Rootserver als Spamschleuder?

[micha]

Hallo,

ich habe seit mehreren Jahren einen Rootserver bei Server4you. Alles läuft wunderbar, Probleme konnte ich mit Hilfe des Forums immer beheben.
Es sind dort mehrere Web`s eingerichtet, wobei jeder Web seine eigene Domain hat. Bei manchen ist nur eine Mailweiterleitung eingerichtet, andere haben ein POP3 Postfach.

In letzter Zeit bekomme ich immer wieder Meldungen wie Mail wurde abgelehnt, da sie als Spam erkannt wurde... bei manchen steht als Absender eben mein Server drauf.
Ich habe einfach das Gefühl, dass mein Server als "Spamschleuder" benutzt wird, oder benutzt wurde.
Wie kann ich da am besten vorgehen, um herauszufinden ob da wirklich was läuft, was ich nicht laufen lassen will.

Vielen Dank für eure Hilfe

Micha

[daemotron]

Zuerst einmal solltest Du Dir die Header der betreffenden Mails ganz genau ansehen, ob es sich wirklich um Mails handelt, die über Deinen Server gelaufen sind, oder ob da nur jemand die Absenderadresse geforged hat. Wenn Du Dir dann sicher bist, dass der Spam von Deinem Server kommt, hilft Dir eine Suche hier im Forum sicher weiter - Stichworte wären Sendmail-Wrapper und Log-Abgleich.

[micha]

Hier wäre mal so eine Mail, welche mich stutzig macht.

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

mikart@t-online.de
(ultimately generated from service@xldomain.de)
SMTP error from remote mail server after end of data:
host mx03.t-online.de [194.25.134.73]: 550-5.7.0 Message considered as spam or virus, rejected
550-5.7.0 Message rejected because it was considered as spam. If you feel this
550-5.7.0 to be an error, please forward the wrong classified e-mail to our
550-5.7.0 abuse department at FPR@RX.T-ONLINE.DE with all the header lines!
550-5.7.0 We will analyse the problem and solve it. We are sorry for any
550-5.7.0 inconvenience and thank you very much in advance for your support!
550-5.7.0
550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam
550-5.7.0 eingestuft wurde. Sollten Sie dies als Fehler ansehen, bitten wir
550-5.7.0 Sie darum, die E-Mail mit allen Kopfzeilen an FPR@RX.T-ONLINE.DE
550-5.7.0 weiterzuleiten. Das Problem wird dann untersucht und geloest.
550-5.7.0 Wir bedauern, Ihnen Unbequemlichkeiten bereitet zu haben, und
550 5.7.0 bedanken uns vorab fuer Ihre freundliche Unterstuetzung!

------ This is a copy of the message, including all the headers. ------

Return-path: <service@xldomain.de>
Received: from [80.77.53.96] (helo=80.77.53.96)
by london100.server4you.de with smtp (Exim 4.63)
(envelope-from <service@xldomain.de>)
id 1MxfQw-00080l-HK
for service@xldomain.de; Tue, 13 Oct 2009 13:20:51 +0200
From: © VIAGRA ® Official Site <service@xldomain.de>
To: service@xldomain.de
Subject: Dear service@xldomain.de 79% 0FF on Pfizer !
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit

<!DOCTYPE html
PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="application/xhtml+xml; charset=UTF-8" />
<title>
News
</title>
</head>
<body>

<table border="0" cellpadding="0" cellspacing="0" style="width: 896px">


<tr><td align="center" style="font: normal 11px Verdana, sans-serif; color: #333;"><a href="http://www.rxtripper.cn" style="text-decoration: none; color: #0099ff;">Click here</a> to view as a web page. </td></tr>

<tr><td align="center">
<br />
<a href="http://www.rxtripper.cn">
<img alt="View image in browser now" width="618" height="326" src="http://mediapix.ru/pics/4b6332cbb41c89e ... 006c31.gif" style="border-width: 0px" /></a></td></tr>


<tr><td valign="top" style="border-right: 1px solid #e5e4e4; padding-right: 10px">
<table border="0" cellpadding="0" cellspacing="0" style="width: 884px">

<tr><td align="center" style="font: normal 9px Verdana, sans-serif; color: #999; padding-top: 20px">

<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">Unsubscribe</a> |
<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">Change e-mail address</a> |
<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">Privacy Policy</a> |
<a href="http://www.rxtripper.cn" style="font: 9px Verdana, sans-serif; text-decoration: none; color: #0099ff">About Us</a><br /><br />
Copyright © 2009 mznqjq Inc. All rights reserved.<br />
</td></tr>

</table>

</td>
</tr>
</table>
</body>
</html>


Was kann man daraus erkennen?

