Eventueller Spam-Versand über meinen Server

[van_haakonnen]

Hallo an Alle,

ich habe ein Problem, dass wir schon das ein oder andere Mal hier hatten... ich habe im Forum gesucht und die vergangenen Postings durchgelesen, aber so richtig fündig geworden bin ich bei meinem Server daraufhin leider nicht...

Das Problem ist, dass ich das Gefühl habe, dass mein Server Spam versendet.

Ob dies über ein Script geschrieht weiss ich nicht genau. Ich habe alle PHP-Scripte (bis auf ein phpbb-board) von der entsprechenden Domain entfernt - es existieren also nurnoch normale html-dateien...

Ich bekomme aber bestimmt am Tag 20 oder 30 Mails von Servern anderer Domains zurück, die melden, dass die die Mail von meinem Server nicht zustellen konnten...

hier mal ein Beispiel...:

Hi. This is the qmail-send program at mail3.adamantean.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<ham@adamantean.com>:
Sorry, no mailbox here by that name. vpopmail (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <nguo@morbus-addison.de>
Received: (qmail 18398 invoked from network); 2 Jan 2007 16:01:01 -0000
Received: from unknown (HELO h16206.upc-h.chello.nl) (62.194.16.206)
  by 0 with SMTP; 2 Jan 2007 16:01:01 -0000
Received: from nhvmhs ([179.152.52.207]) by h16206.upc-h.chello.nl with Microsoft SMTPSVC(5.0.2195.5329); Tue, 2 Jan 2007 16:59:45 +0100
Message-ID: <459A8171.7070204@morbus-addison.de>
Date: Tue, 2 Jan 2007 16:59:45 +0100
From: Cotton Jenny <nguo@morbus-addison.de>
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
MIME-Version: 1.0
To: ham@adamantean.com
Subject: busy glumly
Content-Type: multipart/related;
 boundary="------------020609070408080304050400"

die Domain morbus-addison.de ist meine Domain...Die User, die dort in den Mails genannt wurden gibt es auf meinem server nicht...

Mein Mail - Server wird über Confixx eingerichtet - es ist ebenfalls SpamAssissin sowie Amavis installiert.

Hier einmal ein paar Auszüge aus log-Dateien:

auth.log

Jan  2 15:57:05 vserver1015 CRON[12154]: (pam_unix) session closed for user root
Jan  2 15:58:01 vserver1015 CRON[12168]: (pam_unix) session opened for user root by (uid=0)
Jan  2 15:58:05 vserver1015 CRON[12168]: (pam_unix) session closed for user root
Jan  2 15:59:01 vserver1015 CRON[12174]: (pam_unix) session opened for user root by (uid=0)
Jan  2 15:59:06 vserver1015 CRON[12174]: (pam_unix) session closed for user root
Jan  2 16:00:02 vserver1015 CRON[12197]: (pam_unix) session opened for user root by (uid=0)
Jan  2 16:00:02 vserver1015 CRON[12198]: (pam_unix) session opened for user www-data by (uid=0)
Jan  2 16:00:02 vserver1015 CRON[12199]: (pam_unix) session opened for user root by (uid=0)
Jan  2 16:00:03 vserver1015 CRON[12198]: (pam_unix) session closed for user www-data

