Page 1 of 1
Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 09:50
by mushax
Hallo zusammen,
hab jetzt schon viel über Google und im Forum gesucht, bin aber nicht fündig geworden. Ich habe eine V-Server (VPS) von Hosteurope mit Plesk. Auf einer meiner eingerichteten E-Mail Accounts empfange ich täglich eine Menge an Spam Mails. Es beschleicht mich jetzt langsam der Verdacht, dass ich mir die evtl. selbst sende und somit vielleicht auch als Spammaschine diene. Grund meiner Vermutung:
Code: Select all
Betreff: ****SPAM**** Nieee mehr zu frueh kommen?
Von: seibicke@ipk.fhg.de
Datum: 15. Juli 2008 06:23:27 MESZ
An: *****@*****.de
Received: from localhost by lvps**********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 06:23:33 +0200
Message-Id: <01c8e63a$e8e6f180$94b98054@seibicke>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.1.0 (2005-09-13) on lvps**********.dedicated.hosteurope.de
X-Spam-Level: **********************
X-Spam-Status: Yes, score=22.8 required=6.0 tests=HTML_MESSAGE, MIME_HTML_MOSTLY,MPART_ALT_DIFF,RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_DUL,RCVD_IN_XBL,URIBL_AB_SURBL,URIBL_JP_SURBL, URIBL_OB_SURBL,URIBL_SBL,URIBL_SC_SURBL,URIBL_WS_SURBL autolearn=spam version=3.1.0
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_487C2645.D211B693"
und dieser Teil irritiert mich dabei am meisten:
Code: Select all
Received: from localhost by lvps**********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 06:23:33 +0200
Kann es sein, dass ein Script oder was auch immer die Mails von diesem, also meinem, Server versendet?
Ich danke euch für Tipps :)
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 09:56
by Roger Wilco
MushaX wrote:Kann es sein, dass ein Script oder was auch immer die Mails von diesem, also meinem, Server versendet?
Ja. Prüfe dein System auf Eindringlinge und sichere deine Formulare ab, mit denen Mails verschickt werden könnten.
Außerdem könnte ein Sendmail-Wrapper wie unter
http://huschi.net/11_222_de.html beschrieben Details über das verursachende Skript liefern.
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 11:02
by mushax
Hi,
vielen dank für die schnelle Nachricht. Versuche gerade das mit dem sendmail-wrapper auf die Reihe zu bekommen. Wenn ich auf der Bash diesen Code:
Code: Select all
#!/bin/sh
TODAY=`date -Iseconds`
echo $TODAY sendmail-wrapper called $USER from $PWD >>/tmp/mail.send
(echo X-Additional-Header: $(dirname $PWD);cat) | /usr/lib/sendmail-real "$@"
eingebe, dann erhalte ich:
Code: Select all
-bash: /usr/lib/sendmail-real: No such file or directory
In diesem Verzeichnis liegt bei mir sendmail, aber eben kein sendmail-real.
Da ich jetzt nichts "kaputt" machen möchte, wie mach ich das mit dem sendmail-wrapper? Habe es mithilfe der von Dir empfohlenen Seite
http://huschi.net/11_222_de.html versucht.
Ja ja ich weiß, immer die Ahnungslosen *g*
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 11:05
by Roger Wilco
Lies dir die Anleitung komplett durch...
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 11:30
by mushax
Vielen Dank für diesen Hinweis :)
Für Unerfahrene tatsächlich der beste Rat -> Langsam atmen und dann noch mal ganz in Ruhe lesen. Hat jetzt funktioniert, hab den wrapper am laufen und jetzt mal sehen was das log ausspuckt.
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 11:38
by mushax
Sry für´s Doppelpost, aber..
scheinbar kommt der Spam dann nicht über ein Script auf dem Server, oder? Habe mir gerade über ein Mailformular auf dem Server eine Mail geschickt, die auch im mail.send log des Wrappers auftaucht und den "X-Additional-Header" mit im Header hat, der Wrapper scheint also zu funktionieren. In der Zwischenzeit habe ich wieder 3 Spammails erhalten, die alle "Received: from localhost" im Header haben (aber eben nur EINE Received Zeile), aber nicht im Log auftauchen. Meine qmail-queue ist auch bei 0, es hängt also nichts und auf Open-Relay hab ich auch getestet. Wie stehen nun die Chancen?
Kommen diese Mails tatsächlich von extern? Oder kann ich noch was prüfen?
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 12:12
by Roger Wilco
MushaX wrote:Kommen diese Mails tatsächlich von extern? Oder kann ich noch was prüfen?
Die E-Mails können auch (und das ist bei näherer Betrachtung des Received-Headers auch wahrscheinlich) via SMTP von localhost eingeliefert werden ohne den Sendmail Wrapper zu nutzen. In dem Fall müsstest du die Access Logs auf die Skripte, über die E-Mails verschickt werden könnten, mit den Einträgen in deinen Mail Logs korrelieren.
Du kannst auch die Aufnahme eine TCP-Verbindung von localhost zu deinem MTA verbieten, wobei das eher die Holzhammermethode ist.
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 12:45
by Joe User
Fehlkonfiguriertes mod_proxy?
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 14:32
by mushax
Danke für Eure Antworten.
