Woher kommt die Mail?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
maik
Posts: 82
Joined: 2003-04-14 19:31

Woher kommt die Mail?

Post by maik » 2005-10-09 10:21

Ich habe mal ein Frage, wenn ich in var/log/mail einen Eintrag habe, woher erkennne ich dann "woher" die Mail kommt.

Also von einem Client wie Outlook, oder von einem WebScript auf dem Server ....

hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: Woher kommt die Mail?

Post by hornox » 2005-10-09 12:19


maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 13:13

Ich habe doch im var/log/mail keine kompletten mails sondern nur die info das eine mail an ... versendet wurde bzw. aus irgend einem grund nicht versendet wurde.

Mich interessiert jetzt ob die mail durch ein Script abgeschickt wurde, wenn ja welches oder durch einen Client

hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: Woher kommt die Mail?

Post by hornox » 2005-10-09 13:31

Häufig steht im E-Mail Header etwas wie

Code: Select all

X-Mailer: Microsoft Office Outlook, Build 11.0.6353
Das kann man mit der entsprechenden Konfiguration des SMTP Servers mitprotokolieren, aber die X-Mailer Zeile ist(wie auf der oben verlinkten Seite erklärt wird) nicht standardisiert, nicht in jeder E-Mail enthalten und kann leicht gefälscht werden.

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 13:41

Mhm also so ganz verstehe ich das nicht ...

Ich habe folgenden Eintrag in mail:

Oct 9 09:09:47 p13123604 postfix/smtp[1637]: 255893AE512: to=<electro71@aol.com>, relay=mailin-03.mx.aol.com[205.188.157.217], delay=160684, status=deferred (host mailin-03.mx.aol.com[205.188.157.217] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE)

Jetzt würde ich gerne wissen wer diese Mail abgeschickt hat. Ich gehe davon aus das irgendwo auf dem Server ein Script liegt welches dauernd diese Mail verschickt. Allerdings kann ich es nicht finden.
Oder die Mail kahm von außen, sprich von irgendeinem (Outlook, Netscape, ...) Client der wie bekloppt diese Mail verschickt, dann würde ich gerne wissen von welchem User. Der User/Client muss sich ja identifizieren sprich ohne Benutzername und Passwort nimmt der Server die Mail nicht an.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Woher kommt die Mail?

Post by alexander newald » 2005-10-09 14:08

/var/log/mail nach der ID 255893AE512 durchsuchen

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 14:27

Danke für den Tip, wie kann ich mit dem VI Editor suchen?

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Woher kommt die Mail?

Post by alexander newald » 2005-10-09 14:29

einfacher geht

cat /var/log/mail | grep 255893AE512

oder mit grep direkt

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 14:39

Danke,

bringt mir aber leider keine neue Erkentniss:
Ich bekomme nur folgende Infos (und davon ganz schön viele):

Oct 9 12:04:38 p13123604 postfix/smtp[575]: 255893AE512: to=<worthingnol@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=171175, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE)

....

Wie komme ich dem Problem auf den Grund? und vorallem wie beende ich diesen unnützen Mailversand. Ich habe zur Zeit postfix gestoppt aber das kann ja nicht Sinn der Sache sein. Auch ein Neustart bringt keine abhilfe

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Woher kommt die Mail?

Post by Joe User » 2005-10-09 14:53

Maik wrote:Oct 9 09:09:47 p13123604 postfix/smtp[1637]: 255893AE512: to=<electro71@aol.com>, relay=mailin-03.mx.aol.com[205.188.157.217], delay=160684, status=deferred (host mailin-03.mx.aol.com[205.188.157.217] said: 421-: (RLY:CS4) http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE)

Jetzt würde ich gerne wissen wer diese Mail abgeschickt hat.

Code: Select all

grep 1637 /var/log/mail.log
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 15:04

Das ist das gleiche in Grün auch nur lauter solche Zeilen ...

darkman
RSAC
Posts: 111
Joined: 2004-03-24 14:09

Re: Woher kommt die Mail?

Post by darkman » 2005-10-09 15:18

Also, irgendwie...

