Received: from localhost - Sende ich mir Spam selbst?

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Hallo zusammen,

hab jetzt schon viel über Google und im Forum gesucht, bin aber nicht fündig geworden. Ich habe eine V-Server (VPS) von Hosteurope mit Plesk. Auf einer meiner eingerichteten E-Mail Accounts empfange ich täglich eine Menge an Spam Mails. Es beschleicht mich jetzt langsam der Verdacht, dass ich mir die evtl. selbst sende und somit vielleicht auch als Spammaschine diene. Grund meiner Vermutung:

Code: Select all

Betreff:    ****SPAM**** Nieee mehr zu frueh kommen?
   Von:    seibicke@ipk.fhg.de
   Datum:    15. Juli 2008 06:23:27 MESZ
   An:    *****@*****.de
   Received:    from localhost by lvps**********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 06:23:33 +0200
   Message-Id:    <01c8e63a$e8e6f180$94b98054@seibicke>
   X-Spam-Flag:    YES
   X-Spam-Checker-Version:    SpamAssassin 3.1.0 (2005-09-13) on  lvps**********.dedicated.hosteurope.de
   X-Spam-Level:    **********************
   X-Spam-Status:    Yes, score=22.8 required=6.0 tests=HTML_MESSAGE, MIME_HTML_MOSTLY,MPART_ALT_DIFF,RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_DUL,RCVD_IN_XBL,URIBL_AB_SURBL,URIBL_JP_SURBL, URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL autolearn=spam  version=3.1.0
   Mime-Version:    1.0
   Content-Type:    multipart/mixed; boundary="----------=_487C2645.D211B693"


und dieser Teil irritiert mich dabei am meisten:

Code: Select all

Received:    from localhost by lvps**********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 06:23:33 +0200


Kann es sein, dass ein Script oder was auch immer die Mails von diesem, also meinem, Server versendet?
Ich danke euch für Tipps :)
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by Roger Wilco »

MushaX wrote:Kann es sein, dass ein Script oder was auch immer die Mails von diesem, also meinem, Server versendet?

Ja. Prüfe dein System auf Eindringlinge und sichere deine Formulare ab, mit denen Mails verschickt werden könnten.

Außerdem könnte ein Sendmail-Wrapper wie unter http://huschi.net/11_222_de.html beschrieben Details über das verursachende Skript liefern.
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Hi,

vielen dank für die schnelle Nachricht. Versuche gerade das mit dem sendmail-wrapper auf die Reihe zu bekommen. Wenn ich auf der Bash diesen Code:

Code: Select all

#!/bin/sh
TODAY=`date -Iseconds`
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/lib/sendmail-real "$@"


eingebe, dann erhalte ich:

Code: Select all

-bash: /usr/lib/sendmail-real: No such file or directory


In diesem Verzeichnis liegt bei mir sendmail, aber eben kein sendmail-real.

Da ich jetzt nichts "kaputt" machen möchte, wie mach ich das mit dem sendmail-wrapper? Habe es mithilfe der von Dir empfohlenen Seite http://huschi.net/11_222_de.html versucht.

Ja ja ich weiß, immer die Ahnungslosen *g*
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by Roger Wilco »

Lies dir die Anleitung komplett durch...
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Vielen Dank für diesen Hinweis :)

Für Unerfahrene tatsächlich der beste Rat -> Langsam atmen und dann noch mal ganz in Ruhe lesen. Hat jetzt funktioniert, hab den wrapper am laufen und jetzt mal sehen was das log ausspuckt.
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Sry für´s Doppelpost, aber..

scheinbar kommt der Spam dann nicht über ein Script auf dem Server, oder? Habe mir gerade über ein Mailformular auf dem Server eine Mail geschickt, die auch im mail.send log des Wrappers auftaucht und den "X-Additional-Header" mit im Header hat, der Wrapper scheint also zu funktionieren. In der Zwischenzeit habe ich wieder 3 Spammails erhalten, die alle "Received: from localhost" im Header haben (aber eben nur EINE Received Zeile), aber nicht im Log auftauchen. Meine qmail-queue ist auch bei 0, es hängt also nichts und auf Open-Relay hab ich auch getestet. Wie stehen nun die Chancen?

Kommen diese Mails tatsächlich von extern? Oder kann ich noch was prüfen?
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by Roger Wilco »

MushaX wrote:Kommen diese Mails tatsächlich von extern? Oder kann ich noch was prüfen?

Die E-Mails können auch (und das ist bei näherer Betrachtung des Received-Headers auch wahrscheinlich) via SMTP von localhost eingeliefert werden ohne den Sendmail Wrapper zu nutzen. In dem Fall müsstest du die Access Logs auf die Skripte, über die E-Mails verschickt werden könnten, mit den Einträgen in deinen Mail Logs korrelieren.

Du kannst auch die Aufnahme eine TCP-Verbindung von localhost zu deinem MTA verbieten, wobei das eher die Holzhammermethode ist.
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by Joe User »

Fehlkonfiguriertes mod_proxy?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Danke für Eure Antworten.