Wo kann ich diese Logfiles, welche mir Auskunft geben wann welche Mail versendet wurde, finden?

Danke erst mal


Micha

[daemotron]

Code: Select all

Received: from [80.77.53.96] (helo=80.77.53.96)
        by london100.server4you.de with smtp (Exim 4.63)
        (envelope-from <service@xldomain.de>)
        id 1MxfQw-00080l-HK
        for service@xldomain.de; Tue, 13 Oct 2009 13:20:51 +0200

Handelt es sich dabei um Deinen Server? Falls ja, kam die Mail tatsächlich von Dir.

Wo kann ich diese Logfiles, welche mir Auskunft geben wann welche Mail versendet wurde, finden?

Üblicherweise in /var/log. Suche mal im Mailserver-Log nach der Message-ID. Vielleicht kannst Du schon am Log-Eintrag erkennen, wie die Mail ins System gekippt wurde.

[micha]

Ja, es ist mein Server...

in var/log finde ich mehrere Eiträge mit heutigem Datum:
/var/log/mail.err
/var/log/mail.info
/var/log/mail.log
/var/log/mail.warn

In welcher suche ich nun am besten, oder kann ich auch einen Auszug davon posten?

[Joe User]

Code: Select all

grep '1MxfQw-00080l-HK' /var/log/mail.*

[daemotron]

Ach ja, und den Mailserver hast Du hoffentlich gestoppt? Wenn nicht, läufst Du Gefahr, eine Abmahnung zu kassieren oder sogar ne Unterlassungsklage an den Hals zu bekommen.

[micha]

Hier mal ein Auszug der letzten Stunden:

