ich habe ein nicht grade kleines Problem mit meinem Mailserver und versendeten Spammails ...
Seit Montag früh (so etwa gegen 10) werde ich massiv mit Antworten auf Mails (mit einer Absende-eMail-Adresse meiner Domain) zugebombt.
Das gabs zwar früher genauso, aber dieses mal ist es ein wenig unklarer und wesentlich massiver:
Ich schreibe hier mal die Fakten in Kurzform:
1. Es wird immer der gleiche Absender als Versender benutzt, was ich schonmal komisch finde.
2. Die Header der Mails (der Weg, welcher von der Mail genommen wurde :-) ) sind immer folgender Art:
Code: Select all
Received: from [90.196.107.205] (HELO 5ac46bcd.bb.sky.com)
by mx.radiant.net (CommuniGate Pro SMTP 4.1.8)
with ESMTP id 7905153; Mon, 02 Apr 2007 10:55:58 -0700
Return-Path: <lazboemmsen@boemm.de>
Received: from 80.86.187.171 (HELO mx0.boemm.de)
by clarkdale.com with esmtp (/0).9AJV( 5.)E)
id O,M4>(-/?'?6A-/1
for ron@clarkdale.com; Mon, 2 Apr 2007 17:55:54 +0000
Date: Mon, 2 Apr 2007 17:55:54 +0000
From: "Mauro Woodson" <lazboemmsen@boemm.de>
X-Mailer: The Bat! (v3.0.1.33) Professional
X-Priority: 3 (Normal)
Message-ID: <700660853.46094662318752@thhebat.net>
To: ron@clarkdale.com
Der Name meines MX ist der im ersten helo stehende mx0.boemm.de.
3. Aber: In meinen Mail-Logs ist kein Eintrag zu einer einzigen der versendeten Mails zu finden, nicht die Mail-IDs, nicht die Empfänger-Adressen, gar nichts ...!
Mein Mailgraph zeigt auch kaum gesendete Mails, dafür halt massenhaft empfangene ... die die als unzustellbat zurück kommen ...
Das heisst in meinen Augen wird der postfix nicht direkt als OpenRelay mißbraucht, oder?
Ich kann nicht so richtig nachvollziehen, woher die Mails kommen.
Hatte im Vorfeld zumindest mehrfach mein System darauf hin untersucht, obs ein OpenRelay ist und es hat immer bestanden.
Das keine Einträge in den Logs sind, spricht ja auch dafür ...
Dann habe ich auf den Apache getippt und den abgeschaltet ... ohne Effekt.
Ich kriege immer noch Antworten auf Mails mit dem oben geschriebenen Headern ...
Vielleicht interpretiere ich die ja auch falsch, aber das
Code: Select all
Received: from 80.86.187.171 (HELO mx0.boemm.de)
by clarkdale.com with esmtp (/0).9AJV( 5.)E)
id O,M4>(-/?'?6A-/1
for ron@clarkdale.com; Mon, 2 Apr 2007 17:55:54 +0000
Die Mail kommt aber wie gesagt nicht von meinem Server ... zumindest nach meinen bisherigen Forschungen.
Nun habe ich erstmal über Nacht meinen Server ganz runtergefahren, um morgen früh mal anhand der Zeitangaben in den nächsten mich erreichenden Mails zu schauen, ob während der Downtime immer noch Mails verschickt worden sind.
Ist es denn möglich diese Header-Einträge derart zu manipulieren, dass tatsächlich meine IP und mein MX (als helo-Eintrag) von einer anderen Kiste verwendet wird?
Ich bin im Moment echt ratlos, ob und wie ich diesem Problem begegnen kann ...
Ich wäre für Tips sehr dankbar!
Steffen