QMail, merkwürdige E-Mails

[schnarchnase]

Hallo zusammen,

bin neu hier. Ich hoffe, dass ich nicht gleich wegen dummer Anfängerfragen wieder rausgeschmissen werde.

Ich betreibe einen Schlund Root-Server. Letzte Woche wurde der Rechner als Spam-Schleuder missbraucht, das lag an einem unsicheren PHP-Kontaktformular eines meiner Kunden. Habe stundenlang gesucht, letztendlich habe ich die Ursache gefunden nachdem ich das Tool 'qmqtool' für QMail installiert hatte. Ist ein wirklich Klasse Tool!
Jetzt meine Frage.
Ich schaue jetzt ab und zu mit qmqtool nach was so passiert, und habe festgestellt, dass ich täglich ca. 10 neue Einträge folgender Art in der Remote Queue habe:
Envelope Sender:
Envelope Recipient: broom2121@rovermobb.com (To Be Delivered)
Date: 15 Nov 2006 18:23:44 +0000
From: MAILER-DAEMON@xxxxxxxxx.rootmaster.info
To: broom2121@rovermobb.com
Subject: failure notice

Das sieht irgendwie verdächtig aus.
Kann mir jemand sagen was das ist?

Danke!
Hans J.

[Roger Wilco]

Das sind von deinem MTA generierte Mail Bounces. Würde ich zumindest auf Grund des Subjects und der Absenderadresse tippen.

[schnarchnase]

Das sieht so aus.
Allerdings wundern mich die merkwürdigen Empfängeradressen z.B. 'broom2121@rovermobb.com'. Die sehen alle so komisch aus.
Wenn ich das jetzt richtig verstanden habe, hat broom2121@rovermobb.com irgendwann einmal ein E-Mail an meinen Mail-Server geschickt, dessen Empfängerpostfach nicht zugeordnet werden konnte. Der MTA hat dann die failure notice geschickt.

[codc]

Sieht für mich nach einem abgelehnten Spam-Mail von deinem MTA aus. Ich würde mir da keine Sorgen machen.

Sorgen würde ich mir eher machen wie man verhindert das die Kiste wieder eine Spam-Schleuder wird.

BTW als Anfänger sollte man keinen dedizierten Server betreiben ist wie mit einem Mofa-Führerschein mit einem Porsche auf der Autobahn unterwegs zu sein - nur am Rande .....

[lucki2]

Das sieht so aus.
Allerdings wundern mich die merkwürdigen Empfängeradressen z.B. 'xxx@yyyy.tld'. Die sehen alle so komisch aus.
Wenn ich das jetzt richtig verstanden habe, hat 'xxx@yyyy.tld'irgendwann einmal ein E-Mail an meinen Mail-Server geschickt, dessen Empfängerpostfach nicht zugeordnet werden konnte. Der MTA hat dann die failure notice geschickt.

Möglichkeit a) Die User bei yyyy.tld versuchen verzweifel einen User bei Dir zu erreichen.

Möglichkeit b)
Irgendwer hält yyy.tld für besonders nett, und möchte dem gerne besonders viele Mails zu kommen lassen. Das macht der in dem er Dir Mails schickt und Du automatisch eine Mail dort hin schickst. Die bei yyy.tld freuen sich sodann über die viele Post.

Möglichkeit c)
Jemand mag doch Dich bzw Deinen Postmaster ganz besonders und weiß, dass es xxx bei yyy.tld nicht gibt. Der will, daß Dein postmaster selber ganz viel Post bekommt. Also schickt er diese Mails, die Dein Server an yyy.tld bounced und dort wieder an Dich zurück gebounced werden. Doublebounce ist das Stichwort.

Sicher nette Menschen. Beobachten ist gut. Wenn es viel wird, läuft es auf DoS hinaus. Nur dann die nicht mehr bouncen.
Die Zeilen, wenn postmaster irgendwann doublebounces auswendig kennt:

Code: Select all

cd /var/qmail/
mv control/doublebounceto control/doublebounceto-orig 2&>/dev/null
echo  "bouncemuell"> control/doublebounceto
echo  "|/bin/true" > alias/.qmail-bouncemuell
chmod 664 alias/.qmail-bouncemuell
chmod 664 control/doublebounceto
/etc/rc.d/init.d/qmail restart

ruhe!

[danu]

Wenn es viel wird, läuft es auf DoS hinaus

Wenn Spamassassin und rblsmtp vernünftig konfiguriert sind, kann hier grösserer Schaden verhindert werden.