1und1 Rootserver als Spamschleuder


bernd_h_schulz

New Member
Habe in letzter Zeit vermehrt Probleme mit meinem Rootserver(Plesk9.2.3). Mails an GMX kommen zum Teil nicht an. GMX-Support schreibt:
Der von Ihnen verwendete E-Mail-Server verwendete ein wechselndes oder
nicht rückwärts auflösbares HELO. Dies ist eine Fehlkonfiguration (siehe
RFC2821) und weist in der Regel auf ein mit schädlicher Software
verseuchtes System hin.

/var/qmail/bin/qmail-qread liefert:
Code:
2 Dec 2009 14:07:31 GMT  #16819302  1088  <[email protected]> 
	local	[email protected]
2 Dec 2009 09:16:08 GMT  #16818337  3176  <> 
	remote	[email protected]
2 Dec 2009 13:01:08 GMT  #16819303  1861  <> 
	remote	[email protected]
2 Dec 2009 14:00:27 GMT  #16818590  3340  <> 
	remote	[email protected]
2 Dec 2009 10:46:48 GMT  #16818961  4497  <> 
	remote	[email protected]
2 Dec 2009 10:48:43 GMT  #16818964  2255  <> 
	remote	[email protected]
2 Dec 2009 09:02:43 GMT  #16818945  2413  <> 
	remote	[email protected]
2 Dec 2009 08:06:42 GMT  #16818326  1855  <> 
	remote	[email protected]
2 Dec 2009 08:39:11 GMT  #16818924  2136  <> 
	remote	[email protected]
Wie kann ich feststellen, ob der Server geknackt wurde?

Bernd
 
Du kannst in die Logs schauen die einen Zugriff i.d.R protokollieren.

Welche Domain gehört dir denn von denen oben?

bluemonkeystudios.com z.B.?

Die ist nähmlich in 2 BLs gelistet.
 
Last edited by a moderator:
Das ist ein leider typischer Plesk-Fehler, der meistens bei einem Update auftritt.

Ändere bitte in der Datei "/var/qmail/control/me" den Domainnamen von "p15200617" in "p15200617.pureserver.info".

Du bist übrigens hier gelistet, aber diese Liste wird eher selten verwendet.
 
Das ist ein leider typischer Plesk-Fehler, der meistens bei einem Update auftritt.
Stimmt, das hatte ich schon einmal geändert.
Aber die ganzen Einträge in der Mailqueue bedeuten, dass jemand über meinen Server Mails verschickt?
Welche Mails befinden sich hier? /usr/local/psa/handlers/spool
 
Last edited by a moderator:
Habe über Nacht ein qmail-wrapper laufen lassen. Keine verdächtigen Scripte, nur ein paar cronjobs.
In der Mailqueue jedoch weiterhin diese Einträge
Code:
3 Dec 2009 00:01:35 GMT  #16818590  1823  <> 
        remote  [email protected]
3 Dec 2009 03:21:28 GMT  #16818958  1927  <> 
        remote  [email protected]
3 Dec 2009 05:45:38 GMT  #16818337  3387  <> 
        remote  [email protected]
3 Dec 2009 06:16:02 GMT  #16819303  1654  <> 
        remote  [email protected]
3 Dec 2009 06:50:05 GMT  #16819305  2022  <> 
        remote  [email protected]
3 Dec 2009 04:00:14 GMT  #16818961  1880  <> 
        remote  [email protected]
3 Dec 2009 07:06:15 GMT  #16819307  3920  <> 
        remote  [email protected]
.......
 
Hast du mal in dein Mail Log geschaut und versucht herauszufinden, wie die E-Mails eingeliefert werden (lokal, remote)? Und dann könntest du, sofern sie lokal eingeliefert wurden, anhand der UID die Applikation identifizieren.

Ich tippe auf eine kaputte Webapplikation, wie in geschätzten 95% der Fälle.
 
Code:
p15200617:/var/qmail/bin # ./qmHandle -R
16818590 (1, R)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: Benachrichtung  
  Date: Mon, 7 Dec 2009 15:01:04 +0100
  Size: 3339 bytes

16818333 (20, R)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 15:03:34 +0100
  Size: 2519 bytes

16818565 (22, R)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 13:44:11 +0100
  Size: 2102 bytes

Messages in local queue: 0
Messages in remote queue: 3
p15200617:/var/qmail/bin #
 
Code:
p15200617:/var/qmail/bin # ./qmHandle -l
16818945 (11, 11/16818945)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 16:11:18 +0100
  Size: 35791 bytes

16818590 (1, 1/16818590)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: Benachrichtung  
  Date: Mon, 7 Dec 2009 15:01:04 +0100
  Size: 3339 bytes

16818337 (1, 1/16818337)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: Benachrichtung  
  Date: Mon, 7 Dec 2009 15:30:25 +0100
  Size: 3428 bytes

16818565 (22, 22/16818565)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 13:44:11 +0100
  Size: 2102 bytes

16818333 (20, 20/16818333)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 16:02:49 +0100
  Size: 1994 bytes

16818952 (18, 18/16818952)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 16:49:14 +0100
  Size: 2066 bytes

16818326 (13, 13/16818326)
  Return-path: 
  From: [email protected]
  To: [email protected]
  Subject: failure notice
  Date: 7 Dec 2009 15:26:04 +0100
  Size: 35842 bytes

Total messages: 7
Messages with local recipients: 0
Messages with remote recipients: 7
Messages with bounces: 0
Messages in preprocess: 0
p15200617:/var/qmail/bin #
 
Last edited by a moderator:
Ok, Fehler in meinem Howto. Statt "-v" muss es "-m" lauten.
Aber ist es so schwer von "Mail ansehen" auf "display message" zu kommen?

huschi.
 
Habe mir ein paar Mails angeschaut (-m..).
Spam geht an eine nicht existierende Mailadresse. Auf dieser Domain ist Plesk so eingestellt, dass Mails an nicht existierende Adresse zurückgewiesen werden, jedoch mit Benachrichtigung. Also schickt qmail eine Benachrichtigung an den Spamer, die nicht zustellbar ist und in der Queue bleibt.
Habe Plesk jetzt nur auf zurückweisen eingestellt.
Bei einer anderen Domain hat der Kunde einen Exchange zu stehen und auf meinem Server ist eine default-Adresse eingerichtet. Hier sendet nun der Exchange Antworten an den Spamer.
 
Mails an nicht existierende Adresse zurückgewiesen werden, jedoch mit Benachrichtigung.
Das ist ein großer Fehler. Es ist Aufgabe des einliefernden MTAs eine entsprechende Nachricht zu generieren.

Also schickt qmail eine Benachrichtigung an den Spamer, die nicht zustellbar ist und in der Queue bleibt.
Wundert Dich das? Mir sind in den letzten Jahren so gut wie keine Spammer untergekommen, die ihre eigene Mail-Adresse verwenden würden.
Dafür um so mehr unfähige qmail-Besitzer, die meinen, mir Bounce-Messages für Mails schicken zu müssen, wobei diese Mails nicht von meinen Systemen stammen.

Hier sendet nun der Exchange Antworten an den Spamer.
Sofort abstellen, wenn Du nicht willst, dass Dein Server auf Blacklisten landet!

Siehe auch http://de.wikipedia.org/wiki/Backscatter_(E-Mail)
 

Back
Top