Ist das Spam?

peppich01
Posts: 1
Joined: 2013-10-24 21:07

Ist das Spam?

Post by peppich01 »

Hallo

kann mir bitte mal jemand sagen, ob ich bei der Interpretation folgender Log-Zeilen richtig liege? handelt es sich hier um Spam?

Code: Select all

Oct 24 17:38:19 hostname postfix/smtpd[24610]: A5B8D1BA08E5: client=localhost[127.0.0.1]
Oct 24 17:38:19 hostname postfix/cleanup[24613]: A5B8D1BA08E5: message-id=<20131024203359.2570.qmail@mailzq.mail.servername.de>
Oct 24 17:38:20 hostname postfix/qmgr[25905]: A5B8D1BA08E5: from=<xxxxxxx@dbcent.dk>, size=1277, nrcpt=1 (queue active)
Oct 24 17:38:20 hostname postfix/smtp[24614]: A5B8D1BA08E5: to=<yyyyyyy@hotamil.es>, relay=127.0.0.1[127.0.0.1]:10024, delay=1, delays=0.44/0.15/0/0.41, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=02078-14, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 58A271BA0A11)
Oct 24 17:38:20 hostname postfix/qmgr[25905]: A5B8D1BA08E5: removed


Die erste Zeile besagt, dass SMTPD eine lokale Verbindung angenommen hat. Also .z.B. PHP. Richtig?

In der zweiten Zeile vergibt Postfix eine Message-Id. Warum mit "mailqz."? Mein Server heißt mail.servername.de (verfremdet). Andere Emails werden z.B. mit 20131024203359.2570@mail.servername.de gekennzeichnet.

Zeile 3 = Mailgröße und Anzahl der Empfänger

Zeile4 = Empfängeradresse und lokales Relay. Außerdem wird die Email gequeued. Vermutlich wegen des Tippfehlers "hotamil.es".

Zeile5 = Email gelöscht.

Wie kriege ich nun raus wer (welches Script) diese Email versendet hat?


Freundliche Grüße
Peter
Top

User avatar
Joe User
Project Manager
Project Manager
Posts: 11518
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Ist das Spam?

Post by Joe User »

Zeile 1: Richtig.
Zeile 2: Die Message-Id kann beliebig vorgegeben werden und darf dann von anderen Mailservern nicht mehr verändert werden.
Zeile 3-5: Richtig.

Im Nachhinein bekommst Du es nicht mehr heraus, ausser der Absender hat andere Spuren hinterlassen (etwa im Log des Webservers). Aber Du kannst Dich künftig dagegen schützen beziehungsweise Dir das Auffinden erleichtern.
Dazu benötigst Du einen sogenannten sendmail-wrapper zum Loggen lokaler Verbindungen über das /usr/sbin/sendmail Binary und zusätzlich aktivierst Du auch für Verbindungen aus dem lokalen Netzwerk SMTP-AUTH.

Zeig mal bitte Deine main.cf
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Top