Bounce an "falsche Empfänger" / Spam?

P

pataya

New Member
Hallo Leute,

habe mit QMail das Problem das ich in letzter Zeit bei normalen Nachrichten folgende Art Bounces bekomme:

Code: 
Hi. This is the qmail-send program at mein.hostname.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<sexkham227@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd Sorry your message to sexkham227@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta1158.mail.ne1.yahoo.com

<volsman793@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd This user doesn't have a yahoo.com account (volsman793@yahoo.com) [0] - mta1178.mail.ne1.yahoo.com

<taylor29461@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd Sorry your message to taylor29461@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta1158.mail.ne1.yahoo.com

<stephany_st@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd Sorry your message to stephany_st@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta1152.mail.ne1.yahoo.com

<vincentlucheese@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd Sorry your message to vincentlucheese@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta1139.mail.ne1.yahoo.com

<sidthedude149@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd Sorry your message to sidthedude149@yahoo.com cannot be delivered. This account has been disabled or discontinued [#102]. - mta1148.mail.ne1.yahoo.com

<sdasdasdjkdsadas@yahoo.com>:
98.138.112.33 failed after I sent the message.
Remote host said: 554 delivery error: dd This user doesn't have a yahoo.com account (sdasdasdjkdsadas@yahoo.com) [0] - mta1104.mail.ne1.yahoo.com

--- Below this line is a copy of the message.

Return-Path: <plesk@meinedomain.de>
Received: (qmail 14588 invoked from network); 2 Jul 2013 12:29:11 +0200
Received: from localhost (127.0.0.1)
  by localhost with ESMTPA; 2 Jul 2013 12:29:11 +0200
From: Ich <plesk@meinedomain.de>
To: Kunde <empfaenger@email.de>
Reply-To: Ich <plesk@meinedomain.de>
Return-Path: plesk@meinedomain.de
Date: Tue, 02 Jul 2013 12:29:11 +0200
Content-Transfer-Encoding: 8bit
X-Mailer: PHP/5.3.10
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Subject: *Betreff*

*Nachricht*

Ich weiß es gibt schon tausend Threads über Bounces allerdings habe ich nichts in dieser Form gefunden.
Als nicht zustellbar bekomme ich irgendwelche unbekannten Empfänger und darunter steht eben die normale Nachricht (ohne diese Empfänger).
In diesem Fall ist es eine Systemnachricht von Plesk an einen Kunden.

Hier der Maillog dazu:

