Page 1 of 1
Woher kommt die Mail?
Posted: 2005-10-09 10:21
by maik
Ich habe mal ein Frage, wenn ich in var/log/mail einen Eintrag habe, woher erkennne ich dann "woher" die Mail kommt.
Also von einem Client wie Outlook, oder von einem WebScript auf dem Server ....
Re: Woher kommt die Mail?
Posted: 2005-10-09 12:19
by hornox
Re: Woher kommt die Mail?
Posted: 2005-10-09 13:13
by maik
Ich habe doch im var/log/mail keine kompletten mails sondern nur die info das eine mail an ... versendet wurde bzw. aus irgend einem grund nicht versendet wurde.
Mich interessiert jetzt ob die mail durch ein Script abgeschickt wurde, wenn ja welches oder durch einen Client
Re: Woher kommt die Mail?
Posted: 2005-10-09 13:31
by hornox
Häufig steht im E-Mail Header etwas wie
Code: Select all
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
Das kann man mit der entsprechenden Konfiguration des SMTP Servers mitprotokolieren, aber die X-Mailer Zeile ist(wie auf der oben verlinkten Seite erklärt wird) nicht standardisiert, nicht in jeder E-Mail enthalten und kann leicht gefälscht werden.
Re: Woher kommt die Mail?
Posted: 2005-10-09 13:41
by maik
Mhm also so ganz verstehe ich das nicht ...
Ich habe folgenden Eintrag in mail:
Oct 9 09:09:47 p13123604 postfix/smtp[1637]: 255893AE512: to=<
electro71@aol.com>, relay=mailin-03.mx.aol.com[205.188.157.217], delay=160684, status=deferred (host mailin-03.mx.aol.com[205.188.157.217] said: 421-: (RLY:CS4)
http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE)
Jetzt würde ich gerne wissen wer diese Mail abgeschickt hat. Ich gehe davon aus das irgendwo auf dem Server ein Script liegt welches dauernd diese Mail verschickt. Allerdings kann ich es nicht finden.
Oder die Mail kahm von außen, sprich von irgendeinem (Outlook, Netscape, ...) Client der wie bekloppt diese Mail verschickt, dann würde ich gerne wissen von welchem User. Der User/Client muss sich ja identifizieren sprich ohne Benutzername und Passwort nimmt der Server die Mail nicht an.
Re: Woher kommt die Mail?
Posted: 2005-10-09 14:08
by alexander newald
/var/log/mail nach der ID 255893AE512 durchsuchen
Re: Woher kommt die Mail?
Posted: 2005-10-09 14:27
by maik
Danke für den Tip, wie kann ich mit dem VI Editor suchen?
Re: Woher kommt die Mail?
Posted: 2005-10-09 14:29
by alexander newald
einfacher geht
cat /var/log/mail | grep 255893AE512
oder mit grep direkt
Re: Woher kommt die Mail?
Posted: 2005-10-09 14:39
by maik
Danke,
bringt mir aber leider keine neue Erkentniss:
Ich bekomme nur folgende Infos (und davon ganz schön viele):
Oct 9 12:04:38 p13123604 postfix/smtp[575]: 255893AE512: to=<
worthingnol@aol.com>, relay=mailin-02.mx.aol.com[205.188.157.25], delay=171175, status=deferred (host mailin-02.mx.aol.com[205.188.157.25] said: 421-: (RLY:CS4)
http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE)
....
Wie komme ich dem Problem auf den Grund? und vorallem wie beende ich diesen unnützen Mailversand. Ich habe zur Zeit postfix gestoppt aber das kann ja nicht Sinn der Sache sein. Auch ein Neustart bringt keine abhilfe
Re: Woher kommt die Mail?
Posted: 2005-10-09 14:53
by Joe User
Maik wrote:Oct 9 09:09:47 p13123604 postfix/smtp[1637]: 255893AE512: to=<
electro71@aol.com>, relay=mailin-03.mx.aol.com[205.188.157.217], delay=160684, status=deferred (host mailin-03.mx.aol.com[205.188.157.217] said: 421-: (RLY:CS4)
http://postmaster.info.aol.com/errors/421rlycs4.html 421 SERVICE NOT AVAILABLE)
Jetzt würde ich gerne wissen wer diese Mail abgeschickt hat.
Re: Woher kommt die Mail?
Posted: 2005-10-09 15:04
by maik
Das ist das gleiche in Grün auch nur lauter solche Zeilen ...