Leider beißt´s jetzt langsam aus bei mir. Kann mit Euren Empfehlungen jetzt nicht mehr soo viel anfangen. Das mit SMTP über local ist klar, nur woher kann das kommen? Habe jetzt zu dieser Domain den gesamten Inhalt mal gesichert und dann auf dem Server gelöscht, dennoch fliegen diese Mails ein. Denke also, es wird kein Script sein, welches auf dem www Space liegt.

Ich weiß, sowenig Ahnung nervt, aber habt ihr für mich vielleicht "handfestere" Tipps? Also genauere Dateibezeichnungen wenn was zu durchsuchen ist usw.? Das mit dem mod_proxy z.B., wird der in der httpd.conf konfiguriert? Habe diese gerade mal durchsucht (/etc/apache2/httpd.conf) und hab da aber nichts gefunden. Oder gibts da vielleicht HowTo´s im Netz?

Sorry wenn ich Euch da nerv, aber steh wirklich etwas auf dem Schlauch.
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Ich führ einfach mal Selbstgespräche ^^

Ich häng jetzt schon seit einiger Zeit im maillog und seh mir das an, wenn eine Mail kommt. Da auch Mails kommen, die kein Spam sind, kann man das recht schön ansehen was abläuft wenn eine Mail eintrifft und ebenso hab ich mir von Mailaccounts die auf diesem Server liegen Mails geschickt. Was mich jedoch etwas wundert:

Wenn eine Mail eintrifft, dann sieht das so aus (das war bei einer erwünschten Mail):

Code: Select all

relaylock: /var/qmail/bin/relaylock: mail from 82.96.***.***:49723 (******.de)


Ich war immer der Annahme, dass der relaylock bedeutet, dass eben eine Anfrage geblockt wurde, aber scheinbar nicht.

vor einer Spammail kommt dann ebenfalls dieser Eintrag, wie z.B. hier:

Code: Select all

relaylock: /var/qmail/bin/relaylock: mail from 79.164.238.172:4894 (host-79-164-238-172.qwerty.ru)


im Header der entsprechenden Mail steh dann wieder mein "beunruhigendes":

Code: Select all

Received:    from localhost by lvps*********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 17:53:40 +0200


Wenn ich in diesem Fall 1 und 1 zusammenzähle, dann heißt das die Mails kommen von draussen, also ganz regulärer Spam.

Lieg ich da richtig? Aber anders geht es doch gar nicht mehr, oder?
Top

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by Roger Wilco »

MushaX wrote:Ich war immer der Annahme, dass der relaylock bedeutet, dass eben eine Anfrage geblockt wurde, aber scheinbar nicht.

http://huschi.net/5_276_de.html

MushaX wrote:vor einer Spammail kommt dann ebenfalls dieser Eintrag, wie z.B. hier:

Code: Select all

relaylock: /var/qmail/bin/relaylock: mail from 79.164.238.172:4894 (host-79-164-238-172.qwerty.ru)


im Header der entsprechenden Mail steh dann wieder mein "beunruhigendes":

Code: Select all

Received:    from localhost by lvps*********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 17:53:40 +0200

In diesem Fall finde ich deinen MTA (also qmail) etwas seltsam. Es sollte zumindest noch eine Received Zeile à la

Code: Select all

Received:    from host-79-164-238-172.qwerty.ru [79.164.238.172] by lvps*********.dedicated.hosteurope.de

zu finden sein.
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

Roger Wilco wrote:In diesem Fall finde ich deinen MTA (also qmail) etwas seltsam. Es sollte zumindest noch eine Received Zeile à la

Code: Select all

Received:    from host-79-164-238-172.qwerty.ru [79.164.238.172] by lvps*********.dedicated.hosteurope.de

zu finden sein.


Ja, ist komisch. Bei anderen Spams, bzw. "echten" Mails sind auch meist mehrere Received: Einträge vorhanden, eben nur nicht bei dieser penetranten Art von Spam.

Hätt da noch eine Frage, normalerweise teilt Qmail doch jeder Nachricht eine ID zu, fortlaufend, oder? Nachfolgender Schnipsel zeigt doch selbige:

Code: Select all

qmail: 1216137705.476592 new msg 703660034

Also die 703660034

Wenn das so ist, dann hab ich wieder was seltsames. Bei mir hat jede Mail die msg 703660034. Ob das jetzt was ausmacht ist natürlich fraglich.
Ich denke ich werd das jetzt dann erstmal gut sein lassen, als Spamschleuder scheint die Kiste nicht zu arbeiten.

Möchte mich auch recht herzlich für die Auskünfte bedanken, hat mir gut weitergeholfen, danke.
Top

mushax
Posts: 9
Joined: 2008-07-13 10:36
Location: Fischbachau / OBB

Re: Received: from localhost - Sende ich mir Spam selbst?

Post by mushax »

So, ein letztes mal noch zu diesem Thema, ich hab die Lösung gefunden:

SpamAssassin schreibt diesen Header um! Habe ihn gerade deaktiviert und dann sind auch die Header in der Mail korrekt, also dann wird unter Received: auch mehr angezeigt, als nur localhost.

Vielleicht hilft das ja auch anderen, die damit Probleme haben.
Top