Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
serdemwigi
Posts: 6
Joined: 2005-06-08 22:30

Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by serdemwigi » 2005-11-17 11:09

Hallo Leute,

ich habe einen Rootserver bei 1und1 und seit drei Tagen bekomme ich 1000 Mails, dass manche Mails nicht an Zieladresse erreicht haben. Ich nehme an irgendwie schaffen manche Leuten von meinem Server millionen Mail zu schicken und fuer die Mails, die keine gueltige Zieladresse haben, bekomme ich einen Antwort zurueck:

Undeliverable: The Ultimate Online Pharmaceutical
Delivery Status Notification (Failure)
.
.
.


Da brauche ich aufjeden Fall eine Unterstuetzung. Habe ich einen Luecke oder mache ich etwas falsch?

mfg,

serdemwigi
======================================================

Return-Path: <>
Delivered-To: 10-serdar@gokkus.com
Received: (qmail 9828 invoked by uid 110); 17 Nov 2005 10:03:56 -0000
Delivered-To: 10-packrats@gokkus.com
Received: (qmail 9826 invoked from network); 17 Nov 2005 10:03:56 -0000
Received: from mxus.framatome-anp.com (65.213.215.156)
by gokkus.net with (EDH-RSA-DES-CBC3-SHA encrypted) SMTP; 17 Nov 2005 10:03:56 -0000
Received: from fanpgate.framatech.com (fanpgate.framatech.com [160.84.100.116])
by mxus.framatome-anp.com (8.12.8/8.12.8) with ESMTP id jAHAg06F016001
for <packrats@gokkus.com>; Thu, 17 Nov 2005 05:42:00 -0500
Received: from fanpguest.framatech.com (FANPGUEST [160.84.100.62]) by fanpgate.framatech.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2656.59)
id THWLPCBY; Thu, 17 Nov 2005 05:01:57 -0500
Received: by FANPGUEST with Internet Mail Service (5.5.2653.19)
id <XAQ4BV6B>; Thu, 17 Nov 2005 05:03:43 -0500
Message-ID: <1D1D006DE519D6119BFE00065B3BBA7214ECABC2@FANPGATE>
From: System Administrator <postmaster@framatome-anp.com>
To: packrats@gokkus.com
Subject: Undeliverable: The Ultimate Online Pharmaceutical
Date: Thu, 17 Nov 2005 05:03:43 -0500
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.2653.19)
X-MS-Embedded-Report:
Content-Type: multipart/mixed;
boundary="----_=_NextPart_000_01C5EB5E.30F77D8A"
X-Spam-Checker-Version: SpamAssassin 2.64 (2004-01-11) on
p15178265.pureserver.info
X-Spam-Level:
X-Spam-Status: No, hits=0.0 required=7.0 tests=none autolearn=ham version=2.64


This message is in MIME format. Since your mail reader does not understand
this format, some or all of this message may not be legible.

------_=_NextPart_000_01C5EB5E.30F77D8A
Content-Type: text/plain;
charset="iso-8859-1"

Your message

To: Xvdominique
Subject: The Ultimate Online Pharmaceutical
Sent: Thu, 17 Nov 2005 19:05:49 -0500

did not reach the following recipient(s):

XVDOMINIQUE.POULAIN@FRAMAIL.FRAMATOME-ANP.COM on Thu, 17 Nov 2005 05:01:53
-0500
The recipient name is not recognized
The MTS-ID of the original message is: c=us;a=
;p=fragroup;l=FANPGATE0511171001THWLPCBR
MSEXCH:IMS:FRAGROUP:FANPA:FANPGATE 0 (000C05A6) Unknown Recipient



------_=_NextPart_000_01C5EB5E.30F77D8A
Content-Type: message/rfc822

Message-ID: <6831519751.20051117180549@gokkus.com>
From: Doctor <packrats@gokkus.com>
To: Xvdominique <xvdominique.poulain@framatome-anp.com>
Subject: The Ultimate Online Pharmaceutical
Date: Thu, 17 Nov 2005 19:05:49 -0500
MIME-Version: 1.0
X-Mailer: Internet Mail Service (5.5.2653.19)
X-MS-Embedded-Report:
X-Mailer: The Bat! (v2.00.3) Personal
X-Virus-Scanned: The Bat! (v2.00.3) Personal
Content-Type: text/plain;
charset="iso-8859-1"

Vlagura - $3.3
Lecvitra - $3.3
Cialics - $3.7
Imritrex - $16.4
Flwomax - $2.2
Ulhtram - $0.78
Vijoxx - $4.75
Amlbien - $2.2
Vavlium - $0.97
Xarnax - $1.09
Scoma - $3
Mteridia - $2.2



<http://ritteever.com/?YLRYEXSURXW1hYXFp ... lEYUFxDGlZ
eXw==> visit our website


Best regards,
Online Pharmaceuticals

fgfgkkflrpa SURXW1hYXFpFQFQcQ1tAXVNaWnVXQFJZVEVdXlEYUFxDGlZeXw==

------_=_NextPart_000_01C5EB5E.30F77D8A--
Last edited by serdemwigi on 2005-11-17 17:23, edited 1 time in total.

dodolin
RSAC
Posts: 4009
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by dodolin » 2005-11-17 12:45

Ich nehme an irgendwie schaffen manche Leuten von meinem Server millionen Mail zu schicken
Eher unwahrscheinlich.
Habe ich einen Luecke oder mache ich etwas falsch?
Nein, ja. Du hast vermutlich einen Catchall, richtig? Abschalten würde das Problem sicher schonmal erheblich lindern.

serdemwigi
Posts: 6
Joined: 2005-06-08 22:30

Catchall

Post by serdemwigi » 2005-11-17 15:21

Hallo,

Du hast Recht. Ich habe einen Catchall. Wenn ich diesen Catchall ausschalte dann werde das Problem nicht beheben sondern fuer mich unsichtbar machen.