Re: Woher kommt die Mail?
Posted: 2005-10-09 15:18
by darkman
Also, irgendwie...
Man hat Dir gezeigt wie Du an die Infos kommst die Du suchst,
aber scheinbar sind Dir "lauter solche Zeilen" einfach zuviel
zum lesen. Was moechtest Du bitte fuer ein Rootserver Admin sein
wenn Du nicht mal wirklich einfaches "Basiswissen" wie 'LESEN' (von
Logs, aber immerhin) schaffst?! Geh bitte mal tief in Dich und
ueberlege ob der Server ueberhaupt das richtige fuer Dich ist.
Beachte dabei folgendes: 1. scheint er schon missbraucht zu werden
2. hast Du scheinbar weder Lust noch Wissen ihn zu administrieren
(auf buten Weboberflaechen rumklicken zaehlt nicht).
Und jetzt sei bitte mal ehrlich zu Dir selbst und evtl. auch zum
Rest der lesenden und helfenden Gemeinde und sag ob ein Server
das richtige fuer Dich ist bzw. ob er Dich nicht evtl. ueberfordert.
Gruesse,
Darkman
Re: Woher kommt die Mail?
Posted: 2005-10-09 15:29
by maik
Danke Darkman für deinen Hinweis,
nebenbei bemerkt hilft mir das in meiner aktuellen Situation nicht weiter. Aber das ist dir sicherlich bewußt.
Ich habe nie behauptet das ich ein Root-Server-Admin bin.
Ich habe den Root-Server von meinem Vorgänger sozusagen geerbt bekommen. Ich bin bereits dabei auf einen Managed Server umzustellen, auch das ist mir klar. Aber jetzt muss die Kiste eben noch einige Tage halten bis alles umgestellt ist.
Zum Lesen der Links. Selbstverständlich lese ich die Hinweise und Artikel die mir hier empfohlen werden. Aber es läuft alles auf das eine raus: Ich finde in dem Log nicht die Info die ich brauche.
Ich weiß nicht ob
A) Ein Script auf dem Server ist, welches diesen Müll verschickt
oder
B) Ein Mailclient mit einem Virus infiziert ist und wahllos mails verschickt.
Daher würde ich gerne irgendwie herausbekommen welche der Varianten zutrifft. Ich vermute eher die Variante B, da ich einige Nutzer kenne die sicherlich keine Vorkehrungen gegen Viren getroffen haben. Dazu zwingen kann man leider keinen. Wenn es sich wirklich um Variante B handelt müsste ich nur irgendwie den User rausbekommen, der diese über den Server verschickt, damit ich demjenigen auf die Finger klopfen kann.
Es bleibt derzeit leider wie es ist, ich finde in var/log/mail keinen Hinweis welche Variante zutrifft, egal nach welchem Eintrag ich suche.
Re: Woher kommt die Mail?
Posted: 2005-10-09 15:41
by aquajo
Maik wrote:Es bleibt derzeit leider wie es ist, ich finde in var/log/mail keinen Hinweis welche Variante zutrifft, egal nach welchem Eintrag ich suche.
Auch wenn es doof klingt, dann musst du genauer suchen. Den irgendwo wird sich eine Zeile finden wo die Mail ins System gekommen ist.
Re: Woher kommt die Mail?
Posted: 2005-10-09 15:42
by maik
Danke, da habe ich noch nicht dran gedacht ich sehe mir mal die Protokolle der letzten Tage an.
Re: Woher kommt die Mail?
Posted: 2005-10-09 17:21
by alexander newald
Maik wrote:Danke,
bringt mir aber leider keine neue Erkentniss:
Ich bekomme nur folgende Infos (und davon ganz schön viele):
und die erste Zeile davon enthält den Absender
Code: Select all
cat /var/log/mail | grep 255893AE512 | less
Re: Woher kommt die Mail?
Posted: 2005-10-09 19:04
by captaincrunch
OT: Wie war das mit dem "useless use of cat"?
OT: useless use of cat (zitat CC)
Posted: 2005-10-09 19:47
by cat
was wie wo?
*grummel*
Re: Woher kommt die Mail?
Posted: 2005-10-09 21:25
by maik
Besten Dank,
endlich habe ich es gefunden. Der Absender ist:
Oct 9 09:06:55 p13123604 postfix/qmgr[476]: 255893AE512: from=<web10@p13123604.
pureserver.info>, size=24420, nrcpt=401 (queue active)
Dann kann ich davon ausgehen, dass der Rechner des Nutzers (web10) die Mails schickt, da Benutzername und Passwort für den Mailversand notwendig sind. Sprich das dort ein Virus oder ähnliches tätig ist. Oder eben das irgendjemand den Benutzernamen und das Passwort kennt und die Mails verschickt.
