E-Mail Spam

steeldawn

New Member
Hi,
ich bräuchte mal euere Unterstützung für eine E-Mail Problem.

Folgende Config habe ich:

Vhost
Debian 6 64 Bit und das neueste Confixx 3.3.9 oder so.

Ich verwende als Mailserver Postfix + SASL Auth + Spamassasin, Procmail und Postgrey zum Greylisting.

Als IMAP Client (sollte aber unwichtig sein Courrier).

So jetzt habe das Problem das bei einen meiner Kunden web7 vermehrt Spam auftritt. Ich habe mir auch mal die Log angeguckt und bin auf etwas seltsames gestossen.

Normalerweise sieht ein Maildurchfluss so aus:

Code:
Dec 22 19:01:05 meinserver postfix/smtpd[26775]: connect from b2cmail14.com[213.202.232.125]
Dec 22 19:01:05 meinserver postgrey[14421]: action=pass, reason=triplet found, client_name=b2cmail14.com, client_address=213.202.232.125, sender=newsletter@b2cmail14.com, recipient=name@email.de
Dec 22 19:01:05 meinserver postgrey[14421]: cleaning up old logs...
Dec 22 19:01:05 meinserver postfix/smtpd[26775]: C4BCB31474A: client=b2cmail14.com[213.202.232.125]
Dec 22 19:01:05 meinserver postfix/cleanup[26756]: C4BCB31474A: message-id=<20121222121407.32654.755965417.swift@www>
Dec 22 19:01:05 meinserver postfix/qmgr[22695]: C4BCB31474A: from=<newsletter@b2cmail14.com>, size=19911, nrcpt=1 (queue active)
Dec 22 19:01:05 meinserver postfix/smtpd[26775]: disconnect from b2cmail14.com[213.202.232.125]
Dec 22 19:01:05 meinserver spamd[6850]: spamd: connection from localhost.localdomain [127.0.0.1] at port 38397
Dec 22 19:01:05 meinserver spamd[6850]: spamd: setuid to web4p1 succeeded, reading scores from SQL
Dec 22 19:01:05 meinserver spamd[6850]: spamd: processing message <20121222121407.32654.755965417.swift@www> for web4p1:1308
Dec 22 19:01:09 meinserver spamd[6850]: spamd: identified spam (99.9/0.5) for web4p1:1308 in 3.4 seconds, 19721 bytes.
Dec 22 19:01:09 meinserver spamd[6850]: spamd: result: Y 99 - AWL,BAYES_00,DATE_IN_PAST_03_06,HTML_IMAGE_RATIO_08,HTML_MESSAGE,RCVD_IN_DNSWL_NONE,SPF_HELO_PASS,SPF_PASS,USER_IN_BLACKLIST scantime=3.4,size=19721,user=web4p1,uid=12345,required_score=0.5,rhost=localhost.localdomain,raddr=127.0.0.1,rport=38397,mid=<20121222121407.32654.755965417.swift@www>,bayes=0.000000,autolearn=no
Dec 22 19:01:09 meinserver postfix/local[26758]: C4BCB31474A: to=<web4p1@meinserver.net>, orig_to=<franz@dr-pecher.de>, relay=local, delay=4.1, delays=0.68/0/0/3.4, dsn=2.0.0, status=sent (delivered to command: /usr/bin/procmail)
Dec 22 19:01:09 meinserver postfix/qmgr[22695]: C4BCB31474A: removed
Dec 22 19:01:09 meinserver spamd[22216]: prefork: child states: I
Bei meinem Problemkunden sieht es so aus:

Code:
Dec 22 15:24:32 meinserver postfix/pickup[22694]: A598F314772: uid=1299 from=<web7>
Dec 22 15:24:32 meinserver postfix/cleanup[22708]: A598F314772: message-id=<20121222142432.A598F314772@meinserver.net>
Dec 22 15:24:32 meinserver postfix/qmgr[22695]: A598F314772: from=<web7@meinserver.net>, size=1572, nrcpt=1 (queue active)
Dec 22 15:24:32 meinserver spamd[6850]: spamd: connection from localhost.localdomain [127.0.0.1] at port 38262
Dec 22 15:24:32 meinserver spamd[6850]: spamd: setuid to web7p4 succeeded, reading scores from SQL
Dec 22 15:24:32 meinserver spamd[6850]: spamd: processing message <20121222142432.A598F314772@meinserver.net> for web7p4:1314
Dec 22 15:24:33 meinserver spamd[6850]: spamd: identified spam (7.5/1.0) for web7p4:1314 in 0.9 seconds, 1727 bytes.
Dec 22 15:24:33 meinserver spamd[6850]: spamd: result: Y 7 - BAYES_99,DRUGS_ERECTILE,FROM_LOCAL_NOVOWEL,HDRS_MISSP,HK_NAME_DRUGS,NO_RELAYS scantime=0.9,size=1727,user=web7p4,uid=1314,required_score=1.0,rhost=localhost.localdomain,raddr=127.0.0.1,rport=38262,mid=<20121222142432.A598F314772@meinserver.net>,bayes=0.999999,autolearn=no
Dec 22 15:24:33 meinserver postfix/local[22710]: A598F314772: to=<web7p4@meinserver.net>, orig_to=<webmaster@kundenserver.de>, relay=local, delay=0.93, delays=0.03/0/0/0.9, dsn=2.0.0, status=sent (delivered to command: /usr/bin/procmail)
Dec 22 15:24:33 meinserver postfix/qmgr[22695]: A598F314772: removed
Dec 22 15:24:33 meinserver spamd[22216]: prefork: child states: I
Warum holt er die E-mail mit einem Pickup ab (also Lokal) und überspringt natürlich den Postgrey?

Hat jemand dafür eine Erklärung? kann gerne auch meine Postfix config Posten.

Eine zweite Frage wäre auch er legt die Nachricht auch unter einen anderen Namen ab .... Wie kann ich den Namen der Datei beibehalten? in diesem Falle wäre es ja : 20121222142432.A598F314772@meinserver.net


Ich bin leider noch etwas neu in den Themen und hoffe ich konnte es gut erklären.

Gruß
steeldawn
 

chris4000

Member
Du könntest Sendmail deaktivieren, damit der Kunde die Mails per SMTP einliefern muss.

IMHO muss dazu php sendmail_path in php.ini leer sein.
 

steeldawn

New Member
Hi, also es hilft was, aber ich würde gerne die Zusammenhänge wissen.

Warum kann ich den Sendmail über die php.ini aussteuern?

Weil,der Apache ja eigentlich nix mit meinem Mailsetup zu tun hat.

Gruß
Steeldawn
 

chris4000

Member
Kommen die fraglichen Mails nicht über ein Webmail-Formular?

postfix/pickup heißt, dass über Sendmail eingeliefert wurde und nicht SMTP.
 
Top