Code: 
Jul  2 12:29:11 *meinhost* qmail: 1372760951.106804 new msg 89923884
Jul  2 12:29:11 *meinhost* qmail: 1372760951.106829 info msg 89923884: bytes 739 from <plesk@meinedomain.de> qp 14571 uid 2020
Jul  2 12:29:11 *meinhost* /var/qmail/bin/relaylock[14572]: /var/qmail/bin/relaylock: mail from 127.0.0.1:42282 (localhost)
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14574]: Handlers Filter before-queue for qmail started ...
Jul  2 12:29:11 *meinhost* qmail: 1372760951.257302 starting delivery 4626: msg 89923884 to local 15-plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail: 1372760951.257328 status: local 1/10 remote 0/20
Jul  2 12:29:11 *meinhost* qmail-local-handlers[14575]: Handlers Filter before-local for qmail started ...
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14574]: from=plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14574]: to=empfaenger@email.de
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14574]: handlers_stderr: SKIP
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14574]: SKIP during call 'check-quota' handler
Jul  2 12:29:11 *meinhost* qmail-local-handlers[14575]: from=plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-local-handlers[14575]: to=plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-local-handlers[14575]: mailbox: /var/qmail/mailnames/meinedomain.de/plesk
Jul  2 12:29:11 *meinhost* spamd[5188]: spamd: got connection over /tmp/spamd_full.sock
Jul  2 12:29:11 *meinhost* spamd[5188]: spamd: using default config for plesk@meinedomain.de: /var/qmail/mailnames/meinedomain.de/plesk/.spamassassin/user_prefs
Jul  2 12:29:11 *meinhost* spamd[5188]: spamd: processing message (unknown) for plesk@meinedomain.de:110
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14574]: starter: submitter[14577] exited normally
Jul  2 12:29:11 *meinhost* qmail: 1372760951.450016 new msg 89925064
Jul  2 12:29:11 *meinhost* qmail: 1372760951.450040 info msg 89925064: bytes 738 from <plesk@meinedomain.de> qp 14577 uid 2020
Jul  2 12:29:11 *meinhost* spamd[5188]: spamd: clean message (-0.9/7.0) for plesk@meinedomain.de:110 in 0.1 seconds, 739 bytes.
Jul  2 12:29:11 *meinhost* spamd[5188]: spamd: result: . 0 - ALL_TRUSTED,MISSING_MID,URIBL_BLOCKED,WEIRD_PORT scantime=0.1,size=739,user=plesk@meinedomain.de,uid=110,required_score=7.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=(unknown),autolearn=no
Jul  2 12:29:11 *meinhost* qmail-local-handlers[14575]: handlers_stderr: PASS
Jul  2 12:29:11 *meinhost* qmail-local-handlers[14575]: PASS during call 'spam' handler
Jul  2 12:29:11 *meinhost* /var/qmail/bin/relaylock[14580]: /var/qmail/bin/relaylock: mail from 127.0.0.1:42283 (localhost)
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14584]: Handlers Filter before-queue for qmail started ...
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14586]: Handlers Filter before-queue for qmail started ...
Jul  2 12:29:11 *meinhost* spamd[5187]: prefork: child states: II
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14586]: from=plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14586]: to=empfaenger@email.de
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14586]: handlers_stderr: SKIP
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14586]: SKIP during call 'check-quota' handler
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14584]: from=plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14584]: to=verwaltung@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14584]: handlers_stderr: SKIP
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14584]: SKIP during call 'check-quota' handler
Jul  2 12:29:11 *meinhost* qmail: 1372760951.654002 starting delivery 4627: msg 89925064 to remote empfaenger@email.de
Jul  2 12:29:11 *meinhost* qmail: 1372760951.654031 status: local 1/10 remote 1/20
Jul  2 12:29:11 *meinhost* qmail-remote-handlers[14591]: Handlers Filter before-remote for qmail started ...
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14586]: starter: submitter[14588] exited normally
Jul  2 12:29:11 *meinhost* qmail: 1372760951.785976 new msg 89925119
Jul  2 12:29:11 *meinhost* qmail: 1372760951.786002 info msg 89925119: bytes 695 from <plesk@meinedomain.de> qp 14588 uid 2020
Jul  2 12:29:11 *meinhost* qmail-queue-handlers[14584]: starter: submitter[14590] exited normally
Jul  2 12:29:11 *meinhost* qmail-remote-handlers[14591]: from=plesk@meinedomain.de
Jul  2 12:29:11 *meinhost* qmail-remote-handlers[14591]: to=empfaenger@email.de
Jul  2 12:29:11 *meinhost* qmail: 1372760951.977022 starting delivery 4628: msg 89925119 to remote empfaenger@email.de
Jul  2 12:29:11 *meinhost* qmail: 1372760951.977069 status: local 1/10 remote 2/20
Jul  2 12:29:11 *meinhost* qmail: 1372760951.977081 delivery 4626: success: did_0+1+2/qp_14584/
Jul  2 12:29:11 *meinhost* qmail: 1372760951.977190 status: local 0/10 remote 2/20
Jul  2 12:29:11 *meinhost* qmail: 1372760951.977209 end msg 89923884

Für mich sieht das aus als würde versucht werden die Nachrichten als "Spam" zu verschicken, allerdings kann ich im Log nichts Verdächtiges finden.

Jemand eine Idee?

Gruß,
pataya
 
Hallo!

Benutzt jemand eventuell plesk@deinedomain.tld als Absenderadresse?

mfG
Thorsten
 
Hallo Thorsten,

naja Plesk selbst :rolleyes:
Und die Bounce-Mail kam auch auf eine echte Mail von Plesk an den Kunden.

Oder meinst du damit jemanden von außen? Selbst dann würde ich nicht verstehen wieso der Bounce dann ausgerechnet bei der Nachricht kommt.
 
Hallo, pataya,

uid 2020
Click to expand...

welcher User ist den UID 2020?
Und was steht in der Plesk-Email an die Kunden?

Wenn Plesk die Mails sendet muss es dafür ja einen Grund geben, und die Adressen müssen dann ja im System auch hinterlegt sein.
 
Hab in Plesk einen Benutzer erstellt und daraufhin wurde von plesk@meinedomain.tld eine Info-Mail an empfaenger@email.tld gesendet. Soweit ja alles richtig.
Allerdings kam danach eben der Bounce mit den ganzen Yahoo-Benutzern. Das heißt die Nachricht um die es in dem Bounce geht existierte wirklich und sollte auch gesendet werden.