Oder gibt es noch andere Möglichkeiten?
Wird irgendwo die IP Adresse des Absenders Protokolliert?
Kann ich das serverseitig irgendwie blocken?
Re: Woher kommt die Mail?
Posted: 2005-10-09 21:54
by darkman
Maik wrote:Oct 9 09:06:55 p13123604 postfix/qmgr[476]: 255893AE512: from=<web10@p13123604.
pureserver.info>, size=24420, nrcpt=401 (queue active)
Dann kann ich davon ausgehen, dass der Rechner des Nutzers (web10) die Mails schickt, da Benutzername und Passwort für den Mailversand notwendig sind. Sprich das dort ein Virus oder ähnliches tätig ist. Oder eben das irgendjemand den Benutzernamen und das Passwort kennt und die Mails verschickt.
Falsch. So wie das aussieht kommt die Mail vom Server selbst, vermutlich
durch ein offenes Mailscript ala Matt's Super Scheiss FormMailer.pl.
User die ein Mailprogramm verwenden, verwenden i.d.R. einen richtigen
Absender und nicht webxy. Wenn Du mal ueberhalb und unterhalb der
von Dir gefundenen Zeile guckst, wirst Du mehr Informationen finden.
z.B. sowas: postfix/pickup[XXX]: 255893AE512: uid=yyy from=<web10@p...>
alternativ, sollte es doch vom remote User kommen, wirst Du eine
Login-Zeile finden, mindestens.
Maik wrote:Oder gibt es noch andere Möglichkeiten?
Wird irgendwo die IP Adresse des Absenders Protokolliert?
Siehe oben.
Maik wrote:Kann ich das serverseitig irgendwie blocken?
Klar, man kann alles. Aber erstmal solltest Du das Problem finden,
und das hast Du bisher nicht.
So long,
Darkman
PS: wer das naechste mal meine cat'ze missbraucht, bekommt Aerger
mit Bruder tac ;)
Re: Woher kommt die Mail?
Posted: 2005-10-09 23:03
by maik
Mhm,
ich kann folgendes noch anbieten:
Oct 9 09:39:17 p13123604 postfix/pickup[2165]: E7E543B0199: uid=650 from=<web10>
Zumindest stammt es vom Nutzer web10. Gibts eine Möglichkeit direkt das Script zu identifizieren?
Re: Woher kommt die Mail?
Posted: 2005-10-09 23:18
by prickelpit
Maik wrote:Oct 9 09:39:17 p13123604 postfix/pickup[2165]: E7E543B0199: uid=650 from=<web10>
Zumindest stammt es vom Nutzer web10. Gibts eine Möglichkeit direkt das Script zu identifizieren?
Du könntest mal nachschauen, welche Seiten vor dem Senden der mail abgerufen wurden:
Code: Select all
grep '2005:hh:mm' /var/log/apache/access.log | grep -E -vi "(gif|png|jpg|jpeg|css)"
hh:mm halt durch die Uhrzeit ersetzen, in der die Mail beim MTA eingegangen ist.
Re: Woher kommt die Mail?
Posted: 2005-10-10 09:07
by maik
Danke,
hat geklappt, das Script habe ich gefunden und gelöscht und gleich muss ich mit dem User mal ein Wörtchen sprechen
65.208.70.178 - - [09/Oct/2005:17:23:57 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
67.94.174.218 - - [09/Oct/2005:17:23:58 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
65.208.70.178 - - [09/Oct/2005:17:23:58 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
65.208.70.178 - - [09/Oct/2005:17:24:01 +0200] "POST /cgi-bin/mail.cgi HTTP/1.1" 404 296
Eine letzte Frage vielleicht noch.
Ich habe die IP-Adressen, aber vermutlich hilft mir das nicht viel weiter oder? An wen kann/muss ich mich wenden?
Re: Woher kommt die Mail?
Posted: 2005-10-10 09:47
by flo
Wenn Dir wirklich langweilig ist, schreib eine Mail an den abuse des betreffenden Netzes. Meistens bekommmst Du den per whois raus. Aber bringt nicht wirklich was, wenn das z.B. Einwahlnetze sind.
flo.