Falsche Mails emfangen

[servo]

Hallo,

ich bekomme seit einigen Monaten/Jahren Mails zugestellt durch meinen Mailserver die eigentlich gar nicht an mich oder irgendeinen Account auf dem Mailserver gerichtet sind.

Da ich jetzt Zeit habe mich darum zu kümmern möchte ich dem Problem auf den Grund gehen.

Mein Server arbeitet mit SPF Spamschutz, Kaspersky AntiVirus, mit Black/White-Listen, mit Relaying Funktion (Autorisierung), SpamAssassin, Graylisting und ist ein qmail-server.

Alles funktioniert soweit gab auch keine sonstigen (Spam)Probleme nur die eine ominöse Mail an info@mychicagohomeloans.com wird mir zugestellt obwohl ich die Domain etc garnicht habe, nicht mal den Namen/Inhalt der Mail(Absender) kenne. Irgendwas mit RuneScape. Klar ich bin Postmaster etc. aber die Mail müsste doch eigentlich abgewiesen werden oder nicht?

Hier mal der Header

Received: (qmail 23869 invoked from network); 20 Mar 2013 18:31:47 +0100
Received-SPF: neutral (xxxxxxxxx: 106.10.151.193 is neither permitted nor denied by domain of yahoo.com.br) client-ip=106.10.151.193; envelope-from=anapaula.oliveira48@yahoo.com.br; helo=nm31-vm2.bullet.mail.sg3.yahoo.com;
Received: from nm31-vm2.bullet.mail.sg3.yahoo.com (106.10.151.193)
  by xxxxxxxxxx.xxx with (DHE-RSA-AES256-SHA encrypted) SMTP; 20 Mar 2013 18:31:43 +0100
Received: from [106.10.166.124] by nm31.bullet.mail.sg3.yahoo.com with NNFMP; 20 Mar 2013 17:31:38 -0000
Received: from [106.10.167.139] by tm13.bullet.mail.sg3.yahoo.com with NNFMP; 20 Mar 2013 17:31:38 -0000
Received: from [127.0.0.1] by smtp112.mail.sg3.yahoo.com with NNFMP; 20 Mar 2013 17:31:38 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com.br; s=s1024; t=1363800698; bh=2E/U3sCt5QVsuaeu4PhVM6bHOvmeQjSzp76WWgFvtpY=; h=X-Yahoo-Newman-Id:X-Yahoo-Newman-Property:X-YMail-OSG:X-Yahoo-SMTP:X-Rocket-Received:Message-ID:From:To:Subject:Date:MIME-Version:Content-Type:Content-Transfer-Encoding:X-Priority:X-MSMail-Priority:X-Mailer:X-MimeOLE; b=pV/BQFj+ruTflJnGlXRRaB6pQhU8Pcz80y4fANgWN6cejT7r7UC5Rx0VvAR89hv0/iM7RpngSEuVt1qVod7SXUqzFSpETcHD7nhT/MH7DD34kcdlO0RbnoZuphmr56znk+gjWbWfU5S5PLAIph2Td0fvL4egT9RbKuKvmtNPmZs=
X-Yahoo-Newman-Id: 166719.20337.bm@smtp112.mail.sg3.yahoo.com
X-Yahoo-Newman-Property: ymail-3
X-YMail-OSG: 1Xpik_IVM1lPtjoyso4iEeMjzZIPGaSVeErlOpDabuvThtx
 V03he23m0s9iyHkXf_ErkseD4tWXI9WpMQbIm6PoVpmlJ8DGmsRQsw6cWUuh
 Y4UCalSwCmxE3vxw9H6mq5dYVC9LVxcFUW_e6k.S9cInHWbDmVKNRl6iXPyb
 TzG_OtPjj4gb1XlDZfLlcGkOKtL7_AjWqAaV3HVRCnHCUTen2CKjtTWOl8kK
 Ks_m6klsiINrD55iguWLE5FdZQJczji.lgOEWoAxZA_TOxqcrBL5tKNeyxRc
 AsoeTMd1BVYPFAuadC47K.8XZC5hRujb20Yal023vJI6rG5VEFUoSriYgmE1
 u8yfd5xaubihbhnbesNZksNVkUm1IuqdMSk89f_7YBTZY75edQDLfCn7hkTk
 zvxblZ6SunQU4tVBi1FtcbZs_wUAuK_0N7TiLFJJ0CkTAYhPM.G.1eL71dUg
 81Zgcc3Vd7_kc3b0NmjoaPZhq_e0FyHXC_LREg5Gvr7ESkPahJOfc1IJR9_B
 wvuJzvFgriXzB0nNVQBobp3dG7oyxjKOjSMHARKFzSvy3ELW734rhVGnLtMn
 PeLHW9eYXAItFnEpnOMJgvSd7YzinRklAiaX6SdCbO.BIc0enJgM2Rq.hH1e
 PkOel7O9o.FZoeGX_1xc_9Y8wdRP4Li9KbK6QneogAcnRHivhRScp
X-Yahoo-SMTP: NiaBLs6swBBiLlhaIQ0h.8Oh9iamvEgw.oPLErleCnE-
X-Rocket-Received: from xrzhngfa (anapaula.oliveira48@119.114.99.53 with login)
        by smtp112.mail.sg3.yahoo.com with SMTP; 20 Mar 2013 10:31:38 -0700 PDT
Message-ID: <582F2FFCC47BA3353A9086EDEE3A91B2@xrzhngfa>
From: "RuneScape" <anapaula.oliveira48@yahoo.com.br>
To: <info@mychicagohomeloans.com>
Subject: RuneScape Account-Notice
Date: Thu, 21 Mar 2013 01:31:27 +0800
MIME-Version: 1.0
Content-Type: text/html;
	charset="utf-8"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.5512
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5512

 

[Lord Gurke]

Leider hat qmail wieder mal wichtige Informationen im Header unterschlagen: Nämlich wer als Envelope-Empfänger angegeben ist.
Was im "To:"-Header steht muss nicht zwangsläufig die Adresse sein, an die die Mail gegangen ist - denn Empfänger im BCC erhalten die Mail zwar, werden aber nicht sichtbar als Empfänger gelistet.

