Received: from localhost - Sende ich mir Spam selbst?

[mushax]

Hallo zusammen,

hab jetzt schon viel über Google und im Forum gesucht, bin aber nicht fündig geworden. Ich habe eine V-Server (VPS) von Hosteurope mit Plesk. Auf einer meiner eingerichteten E-Mail Accounts empfange ich täglich eine Menge an Spam Mails. Es beschleicht mich jetzt langsam der Verdacht, dass ich mir die evtl. selbst sende und somit vielleicht auch als Spammaschine diene. Grund meiner Vermutung:

Code: Select all

Betreff: 	****SPAM**** Nieee mehr zu frueh kommen?
	Von: 	seibicke@ipk.fhg.de
	Datum: 	15. Juli 2008 06:23:27 MESZ
	An: 	*****@*****.de
	Received: 	from localhost by lvps**********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 06:23:33 +0200
	Message-Id: 	<01c8e63a$e8e6f180$94b98054@seibicke>
	X-Spam-Flag: 	YES
	X-Spam-Checker-Version: 	SpamAssassin 3.1.0 (2005-09-13) on  lvps**********.dedicated.hosteurope.de
	X-Spam-Level: 	**********************
	X-Spam-Status: 	Yes, score=22.8 required=6.0 tests=HTML_MESSAGE, MIME_HTML_MOSTLY,MPART_ALT_DIFF,RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_DUL,RCVD_IN_XBL,URIBL_AB_SURBL,URIBL_JP_SURBL, URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL autolearn=spam  version=3.1.0
	Mime-Version: 	1.0
	Content-Type: 	multipart/mixed; boundary="----------=_487C2645.D211B693"

und dieser Teil irritiert mich dabei am meisten:

Code: Select all

Received: 	from localhost by lvps**********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 06:23:33 +0200

Kann es sein, dass ein Script oder was auch immer die Mails von diesem, also meinem, Server versendet?
Ich danke euch für Tipps :)

[Roger Wilco]

Kann es sein, dass ein Script oder was auch immer die Mails von diesem, also meinem, Server versendet?

Ja. Prüfe dein System auf Eindringlinge und sichere deine Formulare ab, mit denen Mails verschickt werden könnten.

Außerdem könnte ein Sendmail-Wrapper wie unter http://huschi.net/11_222_de.html beschrieben Details über das verursachende Skript liefern.

[mushax]

Hi,

vielen dank für die schnelle Nachricht. Versuche gerade das mit dem sendmail-wrapper auf die Reihe zu bekommen. Wenn ich auf der Bash diesen Code:

Code: Select all

#!/bin/sh
TODAY=`date -Iseconds`
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/lib/sendmail-real "$@"

eingebe, dann erhalte ich:

Code: Select all

-bash: /usr/lib/sendmail-real: No such file or directory

In diesem Verzeichnis liegt bei mir sendmail, aber eben kein sendmail-real.

Da ich jetzt nichts "kaputt" machen möchte, wie mach ich das mit dem sendmail-wrapper? Habe es mithilfe der von Dir empfohlenen Seite http://huschi.net/11_222_de.html versucht.

Ja ja ich weiß, immer die Ahnungslosen *g*

[Roger Wilco]

Lies dir die Anleitung komplett durch...

[mushax]

Vielen Dank für diesen Hinweis :)

Für Unerfahrene tatsächlich der beste Rat -> Langsam atmen und dann noch mal ganz in Ruhe lesen. Hat jetzt funktioniert, hab den wrapper am laufen und jetzt mal sehen was das log ausspuckt.

[mushax]

Sry für´s Doppelpost, aber..

scheinbar kommt der Spam dann nicht über ein Script auf dem Server, oder? Habe mir gerade über ein Mailformular auf dem Server eine Mail geschickt, die auch im mail.send log des Wrappers auftaucht und den "X-Additional-Header" mit im Header hat, der Wrapper scheint also zu funktionieren. In der Zwischenzeit habe ich wieder 3 Spammails erhalten, die alle "Received: from localhost" im Header haben (aber eben nur EINE Received Zeile), aber nicht im Log auftauchen. Meine qmail-queue ist auch bei 0, es hängt also nichts und auf Open-Relay hab ich auch getestet. Wie stehen nun die Chancen?

Kommen diese Mails tatsächlich von extern? Oder kann ich noch was prüfen?

[Roger Wilco]

Kommen diese Mails tatsächlich von extern? Oder kann ich noch was prüfen?

Die E-Mails können auch (und das ist bei näherer Betrachtung des Received-Headers auch wahrscheinlich) via SMTP von localhost eingeliefert werden ohne den Sendmail Wrapper zu nutzen. In dem Fall müsstest du die Access Logs auf die Skripte, über die E-Mails verschickt werden könnten, mit den Einträgen in deinen Mail Logs korrelieren.

Du kannst auch die Aufnahme eine TCP-Verbindung von localhost zu deinem MTA verbieten, wobei das eher die Holzhammermethode ist.

[Joe User]

Fehlkonfiguriertes mod_proxy?