Leider beißt´s jetzt langsam aus bei mir. Kann mit Euren Empfehlungen jetzt nicht mehr soo viel anfangen. Das mit SMTP über local ist klar, nur woher kann das kommen? Habe jetzt zu dieser Domain den gesamten Inhalt mal gesichert und dann auf dem Server gelöscht, dennoch fliegen diese Mails ein. Denke also, es wird kein Script sein, welches auf dem www Space liegt.
Ich weiß, sowenig Ahnung nervt, aber habt ihr für mich vielleicht "handfestere" Tipps? Also genauere Dateibezeichnungen wenn was zu durchsuchen ist usw.? Das mit dem mod_proxy z.B., wird der in der httpd.conf konfiguriert? Habe diese gerade mal durchsucht (/etc/apache2/httpd.conf) und hab da aber nichts gefunden. Oder gibts da vielleicht HowTo´s im Netz?
Sorry wenn ich Euch da nerv, aber steh wirklich etwas auf dem Schlauch.
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 18:00
by mushax
Ich führ einfach mal Selbstgespräche ^^
Ich häng jetzt schon seit einiger Zeit im maillog und seh mir das an, wenn eine Mail kommt. Da auch Mails kommen, die kein Spam sind, kann man das recht schön ansehen was abläuft wenn eine Mail eintrifft und ebenso hab ich mir von Mailaccounts die auf diesem Server liegen Mails geschickt. Was mich jedoch etwas wundert:
Wenn eine Mail eintrifft, dann sieht das so aus (das war bei einer erwünschten Mail):
Code: Select all
relaylock: /var/qmail/bin/relaylock: mail from 82.96.***.***:49723 (******.de)
Ich war immer der Annahme, dass der relaylock bedeutet, dass eben eine Anfrage geblockt wurde, aber scheinbar nicht.
vor einer Spammail kommt dann ebenfalls dieser Eintrag, wie z.B. hier:
Code: Select all
relaylock: /var/qmail/bin/relaylock: mail from 79.164.238.172:4894 (host-79-164-238-172.qwerty.ru)
im Header der entsprechenden Mail steh dann wieder mein "beunruhigendes":
Code: Select all
Received: from localhost by lvps*********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 17:53:40 +0200
Wenn ich in diesem Fall 1 und 1 zusammenzähle, dann heißt das die Mails kommen von draussen, also ganz regulärer Spam.
Lieg ich da richtig? Aber anders geht es doch gar nicht mehr, oder?
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 18:04
by Roger Wilco
MushaX wrote:Ich war immer der Annahme, dass der relaylock bedeutet, dass eben eine Anfrage geblockt wurde, aber scheinbar nicht.
http://huschi.net/5_276_de.html
MushaX wrote:vor einer Spammail kommt dann ebenfalls dieser Eintrag, wie z.B. hier:
Code: Select all
relaylock: /var/qmail/bin/relaylock: mail from 79.164.238.172:4894 (host-79-164-238-172.qwerty.ru)
im Header der entsprechenden Mail steh dann wieder mein "beunruhigendes":
Code: Select all
Received: from localhost by lvps*********.dedicated.hosteurope.de with SpamAssassin (version 3.1.0); Tue, 15 Jul 2008 17:53:40 +0200
In diesem Fall finde ich deinen MTA (also qmail) etwas seltsam. Es sollte zumindest noch eine Received Zeile à la
Code: Select all
Received: from host-79-164-238-172.qwerty.ru [79.164.238.172] by lvps*********.dedicated.hosteurope.de
zu finden sein.
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 18:16
by mushax
Roger Wilco wrote:
In diesem Fall finde ich deinen MTA (also qmail) etwas seltsam. Es sollte zumindest noch eine Received Zeile à la
Code: Select all
Received: from host-79-164-238-172.qwerty.ru [79.164.238.172] by lvps*********.dedicated.hosteurope.de
zu finden sein.
Ja, ist komisch. Bei anderen Spams, bzw. "echten" Mails sind auch meist mehrere Received: Einträge vorhanden, eben nur nicht bei dieser penetranten Art von Spam.
Hätt da noch eine Frage, normalerweise teilt Qmail doch jeder Nachricht eine ID zu, fortlaufend, oder? Nachfolgender Schnipsel zeigt doch selbige:
Code: Select all
qmail: 1216137705.476592 new msg 703660034
Also die 703660034
Wenn das so ist, dann hab ich wieder was seltsames. Bei mir hat jede Mail die msg 703660034. Ob das jetzt was ausmacht ist natürlich fraglich.
Ich denke ich werd das jetzt dann erstmal gut sein lassen, als Spamschleuder scheint die Kiste nicht zu arbeiten.
Möchte mich auch recht herzlich für die Auskünfte bedanken, hat mir gut weitergeholfen, danke.
Re: Received: from localhost - Sende ich mir Spam selbst?
Posted: 2008-07-15 18:52
by mushax
So, ein letztes mal noch zu diesem Thema, ich hab die Lösung gefunden:
SpamAssassin schreibt diesen Header um! Habe ihn gerade deaktiviert und dann sind auch die Header in der Mail korrekt, also dann wird unter Received: auch mehr angezeigt, als nur localhost.
Vielleicht hilft das ja auch anderen, die damit Probleme haben.