Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
mr_fish
Posts: 27
Joined: 2004-03-28 12:04
Location: Ruhrgebiet

Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by mr_fish » 2004-04-24 14:44

Hallo,

in meiner /var/log/mail finden sich mehrmals am Tag solche Einträge (Domainnamen habe ich geändert):

Code: Select all

Apr 24 12:42:34 p15154429 postfix/smtpd[32692]: connect from pD9510AA2.dip.t-dialin.net[217.81.10.162]
Apr 24 12:42:35 p15154429 postfix/smtpd[32692]: 1B10AC0016D: client=pD9510AA2.dip.t-dialin.net[217.81.10.162]
Apr 24 12:42:35 p15154429 postfix/smtpd[32692]: 1B10AC0016D: reject: RCPT from pD9510AA2.dip.t-dialin.net[217.81.10.162]: 554 <irgendwer@absender.de>: Relay access denied; from=<info@meine-domain.de> to=<irgendwer@absender.de> proto=SMTP helo=<Ehyqirm>
Apr 24 12:42:36 p15154429 postfix/smtpd[32692]: disconnect from pD9510AA2.dip.t-dialin.net[217.81.10.162]
Sieht mir so aus, also ob irgendjemand versucht Mails über meinen Server als Relay zu senden. Wer kommt auf so eine Idee? Kann das ein Windows-Virus sein, der sich verbreiten will?

Zum Glück scheint mein Server ja dankend abzulehnen, ist also eigentlich kein Sicherheitsproblem, oder?

Trotzdem ungewöhnlich. Hat jemand sowas Ahnliches?

Grüße
Mr_Fish

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by chris76 » 2004-04-24 14:48

Also ungewöhnlich ist es keinesfalls. Da versucht jemand (Spammer) ihre mails loszuwerden.
Das taucht oft in den logs auf (zumindest bei mir :wink: )
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

mr_fish
Posts: 27
Joined: 2004-03-28 12:04
Location: Ruhrgebiet

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by mr_fish » 2004-04-24 15:04

Da bin ich ja beruhigt... ;-) Dann gehört sowas wohl zum leidigen "Rauschen" des Internet.

Interessant ist aber, das auch schon mal jemand mit einem Absender wie stellen-anzeigen@sueddeutsche.de oder de-news-weather@yahoo-inc.com meinen Server als Relay nutzen will (über T-Online-Einwähl IPs). Ich glaube daher, da sind eher irgendwelche Windows-Trojaner am Werk, die 1.) sich an alle Mailadressen im jeweiligen Adressbuch verbreiten wollen und sich dabei 2.) auch für die Absender die Adressbuch-Adressen nehmen.

chris76
Moderator
Moderator
Posts: 2015
Joined: 2003-06-27 14:37
Location: Germering

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by chris76 » 2004-04-24 15:08

Ich kann dir gerne ne mail als "Gerhard Schröder" senden, und den habe ich garantiert nicht in meinem Adressbuch :wink:
Gruß Christian

BofH excuses: YOU HAVE AN I/O ERROR -> Incompetent Operator error

mr_fish
Posts: 27
Joined: 2004-03-28 12:04
Location: Ruhrgebiet

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by mr_fish » 2004-04-24 15:27

Hihi.. klar, kannst du gern machen, oder als Angela Merkel ;-)

theomega
Userprojekt
Userprojekt
Posts: 704
Joined: 2003-01-27 14:36

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by theomega » 2004-04-25 00:50

die frage bei diesen "promi" mails ist in welchem Spamfilter sie hängen bleiben! Habe das inzwischen auch massig, was mich aber viel mehr stört sind diese blöden Mails, wo ich als absender drinstehe! Meistens noch mit Viren dran und ich merks erst wenn irgendein Server ne Benachrichtigung zurückschickt!

compositiv
Posts: 193
Joined: 2003-01-22 14:58
Location: Hamburg

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by compositiv » 2004-04-25 12:09


dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Ungewöhnliche SMTP-Anfragen an meinen Server (Virus?)

Post by dodolin » 2004-04-25 13:27

SPF - Sender Policy Framework könnte helfen.
SPF könnte aber auch schaden. Und nun? ;)

Will sagen: Wenn man SPF nutzen will, sollte man sehr genau verstehen, wie die ganzen Zusammenhänge sind und auch die möglichen Probleme kennen.

Außerdem wird SPF zu wenig eingesetzt, als dass es derzeit schon helfen könne. Was viel eher schützt, ist Greylisting. Aber auch das hat ein paar konzeptionelle Schwächen, die man kennen sollte, wenn man es einsetzt.