[mushax]

Danke für Eure Antworten.

Leider beißt´s jetzt langsam aus bei mir. Kann mit Euren Empfehlungen jetzt nicht mehr soo viel anfangen. Das mit SMTP über local ist klar, nur woher kann das kommen? Habe jetzt zu dieser Domain den gesamten Inhalt mal gesichert und dann auf dem Server gelöscht, dennoch fliegen diese Mails ein. Denke also, es wird kein Script sein, welches auf dem www Space liegt.

Ich weiß, sowenig Ahnung nervt, aber habt ihr für mich vielleicht "handfestere" Tipps? Also genauere Dateibezeichnungen wenn was zu durchsuchen ist usw.? Das mit dem mod_proxy z.B., wird der in der httpd.conf konfiguriert? Habe diese gerade mal durchsucht (/etc/apache2/httpd.conf) und hab da aber nichts gefunden. Oder gibts da vielleicht HowTo´s im Netz?

Sorry wenn ich Euch da nerv, aber steh wirklich etwas auf dem Schlauch.

[mushax]

Ich führ einfach mal Selbstgespräche ^^

Ich häng jetzt schon seit einiger Zeit im maillog und seh mir das an, wenn eine Mail kommt. Da auch Mails kommen, die kein Spam sind, kann man das recht schön ansehen was abläuft wenn eine Mail eintrifft und ebenso hab ich mir von Mailaccounts die auf diesem Server liegen Mails geschickt. Was mich jedoch etwas wundert:

Wenn eine Mail eintrifft, dann sieht das so aus (das war bei einer erwünschten Mail):

Code: Select all

relaylock: /var/qmail/bin/relaylock: mail from 82.96.***.***:49723 (******.de)

Ich war immer der Annahme, dass der relaylock bedeutet, dass eben eine Anfrage geblockt wurde, aber scheinbar nicht.

vor einer Spammail kommt dann ebenfalls dieser Eintrag, wie z.B. hier:

Code: Select all

relaylock: /var/qmail/bin/relaylock: mail from 79.164.238.172:4894 (host-79-164-238-172.qwerty.ru)

im Header der entsprechenden Mail steh dann wieder mein "beunruhigendes":

Code: Select all

Received: 	from localhost by lvps*********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 17:53:40 +0200

Wenn ich in diesem Fall 1 und 1 zusammenzähle, dann heißt das die Mails kommen von draussen, also ganz regulärer Spam.

Lieg ich da richtig? Aber anders geht es doch gar nicht mehr, oder?

[Roger Wilco]

Ich war immer der Annahme, dass der relaylock bedeutet, dass eben eine Anfrage geblockt wurde, aber scheinbar nicht.

http://huschi.net/5_276_de.html

vor einer Spammail kommt dann ebenfalls dieser Eintrag, wie z.B. hier:

Code: Select all

relaylock: /var/qmail/bin/relaylock: mail from 79.164.238.172:4894 (host-79-164-238-172.qwerty.ru)

im Header der entsprechenden Mail steh dann wieder mein "beunruhigendes":

Code: Select all

Received: 	from localhost by lvps*********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 17:53:40 +0200

In diesem Fall finde ich deinen MTA (also qmail) etwas seltsam. Es sollte zumindest noch eine Received Zeile à la

Code: Select all

Received: 	from host-79-164-238-172.qwerty.ru [79.164.238.172] by lvps*********.dedicated.hosteurope.de

zu finden sein.

[mushax]

In diesem Fall finde ich deinen MTA (also qmail) etwas seltsam. Es sollte zumindest noch eine Received Zeile à la

Code: Select all

Received: 	from host-79-164-238-172.qwerty.ru [79.164.238.172] by lvps*********.dedicated.hosteurope.de

zu finden sein.

Ja, ist komisch. Bei anderen Spams, bzw. "echten" Mails sind auch meist mehrere Received: Einträge vorhanden, eben nur nicht bei dieser penetranten Art von Spam.

Hätt da noch eine Frage, normalerweise teilt Qmail doch jeder Nachricht eine ID zu, fortlaufend, oder? Nachfolgender Schnipsel zeigt doch selbige:

Code: Select all

qmail: 1216137705.476592 new msg 703660034

Also die 703660034

Wenn das so ist, dann hab ich wieder was seltsames. Bei mir hat jede Mail die msg 703660034. Ob das jetzt was ausmacht ist natürlich fraglich.
Ich denke ich werd das jetzt dann erstmal gut sein lassen, als Spamschleuder scheint die Kiste nicht zu arbeiten.

Möchte mich auch recht herzlich für die Auskünfte bedanken, hat mir gut weitergeholfen, danke.

[mushax]

So, ein letztes mal noch zu diesem Thema, ich hab die Lösung gefunden:

SpamAssassin schreibt diesen Header um! Habe ihn gerade deaktiviert und dann sind auch die Header in der Mail korrekt, also dann wird unter Received: auch mehr angezeigt, als nur localhost.

Vielleicht hilft das ja auch anderen, die damit Probleme haben.