Angeblicher SPAM Versand über meinen 1&1 Root

[maverick-inc]

Hallo, habe gestern eine Mail von der Abuse 1&1 Abteilung bekommen, über meinen Server würde SPAM versendet werden. Ich war erst total geschockt, schaue ich doch mindestens 2x die Woche alle Logfiles durch.

Habe darauf hin alle Logfiles noch einmal angesehen, und nix gefunden. (mail.info, access_log, messages, mail.warn ...)
Zwar hat ein Scanner versucht über Cross-Site-Skripting einzudringen, bekam aber immer 404 o.ä. (So gut wie alle Applicationen auf dem Server sind auf dem neusten Stand).

Der Traffic ist auch nicht angestiegen (Ok, bei 6Kb E-Mails würde man das nicht gleich merken)
Prozesse mit hoher Last oder Ungewollte Procs. habe ich auch nicht gefunden.

Das einzige was mir aufgefallen ist, dass einige User eines PHPBB Forums sich täglich PNs schreiben, das hab ich aber nun abgestellt, und ich kann mir nicht vorstellen das es daran liegt.

Außerdem hab ich 2 Mailumleitungen die täglich mit 10 SPAM Mails weiterleiten, die mein SPAMFilter durchgelassen hat.

Ist eine solche Nachricht von 1&1 automatisiert, oder kann das an diesen Mail Umleitungen liegen?

Um sicherzustellen, das er keine weiteren Mails versendet, habe ich gestern bereits den SMTP und POP3 Dienst sowie qmail beendet. Bis jetzt sind aber in der Warteschlange keine ungewollten/unbekannten Mails aufgetaucht.

Könnt Ihr mir noch ein paar Tipps zum weiteren Vorgehen geben?

[oxygen]

klingt für mich nach einem installierten Rootkit.

[maverick-inc]

Danke für die schnelle Antwort,

also chkrootkit hab ich bereits durchlaufen lassen, ohne Fund.

Irgendwelche Attacken sind mir auch nicht aufgefallen, habe bei der Einrichtung vor einem Jahr den Rootzugang per SSH gesperrt und den Port für SSH geändert.

Haben 1&1 gestern auch angeschrieben, da diese Anbieten eine dieser SPAMMail einen zukommen zu lassen. Bloß denke ich das diese eine ganze Weile dauern wird.

€dit: Irgend welche komischen Zugriffe des Apache hab ich auch nicht gesehen.

€dit2: Ich habe gestern auch den Traffic verglichen (1&1 = root), also keine abweichung.

Weiterhin habe ich ein Relay Test durchgeführt, der Server hat alles abgewiesen, wie es sich gehört, am Besten warte ich mal auf ne Antwort von 1&1 bevor ich mir hier vollen den Kopf drüber zerbreche, aber das macht mich doch schon voll fertig die Geschichte :-(

[EdRoxter]

Hast du respektive einer deiner Kunden irgendwo ein Kontaktformular, in dem etwas á la

Code: Select all

mail($an,$betreff,$message,"From: $from");

steht?

Einer von meinen hatte sowas mal. Die Kiste hat durch Injektion via BCC in die Variable $from mal munter 4000 Spams die Stunde verschickt. Das fällt dann auch in den Maillogs nicht so auf.

[maverick-inc]

Ich nutze den Server gott sei Dank nur für ein paar Vereine und meinen großen Bekanntenkreis.

Deshalb konnte ich auch die E-MailDienste herunterfahren, ohne das ich dadurch Probleme bekomme. Meinen Server verlassen ca. nur 20 Mails am Tag (laut Log), und seit dem ich die MailDienste heruntergefahren habe, haben sich in der Mail-Queue nur ein paar Mails (meistens von bestimmten Diensten) angesammelt, die auf dem Server intern verarbeitet werden.

Ich habe gestern einen Artikel gelesen, bei dem ein 1&1 Server, der hunderte Gästebücher bereitstellt, auch wegen angeblichen SPAM, sogar heruntergefahren wurde. Diese angeblichen SPAM Mails entstanden durch Gästebucheintragungen von Gästebuchspammern, die E-Mailadressen verwendet haben, die tatsächlich existieren.

