 20:02
by Joe User
Domain bereits registriert gewesen? Domain mit populären Pattern? Wurm/Backdoor auf Deinem PC?
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 00:16
by malte
naja also bisher habe ich noch nichteinmal eine domain auf dem server. ist nur ne unterdomain vom provider... ich.provider.tld wurm/backdoor habe ich zumindest auf meinem client nicht. gibts sowas auch fürn server? wenn ja wie finde ich sowas?
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 01:14
by dodolin
Du solltest bitte ganz dringend dafür sorgen, dass dein MTA keine Mails für unbekannte Localparts annimmt (das tut QMail anscheinend leider per Default), dann verschwinden solche Probleme quasi automatisch bzw. reduzieren sich auf ein Minimum. Derzeit betreibst du Netzmissbrauch, IMHO.
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 01:22
by malte
ja deswegen ist der mta auch gestoppt bis ich weiss wie ich es ändern kann, nur leider weiss ich noch nicht wie, habe jetzt einige howtos durchstöbert, aber die helfen mir nicht weiter :( da stehen dann tolle tipps von wegen dies u nd das in der und der config ändern und dann hab ich diese configs garnicht oder es stehen völlig andere sachen drin.. flass noch jemand tipps hat immer her damit, stehe voll aufm schlauch ;)
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 01:53
by dodolin
Von QMail hab ich keine Ahnung, kann dir daher nicht viel helfen. Was du aber mit deiner Config erreichen solltest, ist, dass du unbekannte Localparts gleich im SMTP-Dialog abweist, in etwa so:
dominik@trinity:~$ telnet mail.dodolin.de 25
Trying 217.160.191.190...
Connected to trinity.dodolin.de.
Escape character is '^]'.
220 mail.dodolin.de ESMTP Exim 4.30 Wed, 25 Feb 2004 01:49:03 +0100
helo localhost
250 mail.dodolin.de Hello dominik at dodolin.de [217.160.191.190]
mail from: <
spammer@example.com>
250 OK
rcpt to: <
gibts-nicht@dodolin.de>
550 unknown user
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 03:12
by kenzo
Was du aber mit deiner Config erreichen solltest, ist, dass du unbekannte Localparts gleich im SMTP-Dialog abweist,
Was wiederum heftig umstritten ist - nicht unerwähnt sollte man
http://groups.google.de/groups?hl=de&lr ... 5.ornl.gov
lassen. Aber für qmail gibt's dennoch eine Lösung:
http://www.interazioni.it/qmail/#qmail-smtpd
Was IMHO aber das größere Problem ist: Ich finde im Doublebounce als Absender und Empfänger nur serverfremde Adressen - hat da jemand wohl ein Scheunentor offen stehen?
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 03:33
by dodolin
Was wiederum heftig umstritten ist
Nein. (Fast) nur unter QMail / DJB Fans.
Ansonsten ist die Meinung ziemlich klar.
Das mit den Bruteforce-Attacken stimmt, davon betroffen sind aber eigentlich nur größere Domains mit vielen verschiedenen gültigen Localparts innerhalb einer einzigen Domain, wie es oft nur bei Freemailern etc. der Fall ist. (Bei kleineren Domains lohnen sich Bruteforce Attacken einfach nicht, weil zu wenige valide Localparts rauskommen für die Spammer.)
Außerdem gibt es immer mehr MTAs, die bei Maileinlieferung den Envelope-Sender mit einem Callback verifizieren. Das wird ebenso unmöglich, wenn man nicht nach dem RCPT TO ablehnt. Es ist also in zweierlei Hinsicht Selbstschutz, das zu machen: Nicht nur, weil man sonst in Double-Bounces erstickt, sondern auch, um es Spammern, die die eigene Domain im gefälschten Absender benutzen schwerer zu machen, ihre Mails loszuwerden (, die dann ebenso wieder an uns gebounced werden, etc. pp.)
Yahoo hat hier ein recht effektives System aufgesetzt, das normalerweise unbekannte RCPT erstmal akzeptiert, dann aber nach dem DATA, also immer noch im SMTP-Dialog, abweist. Probleme hierbei sehe ich, wenn die Mail mehrere RCPT hat, und manche gültig sind und manche nicht. Was passiert dann nach dem DATA?! Wenn jedoch auf einem bestimmten unbekannten User von Yahoo zuviele Bounces pro Zeit eintreffen, switchen sie ihre Konfiguration automatisch um, sodass dieser spezielle User (, der vermutlich in einem Spamrun als gefälschter Absender benutzt wurde) direkt nach dem RCPT TO abgelehnt wird, um Callouts für diesen einen User wieder funktionieren zu lassen (s.o. zum Selbstschutz von Yahoo).
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 12:02
by kenzo
Ansonsten ist die Meinung ziemlich klar.
Btw: Stimme Dir zu - sollte lediglich ein Hinweis auf die andere Seite der Medaille sein.
Re: werd ich jetzt schon für spam misbraucht?
Posted: 2004-02-25 23:03
by malte
ok hat sich erledigt, ihr dürft mich jetzt aber mal so richtig verhauen.... ich weiss nicht wieso, aber meine rcpt-hosts... lalala problem hat sich in luft aufgelöst...