Merkwürdige Emails und Einträge in /var/log/mail

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
Wolfsherz
Posts: 29
Joined: 2003-04-30 13:28

Merkwürdige Emails und Einträge in /var/log/mail

Post by Wolfsherz » 2004-05-23 21:47

Hallo liebe rootforum-Gemeinde,

ich bekomme in der letzten Zeit häufiger Emails an eine Email-Adresse meines rooties. Hier mal ein Auszug.

arutha@geänderte-domain.de ist mein eigene Adresse, die Domain habe ich verändert.
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

digichaos@01019freenet.de
mailbox is full

------ This is a copy of the message, including all the headers. ------

Return-path: <arutha@geänderte-domain.de>
Received: from [194.97.55.148] (helo=mx5.freenet.de)
by mbox59.freenet.de with asmtp (ID exim) (Exim 4.31 #5)
id 1BRybZ-00068l-Aw
for digichaos@01019freenet.de; Sun, 23 May 2004 21:25:53 +0200
Received: from port-212-202-5-250.reverse.qsc.de ([212.202.5.250] helo=arutha.de)
by mx5.freenet.de with smtp (Exim 4.33 #3)
id 1BRybW-0006Lf-FQ; Sun, 23 May 2004 21:25:53 +0200
From: arutha@geänderte-domain.de
To: many-mailers@freenet.de
Date: Sun, 23 May 2004 19:00:53 UTC
Subject: Hier für dich^^
Importance: Normal
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
Message-ID: <76980bd2d24790.c6cfd.qmail@geänderte-domain.de>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="=c0fab7.4be84e853f6b2d6c6b3"
Content-Transfer-Encoding: 7bit
Delivered-To: digichaos@freenet.de
Envelope-to: digichaos@freenet.de
X-Warning: Malware found (Worm.Sober.G).

This is a multi-part message in MIME format.

--=c0fab7.4be84e853f6b2d6c6b3

Hey alles klar? Hier sind die Tools die du haben wolltest!
Viel Spaß damit ;)

Cu!



+-+-+ X-Attachment_Scanner: NO VIRUS
+-+-+ FREENET- AntiVirus Service
+-+-+ http://www.freenet.de
--=c0fab7.4be84e853f6b2d6c6b3
Content-Type: application/octet-stream; name=Tools9967.zip
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Tools9967.zip"
Das komische daran ist nur, ich habe dort niemals eine Email, erst recht nicht eine mit solchem Inhalt, hingeschickt... Ich habe mal qmail fett hervor gehoben. Das benutze ich nicht, sondern Postfix (1&1-Rootie in Standardkonfiguration)

In meinen Logfiles finde ich folgendes:

