Dovecot/imap sendet vermutlich spam

M

maiki

Registered User
Hallo zusammen und ein Frohes neues Jahr.

Seit kurzem hat sich der Traffic von meinem Server stark erhöht und das machte mich etwas stutzig. Durch ein netstat -Wtp konnte ich sehen, dass ein Prozess viel Traffic verursacht, und zwar Dovecot, da ich der einzige auf dem Server bin und nur 2 E-Mail-Adressen drauf eingerichtet habe kann ich es mir nicht erklären.

Der Traffic wird durch diese Adresse verursacht

p50806ffa.dip0.t-ipconnect.de:61198 ESTABLISHED 31226/dovecot/imap

im Schnitt sind es 10GB in der Stunde.

Ich habe versucht die IP zu blocke (über die Plesk Firewall) ein Ping der
p50806ffa.dip0.t-ipconnect.de bringt die IP 80.128.111.250 zu tage. Leider bringt das nichts.

Wie kann ich das am effektivsten unterbinden?
Bzw, wie kann ich herausfinden wie das verursacht wird?
 
Das ist auch nicht deine eigene IP von deinem Mailcleint? Oder deines Smartphones das da dauernd synchronisiert?
10 GB in der stunde Abruf? Wirklich? Was zeigt den /var/log/maillog da dann an? Kann es sein, dass jemand eines deiner Konten gehackt hat? Oder dein Server und dessen Software Sicherheitslücken hat?
 
Last edited:
In aller Regel ist Dovecot als reiner IMAP/POP3-Server konfiguriert und nicht als SMTP-Server (auch wenn er nach Erinnerung dafür rudimentären Support mitbringt). Auch dein Port deutet auf IMAP-Verkehr; will heissen Spam-Versand ist das mal nicht. Ich gehe also davon aus dass das eine IP von dir ist (oder carrier-grade NAT).

Ich kenne genau dieses Problem wenn der Mail-Client (generell ältere Outlook-Versionen, aber nicht nur) eine Email herunterlädt, das dann fehlschlägt und er sie nochmal runterlädt... in Endlosschleife. Mit 10GB/Stunde ist er dabei noch brav, ich hatte schon schlimmeres gesehen :p
Ursache ist entweder eine korrupte Email, eine Spamschutz-Integration welche sehr ***** programmiert ist oder eine Grössenbegrenzung im Client für Emails (was paradoxerweise teilweise erst beim Download überprüft wird).

Mein Vorschlag; Rechner/Gerät vom Netzwerk trennen, Emailprogramm starten. Überprüfen was die neuste Email ist. Per Webmail einloggen, und in allen ordner (inklusive Spam) prüfen welche Emails neuer sind oder als ungelesen markiert sind --> diese Email könnte schuld sein. Grösse, Anhang, ... prüfen und dann entscheiden ob Emailclient um zu ändern ist oder die Email zu löschen.
 
d4f said:
In aller Regel ist Dovecot als reiner IMAP/POP3-Server konfiguriert und nicht als SMTP-Server (auch wenn er nach Erinnerung dafür rudimentären Support mitbringt). Auch dein Port deutet auf IMAP-Verkehr; will heissen Spam-Versand ist das mal nicht. Ich gehe also davon aus dass das eine IP von dir ist (oder carrier-grade NAT).

Ich kenne genau dieses Problem wenn der Mail-Client (generell ältere Outlook-Versionen, aber nicht nur) eine Email herunterlädt, das dann fehlschlägt und er sie nochmal runterlädt... in Endlosschleife. Mit 10GB/Stunde ist er dabei noch brav, ich hatte schon schlimmeres gesehen :p
Ursache ist entweder eine korrupte Email, eine Spamschutz-Integration welche sehr ***** programmiert ist oder eine Grössenbegrenzung im Client für Emails (was paradoxerweise teilweise erst beim Download überprüft wird).

Mein Vorschlag; Rechner/Gerät vom Netzwerk trennen, Emailprogramm starten. Überprüfen was die neuste Email ist. Per Webmail einloggen, und in allen ordner (inklusive Spam) prüfen welche Emails neuer sind oder als ungelesen markiert sind --> diese Email könnte schuld sein. Grösse, Anhang, ... prüfen und dann entscheiden ob Emailclient um zu ändern ist oder die Email zu löschen.
Click to expand...
Genau das war's tatsächlich gewesen. Ein Server in der Firma auf dem Mailstore läuft hat immer wieder versucht eine E-Mail runterzuladen, was aus welchen Gründen auch nicht ging, aber die sonst auf den anderen Rechnern anstandslos geladen wurde.

Nach dem Löschen der betreffenden E-Mail war Ruhe.

Mann darauf muss man erstmal kommen. Das Lustige ist das wir eine Feste IP haben, deswegen kannte ich die obere IP nicht, diese aber von der Telekom einfach geändert wurde.

Das wird am Montag mit deren Support noch lustig werden.

Danke euch.
 
You must log in or register to reply here.
Back
Top