Rootserver als Spamschleuder?

Postfix, QMail, Sendmail, Dovecot, Cyrus, Courier, Anti-Spam
micha
Posts: 11
Joined: 2007-06-10 13:54

Rootserver als Spamschleuder?

Post by micha » 2009-10-13 21:51

Hallo,

ich habe seit mehreren Jahren einen Rootserver bei Server4you. Alles läuft wunderbar, Probleme konnte ich mit Hilfe des Forums immer beheben.
Es sind dort mehrere Web`s eingerichtet, wobei jeder Web seine eigene Domain hat. Bei manchen ist nur eine Mailweiterleitung eingerichtet, andere haben ein POP3 Postfach.

In letzter Zeit bekomme ich immer wieder Meldungen wie Mail wurde abgelehnt, da sie als Spam erkannt wurde... bei manchen steht als Absender eben mein Server drauf.
Ich habe einfach das Gefühl, dass mein Server als "Spamschleuder" benutzt wird, oder benutzt wurde.
Wie kann ich da am besten vorgehen, um herauszufinden ob da wirklich was läuft, was ich nicht laufen lassen will.

Vielen Dank für eure Hilfe

Micha

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Rootserver als Spamschleuder?

Post by daemotron » 2009-10-13 22:01

Zuerst einmal solltest Du Dir die Header der betreffenden Mails ganz genau ansehen, ob es sich wirklich um Mails handelt, die über Deinen Server gelaufen sind, oder ob da nur jemand die Absenderadresse geforged hat. Wenn Du Dir dann sicher bist, dass der Spam von Deinem Server kommt, hilft Dir eine Suche hier im Forum sicher weiter - Stichworte wären Sendmail-Wrapper und Log-Abgleich.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

micha
Posts: 11
Joined: 2007-06-10 13:54

Re: Rootserver als Spamschleuder?

Post by micha » 2009-10-13 22:16

Hier wäre mal so eine Mail, welche mich stutzig macht.

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

mikart@t-online.de
(ultimately generated from service@xldomain.de)
SMTP error from remote mail server after end of data:
host mx03.t-online.de [194.25.134.73]: 550-5.7.0 Message considered as spam or virus, rejected
550-5.7.0 Message rejected because it was considered as spam. If you feel this
550-5.7.0 to be an error, please forward the wrong classified e-mail to our
550-5.7.0 abuse department at FPR@RX.T-ONLINE.DE with all the header lines!
550-5.7.0 We will analyse the problem and solve it. We are sorry for any
550-5.7.0 inconvenience and thank you very much in advance for your support!
550-5.7.0
550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam
550-5.7.0 eingestuft wurde. Sollten Sie dies als Fehler ansehen, bitten wir
550-5.7.0 Sie darum, die E-Mail mit allen Kopfzeilen an FPR@RX.T-ONLINE.DE
550-5.7.0 weiterzuleiten. Das Problem wird dann untersucht und geloest.
550-5.7.0 Wir bedauern, Ihnen Unbequemlichkeiten bereitet zu haben, und
550 5.7.0 bedanken uns vorab fuer Ihre freundliche Unterstuetzung!

------ This is a copy of the message, including all the headers. ------

Return-path: <service@xldomain.de>
Received: from [80.77.53.96] (helo=80.77.53.96)
by london100.server4you.de with smtp (Exim 4.63)
(envelope-from <service@xldomain.de>)
id 1MxfQw-00080l-HK
for service@xldomain.de; Tue, 13 Oct 2009 13:20:51 +0200
From: © VIAGRA ® Official Site <service@xldomain.de>
To: service@xldomain.de
Subject: Dear service@xldomain.de 79% 0FF on Pfizer !
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit

<!DOCTYPE html
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="application/xhtml+xml; charset=UTF-8" />
<title>
News
</title>
</head>
<body>

<table border="0" cellpadding="0" cellspacing="0" style="width: 896px">


<tr><td align="center" style="font: normal 11px Verdana, sans-serif; color: #333;"><a href="http://www.rxtripper.cn" style="text-decoration: none; color: #0099ff;">Click here</a> to view as a web page. </td></tr>

<tr><td align="center">
<br />
<a href="http://www.rxtripper.cn">
<img alt="View image in browser now" width="618" height="326" src="http://mediapix.ru/pics/4b6332cbb41c89e2d9d80f727f006c31.gif" style="border-width: 0px" /></a></td></tr>


<tr><td valign="top" style="border-right: 1px solid #e5e4e4; padding-right: 10px">
<table border="0" cellpadding="0" cellspacing="0" style="width: 884px">

<tr><td align="center" style="font: normal 9px Verdana, sans-serif; color: #999; padding-top: 20px">

<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">Unsubscribe</a> |
<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">Change e-mail address</a> |
<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">Privacy Policy</a> |
<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">About Us</a><br /><br />
Copyright © 2009 mznqjq Inc. All rights reserved.<br />
</td></tr>

</table>

</td>
</tr>
</table>
</body>
</html>


Was kann man daraus erkennen?