Man hat Dir gezeigt wie Du an die Infos kommst die Du suchst,
aber scheinbar sind Dir "lauter solche Zeilen" einfach zuviel
zum lesen. Was moechtest Du bitte fuer ein Rootserver Admin sein
wenn Du nicht mal wirklich einfaches "Basiswissen" wie 'LESEN' (von
Logs, aber immerhin) schaffst?! Geh bitte mal tief in Dich und
ueberlege ob der Server ueberhaupt das richtige fuer Dich ist.
Beachte dabei folgendes: 1. scheint er schon missbraucht zu werden
2. hast Du scheinbar weder Lust noch Wissen ihn zu administrieren
(auf buten Weboberflaechen rumklicken zaehlt nicht).
Und jetzt sei bitte mal ehrlich zu Dir selbst und evtl. auch zum
Rest der lesenden und helfenden Gemeinde und sag ob ein Server
das richtige fuer Dich ist bzw. ob er Dich nicht evtl. ueberfordert.

Gruesse,
Darkman

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 15:29

Danke Darkman für deinen Hinweis,

nebenbei bemerkt hilft mir das in meiner aktuellen Situation nicht weiter. Aber das ist dir sicherlich bewußt.

Ich habe nie behauptet das ich ein Root-Server-Admin bin.
Ich habe den Root-Server von meinem Vorgänger sozusagen geerbt bekommen. Ich bin bereits dabei auf einen Managed Server umzustellen, auch das ist mir klar. Aber jetzt muss die Kiste eben noch einige Tage halten bis alles umgestellt ist.

Zum Lesen der Links. Selbstverständlich lese ich die Hinweise und Artikel die mir hier empfohlen werden. Aber es läuft alles auf das eine raus: Ich finde in dem Log nicht die Info die ich brauche.

Ich weiß nicht ob
A) Ein Script auf dem Server ist, welches diesen Müll verschickt
oder
B) Ein Mailclient mit einem Virus infiziert ist und wahllos mails verschickt.

Daher würde ich gerne irgendwie herausbekommen welche der Varianten zutrifft. Ich vermute eher die Variante B, da ich einige Nutzer kenne die sicherlich keine Vorkehrungen gegen Viren getroffen haben. Dazu zwingen kann man leider keinen. Wenn es sich wirklich um Variante B handelt müsste ich nur irgendwie den User rausbekommen, der diese über den Server verschickt, damit ich demjenigen auf die Finger klopfen kann.

Es bleibt derzeit leider wie es ist, ich finde in var/log/mail keinen Hinweis welche Variante zutrifft, egal nach welchem Eintrag ich suche.

aquajo
RSAC
Posts: 167
Joined: 2003-02-25 21:07

Re: Woher kommt die Mail?

Post by aquajo » 2005-10-09 15:41

Maik wrote:Es bleibt derzeit leider wie es ist, ich finde in var/log/mail keinen Hinweis welche Variante zutrifft, egal nach welchem Eintrag ich suche.
Auch wenn es doof klingt, dann musst du genauer suchen. Den irgendwo wird sich eine Zeile finden wo die Mail ins System gekommen ist.

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 15:42

Danke, da habe ich noch nicht dran gedacht ich sehe mir mal die Protokolle der letzten Tage an.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Woher kommt die Mail?

Post by alexander newald » 2005-10-09 17:21

Maik wrote:Danke,

bringt mir aber leider keine neue Erkentniss:
Ich bekomme nur folgende Infos (und davon ganz schön viele):
und die erste Zeile davon enthält den Absender

Code: Select all

cat /var/log/mail | grep 255893AE512 | less

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Woher kommt die Mail?

Post by captaincrunch » 2005-10-09 19:04

OT: Wie war das mit dem "useless use of cat"?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

cat
RSAC
Posts: 125
Joined: 2002-09-14 20:57
Location: unterwegs-im.net ;)

OT: useless use of cat (zitat CC)

Post by cat » 2005-10-09 19:47

was wie wo?

*grummel*

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 21:25

Besten Dank,

endlich habe ich es gefunden. Der Absender ist:

Oct 9 09:06:55 p13123604 postfix/qmgr[476]: 255893AE512: from=<web10@p13123604.
pureserver.info>, size=24420, nrcpt=401 (queue active)

Dann kann ich davon ausgehen, dass der Rechner des Nutzers (web10) die Mails schickt, da Benutzername und Passwort für den Mailversand notwendig sind. Sprich das dort ein Virus oder ähnliches tätig ist. Oder eben das irgendjemand den Benutzernamen und das Passwort kennt und die Mails verschickt.