Sowas könnte das bei mir auch sein. In den beiden Foren die ich auf der Seite betreibe, haben sich täglich mind. 5 Spammer pro Forum angemeldet.

Antwort von 1&1 habe ich bis jetzt noch nicht bekommen, auf diese Warte ich immernoch vergeblich.

[Joe User]

Sowas könnte das bei mir auch sein. In den beiden Foren die ich auf der Seite betreibe, haben sich täglich mind. 5 Spammer pro Forum angemeldet.

Dann solltest Du die Forensoftware entsprechend patchen...

[Roger Wilco]

Deshalb konnte ich auch die E-MailDienste herunterfahren, ohne das ich dadurch Probleme bekomme. Meinen Server verlassen ca. nur 20 Mails am Tag (laut Log), und seit dem ich die MailDienste heruntergefahren habe, haben sich in der Mail-Queue nur ein paar Mails (meistens von bestimmten Diensten) angesammelt, die auf dem Server intern verarbeitet werden.

Naja, die E-Mails müssen ja nicht über den System-MTA verschickt worden sein. Einen primitiven MTA, der die Mails einfach nur "auskotzt" kann man in eine paar wenigen Zeilen Perl/Python/$Whatever Code implementieren. Die werden dann natürlich auch nicht in deinen Logs aufgeführt.

[blattlaus]

Deshalb konnte ich auch die E-MailDienste herunterfahren, ohne das ich dadurch Probleme bekomme. Meinen Server verlassen ca. nur 20 Mails am Tag (laut Log), und seit dem ich die MailDienste heruntergefahren habe, haben sich in der Mail-Queue nur ein paar Mails (meistens von bestimmten Diensten) angesammelt, die auf dem Server intern verarbeitet werden.

Naja, die E-Mails müssen ja nicht über den System-MTA verschickt worden sein. Einen primitiven MTA, der die Mails einfach nur "auskotzt" kann man in eine paar wenigen Zeilen Perl/Python/$Whatever Code implementieren. Die werden dann natürlich auch nicht in deinen Logs aufgeführt.

Mir kam gerade die tolle Idee mit iptables Initialverbindungen nach draussen einfach zu verbieten.

[Roger Wilco]

Mir kam gerade die tolle Idee mit iptables Initialverbindungen nach draussen einfach zu verbieten.

Ohne Ausnahmen? Willst du keine Namensauflösung mehr auf deinem System? ;)

[daemotron]

Und wie willst Du dann einen MTA betreiben? Ich bezweifle, dass Du mit IPTables unterscheiden kannst, ob die Initial-Verbindung von deinem regulären MTA ausgeht, nachdem ein authentifizierter User ne Mail in die Queue geworfen hat, oder von einem Bogus-MTA...

[blattlaus]

Mir kam gerade die tolle Idee mit iptables Initialverbindungen nach draussen einfach zu verbieten.

Ohne Ausnahmen? Willst du keine Namensauflösung mehr auf deinem System? ;)

Natürlich :roll:
Ich dachte, dass ich das nicht extra dazusagen muss.

Und wie willst Du dann einen MTA betreiben? Ich bezweifle, dass Du mit IPTables unterscheiden kannst, ob die Initial-Verbindung von deinem regulären MTA ausgeht, nachdem ein authentifizierter User ne Mail in die Queue geworfen hat, oder von einem Bogus-MTA...

Man kann mit iptables prima auf die Process-ID matchen, oder, falls einem das zu umständlich ist, auf die User-ID unter dem der MTA läuft.
Da geht schon was...ist natürlich die Frage ob man sich den Aufwand machen will und wie sinnvoll sowas überhaupt ist. Wer unbedingt will findet so oder so einen weg.

[daemotron]

Process ID dürfte wohl kaum praktikabel sein - einige MTAs wie z. B. Postfix starten nämlich für solche Aufgaben kleine Programme, die dann einen jeweils eigenen Prozess darstellen. Der Master-Prozess ist nur dafür zuständig, auf eingehende Verbindungen zu lauschen... Als einziges käme also IMHO ein Match auf die User-ID in Frage.