Gehe mal in den Logfiles auf die Suche, was dem Server erzählt wurde an wen die Mail adressiert ist. Entweder werden diese Spammails massenhaft per BCC-Header verschickt oder aber jemand ist zu doof seinen Spambot richtig zu konfigurieren.

 

[servo]

Danke Lord Gurke.

Ich hatte mich vorhin schon durch die Logs gewühlt. Auzugsweise hier von mail.info

Mar 20 18:31:39  /var/qmail/bin/relaylock[23846]: /var/qmail/bin/relaylock: mail from 106.10.151.193:31426 (nm31-vm2.bullet.mail.sg3.yahoo.com)
Mar 20 18:31:43  qmail-queue-handlers[23850]: Handlers Filter before-queue for qmail started ...
Mar 20 18:31:44  qmail-queue-handlers[23850]: from=anapaula.oliveira48@yahoo.com.br
Mar 20 18:31:44  qmail-queue-handlers[23850]: to=xxxxxx@xxxxxxxxx.xxxx
Mar 20 18:31:44  greylisting filter[23851]: Starting greylisting filter...
Mar 20 18:31:44  spf filter[23854]: Starting spf filter...
Mar 20 18:31:45  spf filter[23854]: Error code: (2) Could not find a valid SPF record
Mar 20 18:31:45  spf filter[23854]: Failed to query MAIL-FROM: No SPF records for 'yahoo.com.br'
Mar 20 18:31:45  spf filter[23854]: SPF result: neutral
Mar 20 18:31:45  spf filter[23854]: SPF status: PASS
Mar 20 18:31:48  qmail: 1363800708.504599 new msg 86951482
Mar 20 18:31:48  qmail: 1363800708.504669 info msg 86951482: bytes 22547 from <anapaula.oliveira48@yahoo.com.br> qp 23869 uid 2020
Mar 20 18:31:48  qmail-local-handlers[23870]: Handlers Filter before-local for qmail started ...
Mar 20 18:31:48  qmail-local-handlers[23870]: from=anapaula.oliveira48@yahoo.com.br
Mar 20 18:31:48  qmail-local-handlers[23870]: to=xxxxxx@xxxxxxxxx.xxxx
Mar 20 18:31:48  qmail-local-handlers[23870]: mailbox: /var/qmail/mailnames/xxxxxx@xxxxxxxxx.xxxx
Mar 20 18:31:48  spamd[20347]: spamd: got connection over /tmp/spamd_full.sock
Mar 20 18:31:48  spamd[20347]: spamd: using default config for xxxxxx@xxxxxxxxx.xxxx: /var/qmail/mailnames/xxxxxx@xxxxxxxxx.xxxx/.spamassassin/user_prefs
Mar 20 18:31:48  spamd[20347]: spamd: processing message <582F2FFCC47BA3353A9086EDEE3A91B2@xrzhngfa> for xxxxxx@xxxxxxxxx.xxxx:110
Mar 20 18:31:48  qmail: 1363800708.584121 starting delivery 938: msg 86951482 to local 1-xxxxxx@xxxxxxxxx.xxxx
Mar 20 18:31:48  qmail: 1363800708.584207 status: local 1/10 remote 0/20
Mar 20 18:31:49  spamd[20347]: spamd: identified spam (3.4/1.0) for xxxxxx@xxxxxxxxx.xxxx:110 in 0.5 seconds, 22547 bytes.
Mar 20 18:31:49  spamd[20347]: spamd: result: Y 3 - FORGED_OUTLOOK_HTML,HTML_IMAGE_RATIO_02,HTML_MESSAGE,MIME_BASE64_BLANKS,MIME_HTML_ONLY,SPF_NEUTRAL scantime=0.5,size=22547,user=xxxxxx@xxxxxxxxx.xxxx,uid=110,required_score=1.0,rhost=localhost,raddr=127.0.0.1,rport=/tmp/spamd_full.sock,mid=<582F2FFCC47BA3353A9086EDEE3A91B2@xrzhngfa>,autolearn=no
Mar 20 18:31:49  spamd[20346]: prefork: child states: II
Mar 20 18:31:49  dk_check[23873]: DK_STAT_NOSIG: No signature available in message
Mar 20 18:31:49  qmail: 1363800709.110709 delivery 938: success: did_0+0+2/
Mar 20 18:31:49  qmail: 1363800709.110788 status: local 0/10 remote 0/20
Mar 20 18:31:49  qmail: 1363800709.110811 end msg 86951482

spamd wandelt die adresse um und irgendwie geht halt dann die eigentliche adresse nur "optisch" verloren. also alles wohl ganz normal.