UID 2020 = qmaild

Was ich eben nicht verstehe ist wo er die Yahoo-Adressen herholt...

Edit: plesk@meinedomain.tld ist eben die Plesk-Domain, empfaenger@email.tld liegt bei web.de
 
Mag sein dass ich falsch liege, aber hast Du mal geguckt ob bei Dir ein offenes Relay vorliegt? Die Adresse kenne ich auch aus meinen Logs, die haben vergeblich versucht über den smtp Port Mails zu verschicken...
 
Hallo,

ich habe genau das gleiche Problem! Gibt es hier neue Erkenntnisse? Wo kann ich noch suchen? Woran liegt das?

Bei mir gehen auch gern Mails an @aol.com und @gmail.com
 
Welcher Absender-IP steht denn in der generell im Bounce enthaltenen Header, entspricht die deinem Server?
 
Ja, die IP stimmt. Die Spam-Mail an die unbekannten Empfänger müssen auch von meinem Server irgendwie kommen, weil es ja eine Mail ist, die ich gerade gesendet habe. Das geht Ruck-Zuck, schon kriege ich den Bounce an die mir unbekannten Empfänger

Das passiert nur leider nicht immer, sondern nur manchmal. Ein ganz komisches Verhalten ist das.
 
Zur Vervollständigung mal die Nachricht, die ich zurückbekomme...

Hi. This is the qmail-send program at mediatankstelle.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<56npwkipp@aol.com>:
205.188.159.42 does not like recipient.
Remote host said: 550 5.1.1 <56npwkipp@aol.com>: Recipient address rejected: aol.com
Giving up on 205.188.159.42.

<xahmed09@gmail.com>:
173.194.70.26 failed after I sent the message.
Remote host said: 550-5.7.1 [<Meine Server-IP> 1] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. u46si3193291eeg.46 - gsmtp

<r.i.wainman@gmail.com>:
173.194.70.26 failed after I sent the message.
Remote host said: 550-5.7.1 [<Meine Server-IP> 1] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. k2si21994302eey.182 - gsmtp

<hansj01@gmail.com>:
173.194.70.26 failed after I sent the message.
Remote host said: 550-5.7.1 [<Meine Server-IP> 1] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. i5si3110590eeg.295 - gsmtp

<sdfgsdfg@gmail.com>:
173.194.70.26 failed after I sent the message.
Remote host said: 550-5.7.1 [<Meine Server-IP> 1] Our system has detected an unusual rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. p9si3180539eeu.324 - gsmtp

--- Below this line is a copy of the message.
Click to expand...
 
Hallo!

Und wenn du deine Mail-Logfiles (beispielsweise nach 56npwkipp@aol.com) durchsuchst, findest du ausschließlich die Bounce Nachricht? Kann ich fast nicht glauben. Aktuell sieht es wohl so aus, als hätte dich zumindest Google geblacklisted.

mfG
Thorsten
 
Ich sehe schon, hier weiß auch keiner Rat oder kennt dieses Phänomen. Ich kann es auch nicht nachvollziehen. Aber da mein qmail da immer reagiert und scheinbar Dinge versendet, die aber nicht im Log vorkommen, bin ich momentan sehr überrascht....
 
Das bedeutet generell dass ein Skript oder Programm auf deinem Server direkte ausgehende SMTP-Verbindungen öffnet statt über den Mailserver zu fahren.
Dein Server spammt also mit hoher Wahrscheinlichkeit fröhlich vor sich hin.
Die aktuell offenen SMTP-Verbindungen kannst du mit "lsof -nP -i :25" anzeigen lassen, mit etwas Glück taucht das Programm da auf.

Da ausgehend Port 25 eigentlich _fast_ nie benötigt wird kannst du dies übrigens firewall-mäßig einfach droppen (natürlich erst wenn dies jetzt gefunden und bereinigt wurde). Skripte welche ausgehend SMTP benötigen können auf den standardisierten und generell verfügbaren Port 587 ausweichen.
 
So, mal einen Zwischenstand von mir... Ich suche noch! ;-) Leider werden diese Mails ja nicht andauernd versendet, sondern nur sporadisch... lsof hat keine mir auffälligen Programme gefunden.... verdammt noch eins!

Ich habe auch Linux Malware Detect drüberlaufen lassen. Auch der hat nix gefunden...
 
You must log in or register to reply here.
Back
Top