mail.info

Jan  2 16:09:12 vserver1015 amavis[9988]: (09988-07) WARN: all primary virus scanners failed, considering backups
Jan  2 16:09:15 vserver1015 postfix/smtpd[12295]: connect from localhost.localdomain[127.0.0.1]
Jan  2 16:09:15 vserver1015 postfix/smtpd[12295]: E003712AE01: client=localhost.localdomain[127.0.0.1]
Jan  2 16:09:15 vserver1015 postfix/cleanup[12287]: E003712AE01: message-id=<h8cV6jsVS000031cd@jai-exch-02.JAI.COM>
Jan  2 16:09:15 vserver1015 postfix/smtpd[12295]: disconnect from localhost.localdomain[127.0.0.1]
Jan  2 16:09:16 vserver1015 postfix/qmgr[1553]: E003712AE01: from=<>, size=23380, nrcpt=1 (queue active)
Jan  2 16:09:16 vserver1015 amavis[9988]: (09988-07) Passed, (?) -> <web1p1@vserver1015.vserver-on.de>, Message-ID: <h8cV6jsVS000031cd@jai-exch-02.JAI.COM>, H
its: -
Jan  2 16:09:16 vserver1015 postfix/smtp[12288]: 273D312A94F: to=<web1p1@vserver1015.vserver-on.de>, orig_to=<mmb@morbus-addison.de>, relay=127.0.0.1[127.0.0.
1], delay=5, status=sent (250 2.6.0 Ok, id=09988-07, from MTA: 250 Ok: queued as E003712AE01)
Jan  2 16:09:16 vserver1015 postfix/qmgr[1553]: 273D312A94F: removed
Jan  2 16:09:16 vserver1015 procmail[12297]: Error while writing to "/var/log/procmail"
Jan  2 16:09:17 vserver1015 spamd[1590]: connection from localhost.localdomain [127.0.0.1] at port 56655
Jan  2 16:09:22 vserver1015 spamd[1590]: processing message <h8cV6jsVS000031cd@jai-exch-02.JAI.COM> for web1p1:0.
Jan  2 16:09:37 vserver1015 spamd[1590]: clean message (-2.3/5.0) for web1p1:0 in 21.1 seconds, 23178 bytes.
Jan  2 16:09:37 vserver1015 spamd[1590]: result: . -2 - BAYES_00,HTML_10_20,HTML_MESSAGE,NO_REAL_NAME scantime=21.1,size=23178,mid=<h8cV6jsVS000031cd@jai-exch
-02.JAI.COM>,bayes=7.87346387531862e-07,autolearn=no
Jan  2 16:09:37 vserver1015 postfix/local[12296]: E003712AE01: to=<web1p1@vserver1015.vserver-on.de>, relay=local, delay=22, status=sent (delivered to command
: /usr/bin/procmail -a "EXTENSION")
Jan  2 16:09:37 vserver1015 postfix/qmgr[1553]: E003712AE01: removed

Ich hoffe ihr könnt mir helfen...

Vielen Dank schonmal

Van_Haakonnen

 

[kannnix]

Meine Vermutung ist:
Nicht dein Webserver is betroffen, sondern dein Home PC.
Anhand deines holländischen Namen vermute ich mal, dass h16206.upc-h.chello.nl dein PC ist.

Die mail lief nun von 179.152.52.207 zu h16206.upc-h.chello.nl und am Ende zu ham@adamantean.com

Also überprüfe mal alle lokalen Dienste und Virenschutzprogramme.

MfG

 

[NeoXx]

Wenn dein Server richtig Spammen würde, hab ich schon erlebt, haste ca 50000 mails pro Tag im Postfach ^^ Die 50 die du hast, bekomm ich allein an Spam der nicht gefilter wird. Ist noch alles im "grünen" Bereich aber das mit deinem Localen PC würd ich schnell Klären!
Die meisten Roots die ich nach nem Hack gesehen habe wurden einfach via root login gehackt weil die Leute ihre Passwörter in txt Fils sichern um sie nicht zu vergessen ....

 

[blob]

Ich hatte zwar nie Probleme damit, würde mir bei meinem 56k-Modem auch schnell auffallen. Aber sicherheitshalber habe ich im sendmail config-File eingestellt, daß alle ausgehenden mails einfach über den smtp-Server meines Providers gehen. Dazu dem Provider die Anweisung erteilt, max. 20 mails pro Tag umd 10 binnen derselben Stunde weiterzuleiten. Damit benutze ich erstens den sehr guten spam-Schutz des Providers, zweitens schiebe ich die Verantwortung auf ihn ab.

Nachtrag: dazu in /usr/share/sendmail/cf/cf/config.mc reinschreiben: define('SMART_HOST','smtp.wanadoo.fr')dnl [den smtp-Server ggf. durch einen vom eigenen Privider ersetzen]. Danach mit #m4 übersetzen, output nach /etc/mail/sendmail.cf

 

[xCycle]

Hallo

Einer unserer Mail Accounts bekommt seit ein paar Tagen massig Mails von Mail-Daemons (ca 50 Stück am Tag). Ich habe die Domain bei evanzo gemietet und dort automatisch einen kleinen "virtuellen mailserver" (so nennt sich das zumindestens bei evanzo) und dort 4 POP3 Accounts.

