Täglich exakt eine Mail mit Virus an mich selbst...

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
pulsum
Posts: 18
Joined: 2004-12-23 22:00

Täglich exakt eine Mail mit Virus an mich selbst...

Post by pulsum » 2005-06-23 16:41

Hallo,

ich bekomme fast täglich eine Mail an meine eigene Mailadresse, an der ein Virus hängt (.pif Datei im Anhang).
Komischerweise wird sie von einer Domain verschickt, die ich nicht aufrufen kann und mit der ich auch nichts zu tun habe.
Anhand der IP-Adresse in der received-Zeile, kann ich auch definitiv ausschliessen, dass es nicht mein eigener Server ist, von dem die Mail geschickt wurde - obwohl im Klartext meine Domain genannt wird.
Wieso nutzt (bzw. kann jemand) meine Domain nutzen um mir dann einen Virus zu schicken?
Ich habe mir auch die mail.* log-Dateien angesehen und nichts Verdächtiges feststellen können. Also einen Missbrauch meines Servers kann ich da so gut wie ausschliessen.
Auf Nachfrage beim Provider - dort wo mein Server steht, wurde mir gesagt, dass es vermutlich mein eigener Server wäre. Der IP nach ist er es aber nicht.
Ich habe die Mail bzw. den Header mal hier angehangen, evtl. kann mir jemand einen Tip geben:

Return-Path: <.2264@eoaisrv1.server.eoa.de.fresh-server.de>
X-Envelope-To: <xxx@yyy.de>
Received: from pulsum.de (p50900E3F.dip0.t-ipconnect.de [80.144.14.63])
by myserver.de (8.12.10/8.11.6) with ESMTP id j5NE6EpJ014207
for <xxx@yyy.de>; Thu, 23 Jun 2005 16:06:14 +0200
Message-Id: <200506231406.j5NE6EpJ014207@myserver.de>
From: .2264@eoaisrv1.server.eoa.de.fresh-server.de
To: xxx@yyy.de
Subject: Mail Delivery (failure)
Date: Thu, 23 Jun 2005 16:12:09 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
X-UIDL: VF7"!f"D"!W#N"!0W(!!
Status: RO

This is a multi-part message in MIME format.
Last edited by pulsum on 2005-06-23 20:19, edited 2 times in total.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Täglich exakt eine Mail mit Virus an mich selbst...

Post by dodolin » 2005-06-23 17:05

Was ist daran jetzt ungewoehnlich? Der Wurm setzt den HELO entsprechend zur Empfaengerdomain. Ein typisches Verhalten, da der Wurm sich von einem befallenen Dialup-Rechner aus verbreitet und daher nur begrenzte Moeglichkeiten hat, einen hierzu passenden HELO auszuwaehlen.

Bitte google mal nach "Headerfaq" und eigne dir die Grundlagen an.

pulsum
Posts: 18
Joined: 2004-12-23 22:00

Re: Täglich exakt eine Mail mit Virus an mich selbst...

Post by pulsum » 2005-06-23 17:31

dodolin wrote:Was ist daran jetzt ungewoehnlich? Der Wurm setzt den HELO entsprechend zur Empfaengerdomain. Ein typisches Verhalten, da der Wurm sich von einem befallenen Dialup-Rechner aus verbreitet und daher nur begrenzte Moeglichkeiten hat, einen hierzu passenden HELO auszuwaehlen.

Bitte google mal nach "Headerfaq" und eigne dir die Grundlagen an.
Danke! Habs mir mal angesehen :-D
Bringt es was der Absender-IP nachzugehen um zu verhindern, dass ich diese Mails bekomme, oder einfach per spamassessin vernichten lassen?

Sven

stefanpropehan
Posts: 335
Joined: 2002-12-17 22:25
Location: Berlin

Re: Täglich exakt eine Mail mit Virus an mich selbst...

Post by stefanpropehan » 2005-06-23 17:41

Wenn du allen Rechnern die an das Internet angeschlossen sind und einen Wurm oder Virus ihr eigen nenen nachengehen willst, wirst du sehr gut zu tun haben ;-) Da es sich bei deiner IP auch noch um eine Dial-Up Adressse handelt wirst du spätestens alle 24 Stunden gut zu haben ;-)

Einfach einen ordentlichen SA und (oder) Virus/Content Scanner installieren und konfigurieren. Alternativ kann man diverse MTA auch so konfigurieren das Viren Emails mit bestimmten Anhängen schon im DATA Dialog abgelehnt werden.

Stefan

pulsum
Posts: 18
Joined: 2004-12-23 22:00

Re: Täglich exakt eine Mail mit Virus an mich selbst...

Post by pulsum » 2005-06-23 20:18

Danke Euch erstmal.
Ich schau mir jetzt mal meine Spamassassin config an. Da lässt sich bestimmt nochwas machen ;-)

Gruß, Sven