Aber ob das dann wirklich ein autorisierter Mail-Prozess ist... das Grundproblem bei dieser Web-Spammerei ist doch, dass Dein MTA ganz "legal" dafür eingespannt wird, weil der normalerweise Mails von localhost als "grün" auch nach außen weiterschickt. Damit kann jeder Prozess, der auf dem Server selbst gestartet wurde, Mails verschicken, ohne selbst eine Verbindung nach draußen aufzubauen. iptables hilft da IMHO also nicht besonders viel...

[blattlaus]

Da hast du natürlich recht. Ich bezog mich auch nur auf das Szenario, dass jemand mit $scriptsprache einen Mini-MTA zusammenbastelt, der Spam versendet. Wobei man in dem Fall vermutlich jemanden hat dem man in die Eier treten kann (nachdem man ihm den Account gesperrt hat), denn man wird ja wohl kaum jedem dahergelaufenen User die möglichkeit geben Anonym irgendwelche neuen Scripte zu erstellen.
Und wenn ein Formular von einem Kunden (o.ä.) missbraucht wird um Spam zu versenden, sperrt man eben den Zugriff auf selbiges und benachrichtigt den Kunden. Es kann ja nicht angehen, dass nur wegen einem Deppen der ganze Mailserver auf dutzenden Blacklisten landet.

[maverick-inc]

...

Dann solltest Du die Forensoftware entsprechend patchen...

Hab ich bereits getan, bzw. hab die register.php einfach umbennant ^^
Das Forum wird sowieso nur in einer Berenzten Gemeinschaft benutzt.

...

Naja, die E-Mails müssen ja nicht über den System-MTA verschickt worden sein. Einen primitiven MTA, der die Mails einfach nur "auskotzt" kann man in eine paar wenigen Zeilen Perl/Python/$Whatever Code implementieren. Die werden dann natürlich auch nicht in deinen Logs aufgeführt.

Die Möglichkeit hatte ich mir auch bereits überlegt, jedoch wenn der wirklich so extrem Spammen würde, wäre mein Server wahrscheinlich schon down, oder 1&1 hätte mir endlich mal ne Antwort geschrieben oder man sollte langsam Abweichungen bei den Trafficzählern (1&1<=>Plesk) feststellen. Denke ich zumindest, oder hab ich da einen Denkfehler gemacht?

Habe jetzt extra mal den Traffic verglichen (Webalizer FTP und HTTP Traff, sowie Plesk und 1&1 Traffic), passt alles, keine Abweichungen!


Antwort hab ich wie oben schon erwähnt noch keine, werde morgen mal beim Allgemeinen 1&1 Support anrufen, kann ja nicht sein das die so lange brauchen!

Danke euch aber auf jeden Fall für eure Tipps und Hilfe!!!

[clonecommander]

Hi,

ich grabe diesen Thread einfach mal aus. Ich habe gestern auch eine Abuse-Mail von 1&1 erhalten.

Leider bin ich mit dem Thema nicht so vertraut, und weiß nicht wo ich anfangen soll. Bin schon einige Stunden durch die Logs gegangen, aber das hat bisher nicht geholfen.
In der mail.info wird ja irgendwie ziemliches Chaos veranstaltet, wie werde ich daraus schlau und kann unterscheiden zwischen Mails, die bei mir ankommen und lokal zugestellt werden (wohl eher "ungefährlich") und solchen, die versendet werden. Bei der versendeten wäre es schön zu wissen, wer die sendet...

Bin jetzt einfach mal von einer Lücke in einem Formmailer ausgegangen und habe den hier: http://huschi.net/11_222_de.html
beschriebenen Sendmail-wrapper installiert. Laut phpinfo() verwendet mein PHP /usr/sbin/sendmail. in der php.ini ist die Zeile mit dem Pfad zu sendmail auskommentiert?!
Nun finde ich in der Log dazu aber leider nur Einträge von cron, der mir Mails schickt. Nichts von PHP, trotz Test-Formular-absenden... woran kann das liegen? Arbeitet PHP dann doch anders (mail() meine ich)

In meiner Prozessliste ist der qmail auch fleißig dabei, ich dachte bisher er sendet da nur die eingegangenen Spam-Mails zurück, die eben an nicht existente Adressen gehen...

