I tried to deliver a bounce message to this address, but the bounce bounced!


NM78

New Member
Hallo,

seit den Umzug von Suse auf Ubuntu (Plesk 9.3) bekomme ich immer mehr solcher Hinweismeldungen. In der ersten E-Mail an mich (postmaster) steht, dass ein Virus von Dr. Web gelöscht wurde.

Die 2. Hinweis E-Mail (bei der ich nicht weiß wie ich das Problem beseitigen kann) kommt der Hinweis, dass die E-Mail an den Virusversender (in der er über den gelöschten Virus informiert wird) nicht richtig zugestellt werden konnte.

Ist das nun ok so oder ein Problem?

Code:
Hi. This is the qmail-send program at lvps83-122-3-456.dedicated.hosteurope.de.
I tried to deliver a bounce message to this address, but the bounce bounced!

<[email protected]>:

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 31951 invoked for bounce); 23 Feb 2010 09:49:11 +0100
Date: 23 Feb 2010 09:49:11 +0100
From: [email protected]
To: [email protected]
Subject: failure notice

Hi. This is the qmail-send program at lvps83-122-3-456.dedicated.hosteurope.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<[email protected]>:
66.115.128.189 does not like recipient.
Remote host said: 550 5.1.1 <[email protected]>: Recipient address rejected: User unknown in relay recipient table
Giving up on 66.115.128.189.

--- Below this line is a copy of the message.

Return-Path: <[email protected]>
Received: (qmail 31898 invoked by uid 111); 23 Feb 2010 09:49:08 +0100
Date: 23 Feb 2010 09:49:08 +0100
Message-ID: <20100223084908.31895.qmail@lvps83-122-3-456.dedicated.hosteurope.de>
From: "DrWeb-DAEMON" <[email protected]>
To: [email protected]
Subject: Undelivered mail:  ****SPAM**** DHL Services.  You need to get a parcel NR.4112
Content-Type: multipart/mixed;
 boundary="001-DrWeb-MailFilter-Notification"
MIME-Version: 1.0
Precedence: junk
X-Antivirus-Ticket: DrWeb notification.

--001-DrWeb-MailFilter-Notification
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 8bit

Dear User,

the message with following attributes has not been delivered,
because contains an infected object.

Sender = [email protected] (may be forged)
Recipients = [email protected] 
Subject =  ****SPAM**** DHL Services.  You need to get a parcel NR.4112
Message-ID =  <000d01cab464$f1cb4400$6400a8c0@glidedy1>

Antivirus filter report:
--- Dr.Web report ---
Following virus(es) has been found:
Known virus(es):
Trojan.Botnetlog.zip

Dr.Web detailed report:
127.0.0.1 [31873] drweb.tmp.2E86jO - archive MAIL
127.0.0.1 [31873] drweb.tmp.2E86jO/[text:plain] - Ok
127.0.0.1 [31873] drweb.tmp.2E86jO/[text:plain] - Ok
127.0.0.1 [31873] drweb.tmp.2E86jO/DHL_Label_9312.zip infected with Trojan.Botnetlog.zip

Dr.Web scanning statistic:
Known viruses : 1

--- Dr.Web report ---

The original message was stored in archive record named: 
drweb.quarantine.9andRv 
In order to receive the original message, please send request to 
<postmaster>, referring to the archive record 
name given above.

---
   Antivirus service provided by Dr.Web (R) Daemon
   (http://www.drweb.com)

--001-DrWeb-MailFilter-Notification
Content-Type: text/rfc822-headers
Content-Transfer-Encoding: 7bit

Delivered-To: [email protected]
Received: from localhost by lvps83-122-3-456.dedicated.hosteurope.de
	with SpamAssassin (version 3.2.4);
	Tue, 23 Feb 2010 09:49:08 +0100
From: "Support Elisabeth Chamberlain" <[email protected]>
To: <[email protected]>
Subject: ****SPAM**** DHL Services.  You need to get a parcel NR.4112
Date: Tue, 23 Feb 2010 10:48:17 +0200
Message-Id: <000d01cab464$f1cb4400$6400a8c0@glidedy1>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.2.4 (2008-01-01) on
	lvps83-122-3-456.dedicated.hosteurope.de
X-Spam-Level: **********
X-Spam-Status: Yes, score=10.1 required=7.0 tests=BAYES_99,
	RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_PBL,RCVD_IN_SORBS_HTTP,RCVD_IN_SORBS_WEB,
	RCVD_IN_XBL,RDNS_NONE autolearn=no version=3.2.4
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------=_4B839684.4345B4A0"


--001-DrWeb-MailFilter-Notification--

Habe ich, das richtig verstanden, dass die E-Mail Adresse "drweb-daemon" erst noch auf dem Server eingerichtet werden muss?
 
