ich wende mich aus der Not heraus und am Ende meines Wissens an euch.
Bei 1und1 betreibe ich einen RootServer. - dieser wird seit einigen Tagen zur SPAM Schleuder.
Der superduper 1und1 Service hilft mir leider nicht weiter um das Problem zu orten und zu beheben. Mails und Anrufe ohne Erfolg und ohne Antwort.
Der Server:
- OS CentOS 6.6 (Final)
Plesk Version 12.0.18 Update #44, zuletzt aktualisiert: 24. April 2015 03:18:47
Das System ist auf dem neuesten Stand, zuletzt überprüft: 1. Mai 2015 03:27:45
Installierter Mailserver Postfix
Installierte IMAP-/POP3-Server Courier-IMAP
- eine einzige Domain sendet ständig Mails von nicht bestehenden Postfächern
es existiert das üblich info@BlaBlaDomainBlaBla.de und einige weitere Adressen.
Es wird von LaraZimmer@.... GeilesLider@.... etc versendet – diese Postfächer gibt es nicht.
- Es sind deutlich über 600 Mails jede Stunde die auf diese Weise gesendet werden und damit zum Eintrag auf den Spam-Listen dieser Welt führen.
Es ist nur diese ein]e Domain betroffen und als FakeMail Adressen Versender aktiv.
- - Update prüfung / Updates in der Konsole mit YUM
- Limit für Mail Menge gesetzt – Plesk Postausgangskontrolle auf 60 Mails/Stunde/Kundendomain
- alle Postfach Passwörter, FTP Passworte und Plesk Passworte des Kunden neu gesetzt (lange sichere Passworte)
- alle alten ungenutzten Subdomains und Verzeichnisse gelöscht
- Reste einer früheren alten Homepage (phpfusion) gelöscht
- Mail Massen in der Mail-Warteschlange gelöscht (per Konsole und in Plesk je nach Menge)
- alle PCs des Kunden auf Viren geprüft
- Mail Programme beim Kunden neu eingerichtet (Thunderbird, Postfächer neu mit PWD versehen)
- Analyse des Servers mit Watchdog – ohne Befund
- Server neu gestartet
- Austragung aus den Spam Listen
- Info per Telefon und Mail an das 1&1 SPAM-Team, Abuse-Team und den tollen Support.
Ergebnis:
- - in der Domain läuft nur noch ein Webshop (Gambio=OSCommerce)
- Spam wird noch immer erzeugt aber in der Masse durch das Limit eingedämmt
- der Kunde kann keine Mails senden weil das Limit sofort erreicht ist dank Spam-Listen
- - In der E-Mail Warteschlange habe ich auf den Betreff einiger Mails geklickt.
- es wird immer ein PHP-Mailer im Header angegeben.
- - irgendwor ist ein PHP Mailer auf dem System unsicher und ungefunde aktiv.
Bei den 1und1 Managed Server scheint es ein extra Tool zu geben um nach unsicheren Dateien CMSen etc zu suchen.
(Kunde hatte einen Managed Server und wurde damals nach Hack von 1und1 gescannt...) Leider kenne ich nichts vergleichbares für meinen RootServer.
Hilferuf:
- - Wie finde ich heraus wo und welcher es ist und kann ihn abschalten?
Schon heute danke für jede Hilfestellung die über das von 1und1 hinausgeht ..
Gruß
Mike