Code: Select all

May 23 21:25:53 p12345678 postfix/smtpd[28573]: connect from mout1.freenet.de[194.97.50.132]
May 23 21:25:53 p12345678 postfix/smtpd[28571]: D6996C0010A: client=mout2.freenet.de[194.97.50.155]
May 23 21:25:53 p12345678 postfix/smtpd[28573]: setting up TLS connection from mout1.freenet.de[194.97.50.132]
May 23 21:25:53 p12345678 postfix/smtpd[28575]: connect from mout2.freenet.de[194.97.50.155]
May 23 21:25:53 p12345678 postfix/cleanup[28574]: D6996C0010A: message-id=<E1BRybZ-00068q-G6@mbox59.freenet.de>
May 23 21:25:53 p12345678 postfix/smtpd[28575]: setting up TLS connection from mout2.freenet.de[194.97.50.155]
May 23 21:25:53 p12345678 postfix/smtpd[28573]: TLS connection established from mout1.freenet.de[194.97.50.132]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
May 23 21:25:54 p12345678 postfix/qmgr[28292]: D6996C0010A: from=<>, size=71110, nrcpt=1 (queue active)
May 23 21:25:54 p12345678 postfix/smtpd[28573]: 01C13C02712: client=mout1.freenet.de[194.97.50.132]
May 23 21:25:54 p12345678 postfix/cleanup[28574]: 01C13C02712: message-id=<E1BRybZ-0005G3-GE@mbox65.freenet.de>
May 23 21:25:54 p12345678 postfix/smtpd[28575]: TLS connection established from mout2.freenet.de[194.97.50.155]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
May 23 21:25:54 p12345678 postfix/qmgr[28292]: 01C13C02712: from=<>, size=71100, nrcpt=1 (queue active)
May 23 21:25:54 p12345678 postfix/smtpd[28575]: 18A33C02713: client=mout2.freenet.de[194.97.50.155]
May 23 21:25:54 p12345678 spamd[764]: connection from localhost.localdomain [127.0.0.1] at port 34337
May 23 21:25:54 p12345678 postfix/cleanup[28577]: 18A33C02713: message-id=<E1BRybZ-00066z-LG@mbox61.freenet.de>
May 23 21:25:54 p12345678 postfix/qmgr[28292]: 18A33C02713: from=<>, size=71095, nrcpt=1 (queue active)
May 23 21:25:54 p12345678 spamd[28584]: processing message <E1BRybZ-00068q-G6@mbox59.freenet.de> for web2p1:104.
May 23 21:25:54 p12345678 spamd[764]: connection from localhost.localdomain [127.0.0.1] at port 34338
May 23 21:25:54 p12345678 spamd[28588]: processing message <E1BRybZ-0005G3-GE@mbox65.freenet.de> for web2p1:104.
May 23 21:25:54 p12345678 postfix/smtpd[28571]: disconnect from mout2.freenet.de[194.97.50.155]
May 23 21:25:55 p12345678 postfix/smtpd[28573]: disconnect from mout1.freenet.de[194.97.50.132]
May 23 21:25:57 p12345678 spamd[28584]: clean message (1.7/5.0) for web2p1:104 in 3.1 seconds, 70305 bytes.
May 23 21:25:57 p12345678 postfix/local[28578]: D6996C0010A: to=<web2p1@p12345678.pureserver.info>, orig_to=<arutha@geänderte-domain.de>, relay=local, delay=4, status=sent ("|/usr/bin/procmail")
May 23 21:25:57 p12345678 spamd[764]: connection from localhost.localdomain [127.0.0.1] at port 34341
May 23 21:25:57 p12345678 spamd[28593]: processing message <E1BRybZ-00066z-LG@mbox61.freenet.de> for web2p1:104.
May 23 21:25:57 p12345678 spamd[28588]: clean message (1.7/5.0) for web2p1:104 in 3.7 seconds, 70295 bytes.
May 23 21:25:57 p12345678 postfix/local[28580]: 01C13C02712: to=<web2p1@p12345678.pureserver.info>, orig_to=<arutha@geänderte-domain.de>, relay=local, delay=3, status=sent ("|/usr/bin/procmail")
May 23 21:25:59 p12345678 spamd[28593]: clean message (1.7/5.0) for web2p1:104 in 1.9 seconds, 70290 bytes.
May 23 21:25:59 p12345678 postfix/local[28578]: 18A33C02713: to=<web2p1@p12345678.pureserver.info>, orig_to=<arutha@geänderte-domain.de>, relay=local, delay=5, status=sent ("|/usr/bin/procmail")
May 23 21:26:22 p12345678 postfix/smtpd[28575]: disconnect from mout2.freenet.de[194.97.50.155]
Wieso verbindet sich freenet mit meinem Server? Kann mir vielleicht jemand sagen was es hiermit auf sich hat?

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by captaincrunch » 2004-05-23 22:21

Viren, Würmer und Konsorten sind schon lange dafür bekannt, den Absender zu faken. Leider gibt es immer noch mehr als genug Postmaster, die wider besseres Wissen (oder halt auch nicht) "Warnungen" verschicken, man hätte einen Virus verschickt.

Klopp's in die Tonne, und trag denjenigen auf deine "Merkbefreit-Liste" ein.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

Wolfsherz
Posts: 29
Joined: 2003-04-30 13:28

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by Wolfsherz » 2004-05-23 22:26

Ich verstehe halt nur nicht wieso sich in meinen Logs so oft der Freenet tummelt der sich mit meinem Server verbindet und dann offensichtlich irgenwelche Emails versendet für die ich dann die Antwort bekomme...

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by antondollmaier » 2004-05-24 00:07

also ..


ein virus verschickt sich ... nimmt als gefaketen absender ne addy bei deiner domain ... die email geht an ne addy bei freenet ...


diese addy hat aber leider gottes das postfach voll ("mailbox is full") ...

daher schickt der "gute" mailserver von freenet dem (vermeintlichen) absender ne mail, dass da leider nix zu machen ist ...

tja, jetzt bekommst du als nichtsahnender user die email, dass die mailbox von dem anderen typen voll is, obwohl du nie was mit der addy zu tun hattest ...

kam bei mir auch schon öfter ...


btw: is es sinnvoll, "Tools.zip" in die mime_checks aufzunehmen?? :-D

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by Outlaw » 2004-05-24 00:43

Ich denke, der Inhaber der vollen Mailbox is noch ärmer dran ....

Gruß Outi

Wolfsherz
Posts: 29
Joined: 2003-04-30 13:28

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by Wolfsherz » 2004-05-24 08:33

Vermutlich kann ich auch gar nichts dagegen tun, dass jemand meine Email-Adresse benutzt, richtig?
Kann ich hierdurch auf Blacklists landen?

antondollmaier
Posts: 485
Joined: 2004-03-30 10:06

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by antondollmaier » 2004-05-24 09:13

@outi:

nö, seine mailbox is ja schon voll.. :D

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Merkwürdige Emails und Einträge in /var/log/mail

Post by dodolin » 2004-05-24 09:38

Vermutlich kann ich auch gar nichts dagegen tun, dass jemand meine Email-Adresse benutzt, richtig?
Kann ich hierdurch auf Blacklists landen?
Ja. Nein.

Michael Haardt nutzt bei Freenet nen aktuellen Exim, der kann bei Over-Quota leider nicht standardmäßig rejecten und muss daher Bounces schicken. :(