qmails 28050 0.0 0.0 3780 548 ? S Sep10 0:25 qmail-send
qmaill 28052 0.0 0.0 3728 536 ? S Sep10 0:06 _ splogger qmail
root 28053 0.0 0.0 3768 440 ? S Sep10 0:02 _ qmail-lspawn | /usr/bin/deliverquota ./Maildir
qmailr 28054 0.0 0.1 4952 1708 ? S Sep10 0:01 _ qmail-rspawn
qmailr 20442 0.0 0.1 16040 1216 ? S 09:08 0:00 | _ qmail-remote nutclub.com 49andrews@nutclub.com
qmailr 20443 0.0 0.1 15952 1268 ? S 09:08 0:00 | | _ /var/qmail/bin/qmail-remote.moved nutclub.com 49andrews@nutclub.com
qmailr 23184 0.0 0.1 16036 1216 ? S 09:17 0:00 | _ qmail-remote yahoo.de forum@HOSTBEIMIR.de kleinenase@yahoo.de
qmailr 23185 0.0 0.1 15952 1272 ? S 09:17 0:00 | | _ /var/qmail/bin/qmail-remote.moved yahoo.de forum@HOSTBEIMIR.de kleinenase@yahoo.de
qmailr 26536 0.0 0.1 16036 1216 ? S 09:27 0:00 | _ qmail-remote 3rivers.net 117xbarn@3rivers.net
qmailr 26537 0.0 0.1 15952 1272 ? S 09:27 0:00 | | _ /var/qmail/bin/qmail-remote.moved 3rivers.net 117xbarn@3rivers.net
qmailr 26543 0.0 0.1 16040 1220 ? S 09:28 0:00 | _ qmail-remote aol.com info@apostolopoulos.gr hajohuster@aol.com
qmailr 26544 0.0 0.1 15952 1272 ? S 09:28 0:00 | _ /var/qmail/bin/qmail-remote.moved aol.com info@apostolopoulos.gr hajohuster@aol.com
qmailq 28055 0.0 0.0 3724 408 ? S Sep10 0:03 _ qmail-clean

Hier ein Ausschnitt aus der mail.info:

Sep 11 09:39:31 MEINSERVER qmail: 1221118771.383122 new msg 83886226
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.383222 info msg 83886226: bytes 15140 from <ters@esquirecleaners.com> qp 30028 uid 2020
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.390374 starting delivery 12779: msg 83886226 to local 64-steinruck@HOSTBRIMIR.de
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.390485 status: local 1/10 remote 3/20
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.407829 new msg 83889061
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.407943 info msg 83889061: bytes 15253 from <ters@esquirecleaners.com> qp 30032 uid 110
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.422418 starting delivery 12780: msg 83889061 to local 64-info@HOSTBEIMIR.de
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.422541 status: local 2/10 remote 3/20
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.422592 delivery 12779: success: did_0+1+0/qp_30031/
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.423239 status: local 1/10 remote 3/20
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.423342 end msg 83886226
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.446643 new msg 83886226
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.446730 info msg 83886226: bytes 15361 from <ters@esquirecleaners.com> qp 30036 uid 110
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.454420 starting delivery 12781: msg 83886226 to local 64-info@HOSTBEIMIR.de
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.454545 status: local 2/10 remote 3/20
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.454597 delivery 12780: success: did_0+1+0/qp_30035/
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.454904 status: local 1/10 remote 3/20
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.454966 end msg 83889061
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.464904 delivery 12781: failure: This_message_is_looping:_it_already_has_my_Delivered-To_line._(#5.4.6)/
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.465327 status: local 0/10 remote 3/20
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.479921 bounce msg 83886226 qp 30039
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.480207 end msg 83886226
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.481143 new msg 83889061
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.481213 info msg 83889061: bytes 15932 from <> qp 30040 uid 2522
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.487291 starting delivery 12782: msg 83889061 to remote ters@esquirecleaners.com
Sep 11 09:39:31 MEINSERVER qmail: 1221118771.487369 status: local 0/10 remote 4/20
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.920756 delivery 12782: failure: 69.61.67.158_does_not_like_recipient./Remote_host_said:_550_sorry,_no_mailbox_here_by_that_name._(#5.7.17)/Giving_up_on_69.61.67.158./
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.921144 status: local 0/10 remote 3/20
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.951504 bounce msg 83889061 qp 30053
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.951746 end msg 83889061
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.952649 new msg 83886226
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.952742 info msg 83886226: bytes 16476 from <#@[]> qp 30054 uid 2522
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.962803 starting delivery 12783: msg 83886226 to local 27-postmaster@BEI MIR
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.962887 status: local 1/10 remote 3/20
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.976400 delivery 12783: failure: This_address_no_longer_accepts_mail./
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.976844 status: local 0/10 remote 3/20
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.976909 triple bounce: discarding bounce/83886226
Sep 11 09:39:35 MEINSERVER qmail: 1221118775.977111 end msg 83886226
Sep 11 09:39:39 MEINSERVER pop3d: IMAP connect from @ [xxx.xxx.xxx.xxx]INFO: LOGIN, user=m@HOSTBEIMIR2.com, ip=[77.128.43.197]
Sep 11 09:39:39 MEINSERVER pop3d-ssl: IMAP connect from @ [xxx.xxx.xxx.xxx]INFO: LOGIN, user=spam@HOSTBEIMIR2.com, ip=[77.128.43.197]
Sep 11 09:39:39 MEINSERVER pop3d-ssl: IMAP connect from @ [xxx.xxx.xxx.xxx]INFO: LOGIN, user=m@HOSTBEIMIR3.de, ip=[77.128.43.197]
Sep 11 09:39:42 MEINSERVER pop3d: IMAP connect from @ [xxx.xxx.xxx.xxx]INFO: LOGIN, user=Rhona@HOSTBEIMIR4.com, ip=[41.242.134.180]
Sep 11 09:39:42 MEINSERVER qmail: 1221118782.944180 new msg 83886226
Sep 11 09:39:42 MEINSERVER qmail: 1221118782.944316 info msg 83886226: bytes 1899 from <hughsu@mail.no> qp 30088 uid 2020
Sep 11 09:39:43 MEINSERVER qmail: 1221118783.023532 starting delivery 12784: msg 83886226 to local 39-webmaster@HOSTBEIMIR5.de
Sep 11 09:39:43 MEINSERVER qmail: 1221118783.023679 status: local 1/10 remote 3/20
Sep 11 09:39:43 MEINSERVER spamd[16817]: spamd: got connection over /tmp/spamd_full.sock
Sep 11 09:39:43 MEINSERVER spamd[16817]: spamd: using default config for webmaster@HOSTBEIMIR5.de: /var/qmail/mailnames/HOSTBEIMIR5.de/webmaster/.spamassassin/user_prefs
Sep 11 09:39:43 MEINSERVER spamd[16817]: spamd: processing message <14bb301c913e1$8b615170$c0a80122@Mariana> for webmaster@HOSTBEIMIR5.de:110
Sep 11 09:39:47 MEINSERVER spamd[16817]: spamd: identified spam (21.1/7.0) for webmaster@HOSTBEIMIR5.de:110 in 4.7 seconds, 1899 bytes.
Sep 11 09:39:47 MEINSERVER spamd[16817]: spamd: result: Y 21 - FORGED_MUA_OUTLOOK,HTML_MESSAGE,MIME_BOUND_NEXTPART,RCVD_IN_SORBS_DUL,URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL scantime=4.7,size=1899,user=webmaster@HOSTBEIMIR5.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=<14bb301c913e1$8b615170$c0a80122@Mariana>,autolearn=no
Sep 11 09:39:47 MEINSERVER spamd[315]: prefork: child states: II
Sep 11 09:39:49 MEINSERVER qmail: 1221118789.057757 delivery 12784: success: did_0+0+3/did_0+0+1/
Sep 11 09:39:49 MEINSERVER qmail: 1221118789.125731 status: local 0/10 remote 3/20
Sep 11 09:39:49 MEINSERVER qmail: 1221118789.125876 end msg 83886226

Die große Anzahl an Einträgen hatte mich schon einmal zum Grübeln gebracht, doch dachte ich das ist alles Spam der nicht von mir stammt :(

Ist die Annahme von 1&1 wahr oder kann es sein, dass meine Adresse nur irgendwo in dem FROM-Header gesetzt wird?

