RootForum Community

Resources for System-Administrators
https://www.rootforum.org/forum/

Ist das Spam?

https://www.rootforum.org/forum/viewtopic.php?t=54338

Page 1 of 1

Ist das Spam?

Posted: 2013-10-24 21:16
by peppich01
Hallo

kann mir bitte mal jemand sagen, ob ich bei der Interpretation folgender Log-Zeilen richtig liege? handelt es sich hier um Spam?

Code: Select all

Oct 24 17:38:19 hostname postfix/smtpd[24610]: A5B8D1BA08E5: client=localhost[127.0.0.1]
Oct 24 17:38:19 hostname postfix/cleanup[24613]: A5B8D1BA08E5: message-id=<20131024203359.2570.qmail@mailzq.mail.servername.de>
Oct 24 17:38:20 hostname postfix/qmgr[25905]: A5B8D1BA08E5: from=<xxxxxxx@dbcent.dk>, size=1277, nrcpt=1 (queue active)
Oct 24 17:38:20 hostname postfix/smtp[24614]: A5B8D1BA08E5: to=<yyyyyyy@hotamil.es>, relay=127.0.0.1[127.0.0.1]:10024, delay=1, delays=0.44/0.15/0/0.41, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=02078-14, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 58A271BA0A11)
Oct 24 17:38:20 hostname postfix/qmgr[25905]: A5B8D1BA08E5: removed
Die erste Zeile besagt, dass SMTPD eine lokale Verbindung angenommen hat. Also .z.B. PHP. Richtig?

In der zweiten Zeile vergibt Postfix eine Message-Id. Warum mit "mailqz."? Mein Server heißt mail.servername.de (verfremdet). Andere Emails werden z.B. mit 20131024203359.2570@mail.servername.de gekennzeichnet.

Zeile 3 = Mailgröße und Anzahl der Empfänger

Zeile4 = Empfängeradresse und lokales Relay. Außerdem wird die Email gequeued. Vermutlich wegen des Tippfehlers "hotamil.es".

Zeile5 = Email gelöscht.

Wie kriege ich nun raus wer (welches Script) diese Email versendet hat?


Freundliche Grüße
Peter

Re: Ist das Spam?

Posted: 2013-10-25 03:06
by Joe User
Zeile 1: Richtig.
Zeile 2: Die Message-Id kann beliebig vorgegeben werden und darf dann von anderen Mailservern nicht mehr verändert werden.
Zeile 3-5: Richtig.

Im Nachhinein bekommst Du es nicht mehr heraus, ausser der Absender hat andere Spuren hinterlassen (etwa im Log des Webservers). Aber Du kannst Dich künftig dagegen schützen beziehungsweise Dir das Auffinden erleichtern.
Dazu benötigst Du einen sogenannten sendmail-wrapper zum Loggen lokaler Verbindungen über das /usr/sbin/sendmail Binary und zusätzlich aktivierst Du auch für Verbindungen aus dem lokalen Netzwerk SMTP-AUTH.

Zeig mal bitte Deine main.cf
All times are UTC+01:00
Page 1 of 1