Du erhältst eine Mail mit einem Virus. Der Virus wird gelöscht und der Absender wird darüber informiert, dass er einen Virus verschickt hat.

Da aber die Absenderadresse gefälscht ist, kommt die Mail nicht an und wird dir wieder zugestellt mit dem Hinweis, dass die Mail nicht zugestellt werden konnte.

Was lernen wir daraus? - Richtig, "Schicke nie Bounce-Messages.".

Es wird irgendwo (ich kenne DrWeb nicht) eine Einstellung geben, mit der du Nachrichten einfach droppen kannst. Solltest du keine "[email protected]"-Adresse haben, solltest du dir diese dennoch anlegen, eben so wie "[email protected]".
 
Danke für die schnelle Antwort! Sehen das die anderen auch so, dass man die Bounce Messages ausschalten sollte?

Warum stellen die es dann in der Standardeinstellung extra so ein, wenn es keinen Sinn macht? Mit Spam hat doch jeder zu kämpfen, oder?

:confused:
 
Danke für die schnelle Antwort! Sehen das die anderen auch so, dass man die Bounce Messages ausschalten sollte?
JA
Mit Spam hat doch jeder zu kämpfen, oder?
:confused:
Genau da macht dein bischen auch nichts mehr...

Beispiel :
Du bekommst eine SPAM Mail von einem Dänischen DSL Account mit dem Absender [email protected].
Dein Virenscanner sagt NEIN du bist böse und schickt die Mail an [email protected] "zurück" ...

Was glaubst du wie glücklich du damit [email protected] machst.

Ebenso könnte auch deine E-Mailadresse als Absender eines solchen Spamrun verwendet werden. Was würdest du dann sagen?

Also bereits bei der Einlieferung prüfen was mit der Mail passiert und nicht erst annehmen und dann irgendwohin bouncen !
 
Bounce Messages können aber auch manchmal gewollt sein ... Zum Beispiel wenn sich jemand vertippt.
 
Dann bleiben diese aber "auf deiner Seite !" und gehen nicht unkontrolliert ins Netz.

Wenn die komplette Infrastruktur so aufgebaut ist, das die Authentizität des Absenders stehts gewährleistet ist ok aber sonst nicht.
 
Wenn mir jemand ne Vertippermail sendet schickt mein Server die doch zurück durchs Netz ;)
 
Das sollte er aber imho NIE machen sondern die Mail bereits beim Empfang ablehnen. Alles andere ist imho grob fahrlässig.
 
Du hast das richtige Wort schon genommen ;-)

Und wenn der gefakte Absender gültig ist?
 
Bei meiner Firma wird das so gehandhabt, eine Empfänger darf maximal pro Stunde 3 NDR versenden, danach wird alles gesperrt für diesen Empfänger.
 
Damit kann man pro User/Stunde 3 potentiell "Unschuldige" Treffen... ;-)
 
Bounce Messages können aber auch manchmal gewollt sein ...
Ab diesem Post wurde es Offtopic.
Denn es ging ganz allein um die Benachrichtigungen von DrWeb.

Und um wieder den Topic zu treffen: Ja, die "notifications" kann man sich alle sparen und abschalten.

huschi.
 
Moin Huschi,

bist du mal so nett und kannst mir sagen, wo man die abstellen kann? Ich habe sämtliche Dinge ausprobiert um diese "Failure Notice" los zu werden (hat aber bisher nicht geholfen), nur weiß ich jetzt nicht, wo man die "Notifications" abschaltet.

Gruß

Kenny
 
Die Datei ist nicht schwer zu finden. Denn sie liegt tatsächlich dort wo jeder Linux-Admin als erstes suchen würde: /etc/drweb/drweb_qmail.conf
Innerhalb dieser Datei werden alle Einstellungen erklärt.
Suche einfach nach allen Vorkommen von "...Notify" und setzte es auf "no".

huschi.
 
Denn sie liegt tatsächlich dort wo jeder Linux-Admin als erstes suchen würde: /etc/drweb/drweb_qmail.conf

Autsch, das tat weh :D

tja, ich habe jetzt soviel in meinem System herumgehühnert da übersieht man schon mal den Wald voller Bäume. Dieser komische Patch für die mail-queue von Parallels, was angeblich Abhilfe schaffen sollte, konnte ich so auch noch nicht bestätigen.

Nachtrag: Die Datei gibt es bei mir nicht.

Noch ein Nachtrag: Habe ich gefunden heisst bei mir drweb_handler.conf

Gruß

Kenny
 
Last edited by a moderator:

Back
Top