Am Besten wäre mal so eine Mail zu haben denke ich, werde da gleich mal anrufen.

[Roger Wilco]

Ist die Annahme von 1&1 wahr oder kann es sein, dass meine Adresse nur irgendwo in dem FROM-Header gesetzt wird?

Die Jungs und Mädels von den Abuse-Abteilungen größerer Provider wissen i. d. R., wie sie Mailheader zu lesen haben. Und der From-Header ist sicherlich nicht dabei. ;)

Am Besten wäre mal so eine Mail zu haben denke ich, werde da gleich mal anrufen.

Richtig. Lass dir eine der Mails zuschicken und sieh dann im Mail Log nach, wie bzw. von welchem Benutzer diese verschickt wurde.

[oxygen]

Ist die Annahme von 1&1 wahr oder kann es sein, dass meine Adresse nur irgendwo in dem FROM-Header gesetzt wird?

Die Jungs und Mädels von den Abuse-Abteilungen größerer Provider wissen i. d. R., wie sie Mailheader zu lesen haben. Und der From-Header ist sicherlich nicht dabei. ;)

Ja. Wobei es da manchmal auch Missverständnisse gibt. Einer meiner Mitbenutzer betreibt einen legitimen (sprich Opt-In, Opt-Out) Newsletter. Trotzdem kam es 2 mal vor dass AOL User in ihrer Software angeklickt haben "Als Spam melden". Das löst automatisch einen eMail an abuse@Netzbetreiber aus, die dann mir zugestellt wurde. Natürlich war meinem Anbieter klar, dass es Unsinn ist. Aber ein Support Ticket, dass mich etwas nervös gemacht hat, hab ich trotzdem erstmal bekommen.

[clonecommander]

Ja, ich denke auch, dass die das FROM ignorieren würden, aber man weiß ja nie was da jetzt passiert ist.

Ich habe dort angerufen, jedoch ist die Abteilung, von der die eMail kommt und die weitere Infos hat nur per eMail erreichbar. habe heute Früh nochmal geschrieben, bisher keine Antwort (die Abuse-Mail kam gestern Abend)

Falls ich die Mail dann habe, wie würdet ihr vorgehen. Welche logs sind relevant und was steht da wohl drin (damit ich erkennen kann, dass er auch wirklich da am Sende war etc.)
Bzw. wie finde ich heraus, zu welchem benutzer die gehört? in der mail.info tauchen z.b. bei den "new msg" einträgen immer nur UIDs von qmail auf...

Und: Es ist ja eher wahrscheinlich, dass die besagte Mail eine von vielen war, die auf einmal irgendwo irgendwie eingeschleust wurde, oder?

Oder sendet er jetzt ständig. Was sagt ihr z.B. zu den Ausschnitten aus der mail.info und ps? Ist das eine normale Aktivität durch Spam-Mails von draußen?

Vielen Dank schonmal!

CC

[clonecommander]

So, ich habe noch immer keine Antwort erhalten, dafür erreichte mich aber eine SPAM-mail von mir selbst. Dazu wollte ich mal eure Meinung hören. Für mich sieht das nach gefälschtem FROM-header aus, oder kann ich mich da irren? Zum Vergleich dann noch eine, die ich mir per Formmailer von meinem Server geschickt habe (dort taucht z.B. auch der Additional Header auf, den der sendmail-wrapper hinzufügt.)

DomainKey-Status: no signature
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on MEINEDOMAIN.de
X-Spam-Level:
X-Spam-Status: No, score=-75.8 required=7.0 tests=BAYES_50,FUZZY_ROLEX,
HELO_DYNAMIC_SPLIT_IP,MIME_BASE64_BLANKS,MIME_BASE64_NO_NAME,MIME_BASE64_TEXT,
URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,
URIBL_WS_SURBL,USER_IN_WHITELIST autolearn=no version=3.1.8
DomainKey-Status: no signature
Received: (qmail 8741 invoked from network); 14 Sep 2008 15:17:44 +0200
Received: from 160.red-83-50-19.dynamicip.rima-tde.net (83.50.19.160)
by sxxxxxxxx.onlinehome-server.info with SMTP; 14 Sep 2008 15:17:44 +0200
Received-SPF: none (sxxxxxxxx.onlinehome-server.info: domain at MEINEDOMAIN.de does not designate permitted sender hosts)
X-Originating-IP: 156.42.231.10 by smtp.83.50.19.160; Sun, 14 Sep 2008 09:08:21 -0500
Message-ID: <fiivprsCANLYinfo@MEINEDOMAIN.de>
From: "info@MEINEDOMAIN.de" <info@MEINEDOMAIN.de>
Reply-To: "info@MEINEDOMAIN.de" <info@MEINEDOMAIN.de>
To: info@MEINEDOMAIN.de
Subject: 0ne of a kind repl1cas
Date: Sun, 14 Sep 2008 09:17:21 -0500
Content-Type: text/plain;
Content-Transfer-Encoding: base64