Code: Select all

Oct 14 11:20:20 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 40208 
Oct 14 11:20:20 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody 
Oct 14 11:20:20 london100 spamd[25479]: spamd: processing message <000d01ca4caf$32e49770$6400a8c0@stepmothersqjj> for web11p1:65534 
Oct 14 11:20:28 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory 
Oct 14 11:20:28 london100 spamd[25479]: spamd: identified spam (5.9/5.0) for web11p1:65534 in 8.2 seconds, 71193 bytes. 
Oct 14 11:20:28 london100 spamd[25479]: spamd: result: Y 5 - RCVD_IN_BL_SPAMCOP_NET,RDNS_NONE,SPAMMY_XMAILER,XMAILER_MIMEOLE_OL_3AC1D scantime=8.2,size=71193,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=40208,mid=<000d01ca4caf$32e49770$6400a8c0@stepmothersqjj>,autolearn=no 
Oct 14 11:20:28 london100 spamd[25478]: prefork: child states: II 
Oct 14 11:29:15 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 41048 
Oct 14 11:29:15 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody 
Oct 14 11:29:15 london100 spamd[25479]: spamd: processing message <000d01ca4cb0$b0e25b20$6400a8c0@landscaperppl853> for root:65534 
Oct 14 11:29:22 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory 
Oct 14 11:29:22 london100 spamd[25479]: spamd: identified spam (7.7/5.0) for root:65534 in 7.3 seconds, 967 bytes. 
Oct 14 11:29:22 london100 spamd[25479]: spamd: result: Y 7 - HELO_DYNAMIC_HCC,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_WEB,RDNS_DYNAMIC,STOX_REPLY_TYPE scantime=7.3,size=967,user=root,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=41048,mid=<000d01ca4cb0$b0e25b20$6400a8c0@landscaperppl853>,autolearn=no 
Oct 14 11:29:22 london100 spamd[25478]: prefork: child states: II 
Oct 14 11:57:43 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 43427 
Oct 14 11:57:43 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody 
Oct 14 11:57:43 london100 spamd[25479]: spamd: processing message <000d01ca4cb4$a1651120$6400a8c0@rigiditycr786> for web11p1:65534 
Oct 14 11:57:51 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory 
Oct 14 11:57:51 london100 spamd[25479]: spamd: identified spam (7.3/5.0) for web11p1:65534 in 8.3 seconds, 967 bytes. 
Oct 14 11:57:51 london100 spamd[25479]: spamd: result: Y 7 - FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_DUL,RDNS_DYNAMIC,STOX_REPLY_TYPE scantime=8.3,size=967,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=43427,mid=<000d01ca4cb4$a1651120$6400a8c0@rigiditycr786>,autolearn=no 
Oct 14 11:57:51 london100 spamd[25478]: prefork: child states: II 
Oct 14 14:11:26 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 54881 
Oct 14 14:11:26 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody 
Oct 14 14:11:26 london100 spamd[25479]: spamd: processing message <000d01ca4cc7$51248070$6400a8c0@rodgerzuw> for root:65534 
Oct 14 14:11:34 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory 
Oct 14 14:11:34 london100 spamd[25479]: spamd: identified spam (6.6/5.0) for root:65534 in 8.3 seconds, 985 bytes. 
Oct 14 14:11:34 london100 spamd[25479]: spamd: result: Y 6 - FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR2,RDNS_DYNAMIC,STOX_REPLY_TYPE,TVD_RCVD_IP scantime=8.3,size=985,user=root,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=54881,mid=<000d01ca4cc7$51248070$6400a8c0@rodgerzuw>,autolearn=no 
Oct 14 14:11:34 london100 spamd[25478]: prefork: child states: II 
Oct 14 14:28:36 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 39303 
Oct 14 14:28:36 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody 
Oct 14 14:28:36 london100 spamd[25479]: spamd: processing message <000d01ca4cc9$be7bc3c0$6400a8c0@aesthete6> for web11p1:65534 
Oct 14 14:28:43 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory 
Oct 14 14:28:43 london100 spamd[25479]: spamd: clean message (2.3/5.0) for web11p1:65534 in 7.3 seconds, 953 bytes. 
Oct 14 14:28:43 london100 spamd[25479]: spamd: result: . 2 - RCVD_IN_BL_SPAMCOP_NET,RDNS_NONE,STOX_REPLY_TYPE scantime=7.3,size=953,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=39303,mid=<000d01ca4cc9$be7bc3c0$6400a8c0@aesthete6>,autolearn=no 
Oct 14 14:28:43 london100 spamd[25478]: prefork: child states: II 
Oct 14 15:27:09 london100 spamd[25479]: spamd: connection from localhost.localdomain [127.0.0.1] at port 56289 
Oct 14 15:27:09 london100 spamd[25479]: spamd: still running as root: user not specified with -u, not found, or set to root, falling back to nobody 
Oct 14 15:27:09 london100 spamd[25479]: spamd: processing message <001301ca4ceb$31982300$047ab28c@yousif> for web11p1:65534 
Oct 14 15:27:20 london100 spamd[25479]: auto-whitelist: open of auto-whitelist file failed: locker: safe_lock: cannot create tmp lockfile /nonexistent/.spamassassin/auto-whitelist.lock.london100.server4you.de.25479 for /nonexistent/.spamassassin/auto-whitelist.lock: No such file or directory 
Oct 14 15:27:20 london100 spamd[25479]: spamd: identified spam (16.1/5.0) for web11p1:65534 in 10.3 seconds, 1548 bytes. 
Oct 14 15:27:20 london100 spamd[25479]: spamd: result: Y 16 - HELO_DYNAMIC_IPADDR,RDNS_NONE,STOX_REPLY_TYPE,TVD_FINGER_02,URIBL_BLACK,URIBL_JP_SURBL,URIBL_RHS_DOB,URIBL_SC_SURBL,URIBL_WS_SURBL scantime=10.3,size=1548,user=web11p1,uid=65534,required_score=5.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=56289,mid=<001301ca4ceb$31982300$047ab28c@yousif>,autolearn=failed 
Oct 14 15:27:20 london100 spamd[25478]: prefork: child states: II 

Sieht doch aus wie.....


Wie kann ich nun am besten vorgehen, um diesen Missbrauch zu stoppen?

Wenn ich den ganzen Mailserver stoppe, kann ich ja meine ganzen Programme nicht mehr nutzen, da die meisten ja doch eine Mailfunktion haben.

Da gibt es doch bestimmt Möglichkeiten um das zu beenden.

Hat da jemand eine Idee dazu?


Danke


Micha

[micha]

Hallo,

hab mir jetzt den web11 mal angeschaut, bei diesem programm finden normalerweise keinerlei Mailzugriffe statt.
Im Web11 Postfach waren 283 eingegangene, aber als Spam erkannte mails.
Im Ordner gesendet war nichts, im Papierkorb war auch nichts.

Wenn ich das richtig sehe, müsste ja jemand Zugriff auf pop3 von web11 gehabt haben und dann die Mails versendet.

Nun habe ich das Passwort geändert, mal sehen was nun passiert.
Kann das ausser einer passwortfuntion sonst irgendwie verhindert werden?

Vielen danke erst mal


Micha

[Joe User]

Was gibt denn mein grep aus?

[micha]

was ist 2mein grep"??

Sorry, habe ich so noch nie gehört

Micha

[Roger Wilco]

http://www.rootforum.org/forum/viewtopi ... 56#p315056