Ich denke mit irgend einem Program hat jemand Mails gesendet und als Sender mein Mailadresse geschrieben. Danach bekomme ich natuerlich viele Rueckmeldungen.

Ich habe unter meinem Domain auch manche php scripte wie Forum, Gaestebuch, Branchenbuch... Koennen vielleich diese Scripte eine Luecke haben?


Hier eine Hilfe fuer Catchall:
http://www.sw-soft.com/doc/tutorials/Pl ... temail.htm

david
Posts: 17
Joined: 2002-10-25 19:46

Re: Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by david » 2005-11-17 15:34

Das Problem hatte ich auch schon einmal.

Untersuche mal Deine Logs, ob irgendein Script häufig aufgerufen wird. Das wäre ein Indiz dafürm dass dieses Script nicht wirklich sicher ist.

Noch eine Frage: Hast Du die SMTP-Authentifizierung auf Deinem Server angeschaltet. Wenn nicht, dann würde ich das schleunigst nachholen.

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by timeless2 » 2005-11-17 16:52

Es braucht nur jemand mit einem Absender deiner Domain eine E-Mail verschicken, dann bekommst du die Bounces. Hast du kein Catch-All, bekommst du diese nur für bestehende E-Mailadressen, sonst halt für alle.

Ob ein Skript Löcher hat, siehst du auch an den Maillogs, da müssten auch entsprechend viele Einträge vorhanden sein.

timmithe2
Posts: 83
Joined: 2003-07-05 16:31

Re: Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by timmithe2 » 2005-11-17 17:06

Hallo,

das Problem habe ich auch grade. Bei mir war es ein PHP-Script
wo der SPAMER einfach den Header um ein BCC: erweitert hat.

Ist schon scheiße wenn nach Jahren dann mal die eigenen
Fehler in eimem Script findet*g*

serdemwigi
Posts: 6
Joined: 2005-06-08 22:30

Log Daten

Post by serdemwigi » 2005-11-17 22:12

Hi zusammen,

ich habe die Logdateien untersucht (var/log):

mail.info:
==========

Nov 17 20:18:31 p15178265 qmail: 1132258711.000020 new msg 4225666
Nov 17 20:18:31 p15178265 qmail: 1132258711.000074 info msg 4225666: bytes 3209 from <> qp 17884 uid 2020
Nov 17 20:18:31 p15178265 qmail: 1132258711.008120 starting delivery 805: msg 4225666 to local 10-feeley@gokkus.com
Nov 17 20:18:31 p15178265 qmail: 1132258711.008172 status: local 1/10 remote 0/20
Nov 17 20:18:31 p15178265 qmail: 1132258711.013407 delivery 805: failure: This_address_no_longer_accepts_mail./
Nov 17 20:18:31 p15178265 qmail: 1132258711.013914 status: local 0/10 remote 0/20
Nov 17 20:18:31 p15178265 qmail: 1132258711.023183 bounce msg 4225666 qp 17887
Nov 17 20:18:31 p15178265 qmail: 1132258711.023238 end msg 4225666
Nov 17 20:18:31 p15178265 qmail: 1132258711.024586 new msg 4225667
Nov 17 20:18:31 p15178265 qmail: 1132258711.024967 info msg 4225667: bytes 3688 from <#@[]> qp 17887 uid 2522
Nov 17 20:18:31 p15178265 qmail: 1132258711.033411 starting delivery 806: msg 4225667 to remote postmaster@p15178265.pureserver.info
Nov 17 20:18:31 p15178265 qmail: 1132258711.033630 status: local 0/10 remote 1/20
Nov 17 20:18:31 p15178265 qmail: 1132258711.037894 delivery 806: failure: Sorry._Although_I'm_listed_as_a_best-preference_MX_or_A_for_that_host,/it_isn't_in_my_control/locals_file,_so_I_don't_treat_it_as_local._(#5.4.6)/
Nov 17 20:18:31 p15178265 qmail: 1132258711.037947 status: local 0/10 remote 0/20
Nov 17 20:18:31 p15178265 qmail: 1132258711.037962 triple bounce: discarding bounce/4225667
Nov 17 20:18:31 p15178265 qmail: 1132258711.037975 end msg 4225667


Was versteht man davon???

mfg

timeless2
Posts: 416
Joined: 2005-03-04 14:45
Location: Paris

Re: Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by timeless2 » 2005-11-18 01:13

Mit der Limitierung der Mails gab es hier schon mal eine Diskussion:
http://www.rootforum.org/forum/viewtopic.php?t=37593

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: Hilfe!!! Mails ohne kontrolle gesendet. Jemand misbraucht mein Server.

Post by lord_pinhead » 2005-11-20 15:37

qmail ist nicht gerade gut zu nutzen, vielleicht wurde auch der Dienst selbst ausgenutzt. Aber bist du sicher das die Mails von deinen Server aus gelaufen sind? Schau mal in den Bounces nach deiner Server IP, normalerweise sollte die noch mit drin sein im Header.

Code: Select all

Received: from fanpguest.framatech.com (FANPGUEST [160.84.100.62]) by fanpgate.framatech.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2656.59) 
Sofern die IP nicht rausgenommen wurde, missbraucht hier nur jemand deinen Domainnamen. Greppe mal ein paar Mailadresse aus den Bounces und such sie in den Logfiles, ich denke die müssten auch bei qmail geloggt werden wohin mails gehen (mail.log) Auch ein mailq könnte dir zeigen ob da übermässig viel Spam drüber läuft, wenn nix drin ist sollte auch nix rausgegangen sein, auch ein Anzeichen wäre ja jetzt ein ausschlag am Traffic.