DomainKey-Status: no signature
X-Spam-Checker-Version: SpamAssassin 3.1.8 (2007-02-13) on MEINEDOMAIN.de
X-Spam-Level:
X-Spam-Status: No, score=-102.6 required=7.0 tests=BAYES_00,NO_RELAYS,
USER_IN_WHITELIST autolearn=ham version=3.1.8
DomainKey-Status: no signature
Received: (qmail 21726 invoked by uid 30); 13 Sep 2008 15:10:33 +0200
Date: 13 Sep 2008 15:10:33 +0200
Message-ID: <20080913131033.21723.qmail@MEINEDOMAIN.de>
X-Additional-Header: /home/httpd/vhosts/MEINEDOMAIN.de
To: info@MEINEDOMAIN.de
Subject: MEINEDOMAIN - Website Formmailer
From: "MEINEDOMAIN Formmailer" <info@MEINEDOMAIN.de>

Dann noch die Frage: In meiner qmail queue hängen immer sehr viele failure notices von nicht zustellbaren eMails (spammails an nicht vorhandene Adressen). Was kann ich dagegen machen bzw. ist das bei euch auch so?

[daemotron]

In meiner qmail queue hängen immer sehr viele failure notices von nicht zustellbaren eMails (spammails an nicht vorhandene Adressen). Was kann ich dagegen machen bzw. ist das bei euch auch so?

Das ist i.d.R. collateral Spam - eine Unart, die daher rührt, dass es leider immer noch Mailserver-Admins (auch bei größeren Unternehmen und Organisationen) gibt, die einfach nicht wissen, wie man einen MTA konfiguriert und dass sich Bounces nach einem Accept nicht gehören.

[Roger Wilco]

wie man einen MTA konfiguriert und dass sich Bounces nach einem Accept nicht gehören.

Fairerweise muss man zugestehen, dass das mit qmail nur sehr schlecht geht. Je nach angewendeten Patches.

[clonecommander]

Was muss ich tun? 8O

edit: ah mir fällt grad was ein. Hängt es damit zusammen, dass ich in Plesk für alle Domains den Parameter "nonexist_mail" auf "reject" stellen muss? ich glaube das habe ich nur 1x gemacht, alle neueren Accounts haben das wohl noch nicht. Daher könnte das kommen.

Oder ist das 'ne andere Baustelle?

[Roger Wilco]

Hängt es damit zusammen, dass ich in Plesk für alle Domains den Parameter "nonexist_mail" auf "reject" stellen muss?

Ja, das solltest du.

Oder ist das 'ne andere Baustelle?

Eigentlich schon, aber du solltest auf jeden Fall dafür sorgen, dass E-Mails an nicht-existente Empfänger auf deinem System auch gleich abgewiesen werden.

[clonecommander]

Ja, das war blöd, dass das in Vergessenheit geriet. Ich werde das mal in die tägliche / wöchentliche Wartung einbauen, damit neue Domains auch gleich umgestellt werden.

Was sagt ihr zu den Mails oben?

[oxygen]

Was sagt ihr zu den Mails oben?

Schade dass sowohl SpamAssassin nicht funktioniert (bzw. unklug konfiguriert ist), als auch Domainkeys und SPF Record nicht vorhanden sind.

Der Übeltäter ist natürlich offensichtlich der Formmailer. Vom Gebrauch eines solchen sollte man heutzutage eh absehen. Mal vom Spam abgesehen, ist das zu unpraktisch. Sowohl für Sender als auch Empfänger.