Wo kann ich diese Logfiles, welche mir Auskunft geben wann welche Mail versendet wurde, finden?

Danke erst mal


Micha

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Rootserver als Spamschleuder?

Post by daemotron » 2009-10-13 22:44

Micha wrote:

Code: Select all

Received: from [80.77.53.96] (helo=80.77.53.96)
        by london100.server4you.de with smtp (Exim 4.63)
        (envelope-from <service@xldomain.de>)
        id 1MxfQw-00080l-HK
        for service@xldomain.de; Tue, 13 Oct 2009 13:20:51 +0200

Handelt es sich dabei um Deinen Server? Falls ja, kam die Mail tatsächlich von Dir.

Micha wrote:Wo kann ich diese Logfiles, welche mir Auskunft geben wann welche Mail versendet wurde, finden?

Üblicherweise in /var/log. Suche mal im Mailserver-Log nach der Message-ID. Vielleicht kannst Du schon am Log-Eintrag erkennen, wie die Mail ins System gekippt wurde.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

micha
Posts: 11
Joined: 2007-06-10 13:54

Re: Rootserver als Spamschleuder?

Post by micha » 2009-10-13 23:35

Ja, es ist mein Server...

in var/log finde ich mehrere Eiträge mit heutigem Datum:
/var/log/mail.err
/var/log/mail.info
/var/log/mail.log
/var/log/mail.warn

In welcher suche ich nun am besten, oder kann ich auch einen Auszug davon posten?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Rootserver als Spamschleuder?

Post by Joe User » 2009-10-14 09:53

Code: Select all

grep '1MxfQw-00080l-HK' /var/log/mail.*
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: Rootserver als Spamschleuder?

Post by daemotron » 2009-10-14 10:42

Ach ja, und den Mailserver hast Du hoffentlich gestoppt? Wenn nicht, läufst Du Gefahr, eine Abmahnung zu kassieren oder sogar ne Unterlassungsklage an den Hals zu bekommen.
“Some humans would do anything to see if it was possible to do it. If you put a large switch in some cave somewhere, with a sign on it saying 'End-of-the-World Switch. PLEASE DO NOT TOUCH', the paint wouldn't even have time to dry.” — Terry Pratchett, Thief of Time

micha
Posts: 11
Joined: 2007-06-10 13:54

Re: Rootserver als Spamschleuder?

Post by micha » 2009-10-14 16:05

Hier mal ein Auszug der letzten Stunden:


Code: Select all

Oct 14 11:20:20 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 40208 
Oct 14 11:20:20 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Oct 14 11:20:20 london100 spamd[25479]: spamd: processing message <000d01ca4caf$32e49770$6400a8c0@stepmothersqjj> for web11p1:65534
Oct 14 11:20:28 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory
Oct 14 11:20:28 london100 spamd[25479]: spamd: identified spam (5.9/5.0) for web11p1:65534 in 8.2 seconds, 71193 bytes.
Oct 14 11:20:28 london100 spamd[25479]: spamd: result: Y 5 - RCVD_IN_BL_SPAMCOP_NET,RDNS_NONE,SPAMMY_XMAILER,XMAILER_MIMEOLE_OL_3AC1D scantime=8.2,size=71193,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=40208,mid=<000d01ca4caf$32e49770$6400a8c0@stepmothersqjj>,autolearn=no
Oct 14 11:20:28 london100 spamd[25478]: prefork: child states: II
Oct 14 11:29:15 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 41048
Oct 14 11:29:15 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Oct 14 11:29:15 london100 spamd[25479]: spamd: processing message <000d01ca4cb0$b0e25b20$6400a8c0@landscaperppl853> for root:65534
Oct 14 11:29:22 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory
Oct 14 11:29:22 london100 spamd[25479]: spamd: identified spam (7.7/5.0) for root:65534 in 7.3 seconds, 967 bytes.
Oct 14 11:29:22 london100 spamd[25479]: spamd: result: Y 7 - HELO_DYNAMIC_HCC,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_WEB,RDNS_DYNAMIC,STOX_REPLY_TYPE scantime=7.3,size=967,user=root,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=41048,mid=<000d01ca4cb0$b0e25b20$6400a8c0@landscaperppl853>,autolearn=no
Oct 14 11:29:22 london100 spamd[25478]: prefork: child states: II
Oct 14 11:57:43 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 43427
Oct 14 11:57:43 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Oct 14 11:57:43 london100 spamd[25479]: spamd: processing message <000d01ca4cb4$a1651120$6400a8c0@rigiditycr786> for web11p1:65534
Oct 14 11:57:51 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory
Oct 14 11:57:51 london100 spamd[25479]: spamd: identified spam (7.3/5.0) for web11p1:65534 in 8.3 seconds, 967 bytes.
Oct 14 11:57:51 london100 spamd[25479]: spamd: result: Y 7 - FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_DUL,RDNS_DYNAMIC,STOX_REPLY_TYPE scantime=8.3,size=967,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=43427,mid=<000d01ca4cb4$a1651120$6400a8c0@rigiditycr786>,autolearn=no
Oct 14 11:57:51 london100 spamd[25478]: prefork: child states: II
Oct 14 14:11:26 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 54881
Oct 14 14:11:26 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Oct 14 14:11:26 london100 spamd[25479]: spamd: processing message <000d01ca4cc7$51248070$6400a8c0@rodgerzuw> for root:65534
Oct 14 14:11:34 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory
Oct 14 14:11:34 london100 spamd[25479]: spamd: identified spam (6.6/5.0) for root:65534 in 8.3 seconds, 985 bytes.
Oct 14 14:11:34 london100 spamd[25479]: spamd: result: Y 6 - FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR2,RDNS_DYNAMIC,STOX_REPLY_TYPE,TVD_RCVD_IP scantime=8.3,size=985,user=root,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=54881,mid=<000d01ca4cc7$51248070$6400a8c0@rodgerzuw>,autolearn=no
Oct 14 14:11:34 london100 spamd[25478]: prefork: child states: II
Oct 14 14:28:36 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 39303
Oct 14 14:28:36 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Oct 14 14:28:36 london100 spamd[25479]: spamd: processing message <000d01ca4cc9$be7bc3c0$6400a8c0@aesthete6> for web11p1:65534
Oct 14 14:28:43 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory
Oct 14 14:28:43 london100 spamd[25479]: spamd: clean message (2.3/5.0) for web11p1:65534 in 7.3 seconds, 953 bytes.
Oct 14 14:28:43 london100 spamd[25479]: spamd: result: . 2 - RCVD_IN_BL_SPAMCOP_NET,RDNS_NONE,STOX_REPLY_TYPE scantime=7.3,size=953,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=39303,mid=<000d01ca4cc9$be7bc3c0$6400a8c0@aesthete6>,autolearn=no
Oct 14 14:28:43 london100 spamd[25478]: prefork: child states: II
Oct 14 15:27:09 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 56289
Oct 14 15:27:09 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody
Oct 14 15:27:09 london100 spamd[25479]: spamd: processing message <001301ca4ceb$31982300$047ab28c@yousif> for web11p1:65534
Oct 14 15:27:20 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory
Oct 14 15:27:20 london100 spamd[25479]: spamd: identified spam (16.1/5.0) for web11p1:65534 in 10.3 seconds, 1548 bytes.
Oct 14 15:27:20 london100 spamd[25479]: spamd: result: Y 16 - HELO_DYNAMIC_IPADDR,RDNS_NONE,STOX_REPLY_TYPE,TVD_FINGER_02,URIBL_BLACK,URIBL_JP_SURBL,URIBL_RHS_DOB,URIBL_SC_SURBL,URIBL_WS_SURBL scantime=10.3,size=1548,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=56289,mid=<001301ca4ceb$31982300$047ab28c@yousif>,autolearn=failed
Oct 14 15:27:20 london100 spamd[25478]: prefork: child states: II



Sieht doch aus wie.....


Wie kann ich nun am besten vorgehen, um diesen Missbrauch zu stoppen?

Wenn ich den ganzen Mailserver stoppe, kann ich ja meine ganzen Programme nicht mehr nutzen, da die meisten ja doch eine Mailfunktion haben.

Da gibt es doch bestimmt Möglichkeiten um das zu beenden.

Hat da jemand eine Idee dazu?


Danke


Micha
Last edited by Roger Wilco on 2009-10-14 16:16, edited 1 time in total.
Reason: CODE-Tags nächstes mal bitte selbst setzen!

micha
Posts: 11
Joined: 2007-06-10 13:54

Re: Rootserver als Spamschleuder?

Post by micha » 2009-10-14 21:18

Hallo,

hab mir jetzt den web11 mal angeschaut, bei diesem programm finden normalerweise keinerlei Mailzugriffe statt.
Im Web11 Postfach waren 283 eingegangene, aber als Spam erkannte mails.
Im Ordner gesendet war nichts, im Papierkorb war auch nichts.

Wenn ich das richtig sehe, müsste ja jemand Zugriff auf pop3 von web11 gehabt haben und dann die Mails versendet.

Nun habe ich das Passwort geändert, mal sehen was nun passiert.
Kann das ausser einer passwortfuntion sonst irgendwie verhindert werden?

Vielen danke erst mal


Micha

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Rootserver als Spamschleuder?

Post by Joe User » 2009-10-14 23:57

Was gibt denn mein grep aus?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

micha
Posts: 11
Joined: 2007-06-10 13:54

Re: Rootserver als Spamschleuder?

Post by micha » 2009-10-15 00:40

was ist 2mein grep"??

Sorry, habe ich so noch nie gehört

Micha

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: Rootserver als Spamschleuder?

Post by Roger Wilco » 2009-10-15 01:06