Oder gibt es noch andere Möglichkeiten?

Wird irgendwo die IP Adresse des Absenders Protokolliert?

Kann ich das serverseitig irgendwie blocken?

darkman
RSAC
Posts: 111
Joined: 2004-03-24 14:09

Re: Woher kommt die Mail?

Post by darkman » 2005-10-09 21:54

Maik wrote:Oct 9 09:06:55 p13123604 postfix/qmgr[476]: 255893AE512: from=<web10@p13123604.
pureserver.info>, size=24420, nrcpt=401 (queue active)

Dann kann ich davon ausgehen, dass der Rechner des Nutzers (web10) die Mails schickt, da Benutzername und Passwort für den Mailversand notwendig sind. Sprich das dort ein Virus oder ähnliches tätig ist. Oder eben das irgendjemand den Benutzernamen und das Passwort kennt und die Mails verschickt.
Falsch. So wie das aussieht kommt die Mail vom Server selbst, vermutlich
durch ein offenes Mailscript ala Matt's Super Scheiss FormMailer.pl.
User die ein Mailprogramm verwenden, verwenden i.d.R. einen richtigen
Absender und nicht webxy. Wenn Du mal ueberhalb und unterhalb der
von Dir gefundenen Zeile guckst, wirst Du mehr Informationen finden.
z.B. sowas: postfix/pickup[XXX]: 255893AE512: uid=yyy from=<web10@p...>
alternativ, sollte es doch vom remote User kommen, wirst Du eine
Login-Zeile finden, mindestens.
Maik wrote:Oder gibt es noch andere Möglichkeiten?

Wird irgendwo die IP Adresse des Absenders Protokolliert?
Siehe oben.

Maik wrote:Kann ich das serverseitig irgendwie blocken?
Klar, man kann alles. Aber erstmal solltest Du das Problem finden,
und das hast Du bisher nicht.

So long,
Darkman

PS: wer das naechste mal meine cat'ze missbraucht, bekommt Aerger
mit Bruder tac ;)

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-09 23:03

Mhm,

ich kann folgendes noch anbieten:

Oct 9 09:39:17 p13123604 postfix/pickup[2165]: E7E543B0199: uid=650 from=<web10>

Zumindest stammt es vom Nutzer web10. Gibts eine Möglichkeit direkt das Script zu identifizieren?

prickelpit
Posts: 36
Joined: 2003-10-21 13:59

Re: Woher kommt die Mail?

Post by prickelpit » 2005-10-09 23:18

Maik wrote:Oct 9 09:39:17 p13123604 postfix/pickup[2165]: E7E543B0199: uid=650 from=<web10>

Zumindest stammt es vom Nutzer web10. Gibts eine Möglichkeit direkt das Script zu identifizieren?
Du könntest mal nachschauen, welche Seiten vor dem Senden der mail abgerufen wurden:

Code: Select all

grep '2005:hh:mm' /var/log/apache/access.log | grep -E -vi "(gif|png|jpg|jpeg|css)"
hh:mm halt durch die Uhrzeit ersetzen, in der die Mail beim MTA eingegangen ist.

maik
Posts: 82
Joined: 2003-04-14 19:31

Re: Woher kommt die Mail?

Post by maik » 2005-10-10 09:07

Danke,

hat geklappt, das Script habe ich gefunden und gelöscht und gleich muss ich mit dem User mal ein Wörtchen sprechen

65.208.70.178 - - [09/Oct/2005:17:23:57 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
67.94.174.218 - - [09/Oct/2005:17:23:58 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
65.208.70.178 - - [09/Oct/2005:17:23:58 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
65.208.70.178 - - [09/Oct/2005:17:24:01 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296

Eine letzte Frage vielleicht noch.

Ich habe die IP-Adressen, aber vermutlich hilft mir das nicht viel weiter oder? An wen kann/muss ich mich wenden?

flo
RSAC
Posts: 2297
Joined: 2002-07-28 13:02
Location: Berlin

Re: Woher kommt die Mail?

Post by flo » 2005-10-10 09:47

Wenn Dir wirklich langweilig ist, schreib eine Mail an den abuse des betreffenden Netzes. Meistens bekommmst Du den per whois raus. Aber bringt nicht wirklich was, wenn das z.B. Einwahlnetze sind.

flo.