Hier mal ein Auszug aus einer Mail:

Hi. This is the qmail-send program at w10.yukaido.ne.jp.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<ggjyu@ishimine.com>:
Sorry, no mailbox here by that name. (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <vbezf@creartdesign.de>
Received: (qmail 29034 invoked from network); 5 Jan 2007 21:51:58 +0900
Received: from 207-119-57-135.dyn.centurytel.net (207.119.57.135)
  by w10.yukaido.ne.jp with SMTP; 5 Jan 2007 21:51:58 +0900
Received: from duex ([219.38.136.116]) by 207-119-57-135.dyn.centurytel.net with Microsoft SMTPSVC(5.0.2195.6713); Fri, 5 Jan 2007 06:51:22 -0600
Message-ID: <459E49CA.6020603@creartdesign.de>
Date: Fri, 5 Jan 2007 06:51:22 -0600
From: Archibald <vbezf@creartdesign.de>
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
MIME-Version: 1.0
To: ggjyu@ishimine.com
Subject: Some have 4 or 5 pages per topic, some just one.
Content-Type: multipart/related;
 boundary="------------060701030607050800060701"

Den Mail Account vbezf@creartdesign.de gibt es ebenfalls nicht.
Ein Sendmail Script das diesen Mailserver benutzt habe ich auch nicht. Ich scanne gerade den betroffenen PC und werde mich dort mal genauer umschauen.
Wundert mich schon denn nur der eine Mailaccount bekommt ständig diese Mails.

 

[flyingoffice]

Hallo!

Wundert mich schon denn nur der eine Mailaccount bekommt ständig diese Mails.

Könnte es sein, daß dieses eine Postfach als Catchall eingerichtet ist? Ebenfalls kommt es häufig vor, daß Spammer die Absendeadresse einfach fälschen. Die Empfängeradresse existiert nicht und die Mail wird dann einfach als Bounce an den vermeindlichen Absender zurückgesandt.

Hier mal eine Headeranalyse:

Received: (qmail 29034 invoked from network); 5 Jan 2007
    21:51:58 +0900
  This received header was added by your mailserver
  Just a qmail status line

Received: from 207-119-57-135.dyn.centurytel.net
    (207.119.57.135)  by w10.yukaido.ne.jp with SMTP; 5 Jan
    2007 21:51:58 +0900
  w10.yukaido.ne.jp received this from 207-119-57-135.dyn.centurytel.net
  (IP addresses match)

Received: from duex ([219.38.136.116]) by
    207-119-57-135.dyn.centurytel.net with Microsoft
    SMTPSVC(5.0.2195.6713); Fri, 5 Jan 2007 06:51:22 -0600
  207-119-57-135.dyn.centurytel.net received this from someone claiming
  to be duex
  This doesn't match the IP address in the headers, so this
  may be a relay point. If so all headers below are probably
  forged.
  It really came from softbank219038136116.bbtec.net

Ein Whois auf bbtec.net liefert dann eine Adresse aus Tokio. Ich denke mal das die mit einem Ihrer Rechner Probleme haben

Gruß flyingoffice

 

[xCycle]

Könnte es sein, daß dieses eine Postfach als Catchall eingerichtet ist?

Gut das du das erwähnst, hatte das Postfach tatsächlich mal als Catchall eingerichtet als ich damals am "Mailserver" rumgefummelt habe
Habs jetzt rückgängig gemacht, jetzt sollte sich das erledigt haben.
Danke für den Tipp


Gruß xCycle

 

[van_haakonnen]

Danke für eure Antworten

Also mein Name mag nicht "urdeutsch" sein, aber ich wohne trotzdem in Brauschweig und mein Provider zu Hause ist Congster

Also mein PC ist es nicht selbst... dann sind das IPs und PCs , die rein gar nichts mit mir zu tun haben.. eine richtige rechtliche Handhabe gibt es dagegen nicht, oder?

Vielen Dank nochmal

Van_Haakonnen