SPAM Server erkennen

[bennle]

Hallo,
Irgend ein Server versendet mit meinem Absender SPAM an andere Leute.
Nun möchte ich gerne herausbekommen von welchem Server diese versendet werden.
(Einige kommen zurück, da der Absender nicht bekannt ist und mein CatchAll nimmt diese an!)

Hier habe ich mal eine nachricht die zurück kam:

Return-Path: <>
X-Original-To: meineemail
Delivered-To: meineemail
Received: from localhost (meinserver [127.0.0.1])
by meinserver (Postfix) with ESMTP id 354946E05B5
for <meineemail>; Wed, 19 Sep 2007 01:19:57 +0200 (CEST)
Received: from meinserver ([127.0.0.1])
by localhost (meinserver[127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 02664-07 for <meineemail>;
Wed, 19 Sep 2007 01:19:56 +0200 (CEST)
Received: from mailgate3.nau.edu (mailgate3.nau.edu [134.114.96.145])
by meinserver (Postfix) with ESMTP id 391946E05B3
for <Ilmo841@meinedomain>; Wed, 19 Sep 2007 01:19:56 +0200 (CEST)
Received: from PROCESS-DAEMON.mailgate3.nau.edu by mailgate3.nau.edu
(PMDF V6.2-X27 #31372) id <0JOL008017FE91@mailgate3.nau.edu> for
Ilmo841@meinedomain; Tue, 18 Sep 2007 16:18:51 -0700 (MST)
Received: from mailgate3.nau.edu (PMDF V6.2-X27 #31372)
id <0JOL007027F9K8@mailgate3.nau.edu>; Tue, 18 Sep 2007 16:18:45 -0700 (MST)
Date: Tue, 18 Sep 2007 16:18:45 -0700 (MST)
From: PMDF e-Mail Interconnect <Postmaster@NAU.EDU>
Subject: Delivery Notification: Delivery has failed
To: Ilmo841@meineurl.info
Message-id: <0JOL0070W7F9K8@mailgate3.nau.edu>
MIME-version: 1.0
Content-type: multipart/report; report-type=delivery-status;
boundary="Boundary_(ID_KClxk6MCv9XlyvEa7teYRw)"
X-Virus-Scanned: by MEINE FIRMA
X-Spam-Status: No, score=-0.372 tagged_above=-100 required=4 tests=[AWL=1.492,
BAYES_00=-2.312, HTML_MESSAGE=0.001, MAILTO_TO_SPAM_ADDR=0.446,
UNPARSEABLE_RELAY=0.001]
X-Spam-Score: -0.372
X-Spam-Level:

Kann man hier etwas herauslesen? Oder ist es nicht möglich?
Gruß Benny

PS: Ich vermute dass sie von mailgate3.nau.edu kommt, aber leider weiß ich es nicht sicher!

[Joe User]

Das ist der Header des Bounce nicht des Spam und somit uninteressant...

[daemotron]

Das ist Collateral Spam, und zwar von der übelsten Sorte. Offenbar hat jemand im Namen Deiner Domain eine Spam-Mail an einen der Mailserver der Domain nau.edu (Northern Arizona University) geschickt. Der Mailserver hat diese aber erst nach einem 200er Code als Spam identifiziert. In dem Moment kann er nicht mehr dem tatsächlich einliefernden MTA einen Bounce schicken, sondern kann nur noch eine Bounce-Mail an die Absender-Adresse schicken, die dann auf Deinem Server landet (was im übrigen ein sehr schlechter Stil ist - der Mailserver-Admin aus Arizona gehört geschlagen). Aus dem Mailheader bekommst Du nicht heraus, wer ursprünglich die Spam-Mail bei der NAU eingeworfen hat, da der Original-Header clevererweise noch nicht einmal mit gesendet wurde. Alles in allem ein armseliges Setup für eine große Organisation wie eine Uni...

[bennle]

Hallo,
Ok, ich hab nun mal ne Mail rausgesucht, welche die alte Mail im Anhang hat!

Code: Select all

Return-path: <zeb-Kingswell@meinedomain>
Received: from TCP-DANA.mailgate3.nau.edu by mailgate3.nau.edu
 (PMDF V6.2-X27 #31372) id <0JOL003027EHGY@mailgate3.nau.edu>
 (original mail from zeb-Kingswell@meinedomain); Tue,
 18 Sep 2007 16:18:18 -0700 (MST)
Received: from CONVERSION-DAEMON.mailgate3.nau.edu by mailgate3.nau.edu
 (PMDF V6.2-X27 #31372) id <0JOL001017E7JX@mailgate3.nau.edu> for
 jcw347@dana.ucc.nau.edu; Tue, 18 Sep 2007 16:18:09 -0700 (MST)
Received: from as11-m472.net.t-com.hr (as11-m472.net.t-com.hr [195.29.109.232])
 by mailgate3.nau.edu (PMDF V6.2-X27 #31372)
 with ESMTP id <0JOL007VB7DVXB@mailgate3.nau.edu> for jcw347@dana.ucc.nau.edu;
 Tue, 18 Sep 2007 16:18:06 -0700 (MST)
Received: from KOVE   by meineDOMAIN with ASMTP id D9A01576   for
 <jcw347@dana.ucc.nau.edu>; Wed, 19 Sep 2007 01:18:31 +0200
Received: from KOVE ([182.172.192.12])   by meineDomain with ESMTP id
 71C24AE28C46   for <jcw347@dana.ucc.nau.edu>; Wed, 19 Sep 2007 01:18:31 +0200
Date: Wed, 19 Sep 2007 01:18:01 +0200
From: zeb Kingswell <zeb-Kingswell@meinedomain>
Subject: 4-sciten
To: jcw347@dana.ucc.nau.edu
Message-id: <000701c7fa4a$2827f660$e86d1dc3@KOVE>
MIME-version: 1.0
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
Content-type: multipart/alternative;
 boundary="Boundary_(ID_gDnGYQQVS7QNEjkKpfgCCQ)"
X-Priority: 3
X-MSMail-priority: Normal
X-Antivirus: avast! (VPS 000775-2, 18.09.2007), Outbound message
X-Antivirus-Status: Clean

Da müsste man nun aber etwas herauslesen können oder?

Ich habe eigentlich nicht oft so etwas, nur diese Nacht kamen 250 Mails zurück!!! Ich bin mir allerdings ziemlich sicher, dass es nicht von meinem Server kommt.

Gruß
Benny

[bennle]

Hi,
Leider nicht, nur jetzt bin ich 100% sicher das mein Server spamt, wobei ich das auch nicht für möglich halte!

Aber was kann ich nun tun? Nix oder? Ich kann ja wohl nichts verhindern oder?

Gruß
Benny

[Joe User]

Da 182.0.0.0/8 "IANA Reserved" ist, ist davon auszugehen, dass die ersten beiden Received-Header vom Spammer gefälscht wurden und die Mail über 195.29.109.232 (T-COM Croatia) verschickt wurde. Also nicht von Deinem Server...

[bennle]

Bringt es irgendetwas, wenn ich das zur Anzeige bringe? Schließlich wird meine Domain in den Dreck gezogen und ich kann es nicht mal verhindern!

Wie soll ich vorgehen? Einfach ruhig sein und es ignorieren

Gruß
Benny[/url]

[Joe User]

Bringt es irgendetwas, wenn ich das zur Anzeige bringe?

Nein.

Einfach ruhig sein und es ignorieren

Richtig.