Hunderte Spammails vom eigenen Server


Merlok

New Member
Ich bekomme seit einiger Zeit (wahrscheinlich seit Neuaufsetzen des Servers) massig Spammails an meine private Mailadresse von meinem Mailserver (qmail).

Diese Mails haben keinen Absender und keinen Betreff und landen deshalb im Spamordner. Es handelt sich dabei teilweise um hunderte Mails am Tag!
Anbei der Header einer solchen Mail:
Code:
Return-Path: <>
X-Flags: 1001
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 23 Dec 2009 00:00:03 -0000
Received: from vs2068162.vserver.de (EHLO vs2068162.vserver.de) [85.25.68.162]
  by mx0.gmx.net (mx091) with SMTP; 23 Dec 2009 01:00:03 +0100
Received: (qmail 32710 invoked by alias); 23 Dec 2009 01:00:03 +0100
Delivered-To: [email protected]
Date: Wed, 23 Dec 2009 01:00:03 +0100
Message-ID: <[email protected]>
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 5 (Score=6.400;EMPTY_MESSAGE,MISSING_HEADERS,MISSING_SUBJECT,TVD_SPACE_RATIO);
 Detail=5D7Q89H36p4foBdrngXLUqO4SZwsQctC89165DWb/7DKAWYDsvlV9nIKkcMb5/YDJ5IWt
 ei7K3bUKhiSm875msMVZwUzHO7nJERwvRojZzsDsuptQjuPZPkxrK1B0GqVJ10MOUrGWoB8sGiXy
 B+G6DpYhaKWgnjdAkwjz/Ep0wA5ACRYDCHsXFBxC5KbU845cx1zELYg4wRKWd4E+6Z6p1NUlLHCm
 isYp+W+6YhNsDA=V1;
X-GMX-UID: u28Ifj04eWU60pvR/XVz6kU5U3U4N08H

Das Maillog (/usr/local/psa/var/log/maillog) habe ich als *.txt Datei angehangen da es sehr lang ist.

Der Mailserver scheint in der Tat für den Spam verantwortlich zu sein, da im maillog.processed unter anderem folgendes steht:
Code:
Dec 22 04:17:31 vs2068162 qmail: 1261451851.303316 delivery 47246: deferral: 213.165.64.102_does_not_like_recipient./Remote_host_said:_450_4.3.2_Too_many_mails_(mail_bomb),_try_again_in_34_minute(s)_and_see_(_http://portal.gmx.net/serverrules_)_{mx065}/Giving_up_on_213.165.64.102./
Dec 22 04:17:31 vs2068162 qmail: 1261451851.303350 status: local 0/10 remote 0/20
Dec 22 04:18:42 vs2068162 qmail: 1261451922.293305 starting delivery 47247: msg 246404298 to remote [email protected]
Dec 22 04:18:42 vs2068162 qmail: 1261451922.293395 status: local 0/10 remote 1/20
Dec 22 04:18:42 vs2068162 qmail-remote-handlers[18256]: Handlers Filter before-remote for qmail started ...
Dec 22 04:18:42 vs2068162 qmail-remote-handlers[18256]: [email protected]
Dec 22 04:18:42 vs2068162 qmail-remote-handlers[18256]: [email protected]
Dec 22 04:18:42 vs2068162 qmail-remote-handlers[18256]: hook_dir = '/usr/local/psa/handlers/before-remote'
Dec 22 04:18:42 vs2068162 qmail-remote-handlers[18256]: recipient[3] = '[email protected]'
Dec 22 04:18:42 vs2068162 qmail-remote-handlers[18256]: handlers dir = '/usr/local/psa/handlers/before-remote/recipient/[email protected]'
Dec 22 04:18:42 vs2068162 qmail: 1261451922.361500 delivery 47247: deferral: 213.165.64.102_does_not_like_recipient./Remote_host_said:_450_4.3.2_Too_many_mails_(mail_bomb),_try_again_in_33_minute(s)_and_see_(_http://portal.gmx.net/serverrules_)_{mx065}/Giving_up_on_213.165.64.102./
Dec 22 04:18:42 vs2068162 qmail: 1261451922.361579 status: local 0/10 remote 0/20
Dec 22 04:19:20 vs2068162 qmail: 1261451960.356363 starting delivery 47248: msg 246394460 to remote [email protected]
Dec 22 04:19:20 vs2068162 qmail: 1261451960.356430 status: local 0/10 remote 1/20
Dec 22 04:19:20 vs2068162 qmail-remote-handlers[19689]: Handlers Filter before-remote for qmail started ...
Dec 22 04:19:20 vs2068162 qmail-remote-handlers[19689]: from=#@[]
Dec 22 04:19:20 vs2068162 qmail-remote-handlers[19689]: [email protected]
Dec 22 04:19:20 vs2068162 qmail-remote-handlers[19689]: hook_dir = '/usr/local/psa/handlers/before-remote'
Dec 22 04:19:20 vs2068162 qmail-remote-handlers[19689]: recipient[3] = '[email protected]'
Dec 22 04:19:20 vs2068162 qmail-remote-handlers[19689]: handlers dir = '/usr/local/psa/handlers/before-remote/recipient/[email protected]'
Dec 22 04:19:20 vs2068162 qmail: 1261451960.397401 delivery 47248: deferral: 213.165.64.102_does_not_like_recipient./Remote_host_said:_450_4.3.2_Too_many_mails_(mail_bomb),_try_again_in_32_minute(s)_and_see_(_http://portal.gmx.net/serverrules_)_{mx101}/Giving_up_on_213.165.64.102./
Dec 22 04:19:20 vs2068162 qmail: 1261451960.397459 status: local 0/10 remote 0/20
Dec 22 04:19:23 vs2068162 qmail: 1261451963.396314 starting delivery 47249: msg 246394644 to remote [email protected]
Dec 22 04:19:23 vs2068162 qmail: 1261451963.396381 status: local 0/10 remote 1/20
Dec 22 04:19:23 vs2068162 qmail-remote-handlers[19707]: Handlers Filter before-remote for qmail started ...
Dec 22 04:19:23 vs2068162 qmail-remote-handlers[19707]: from=#@[]
Dec 22 04:19:23 vs2068162 qmail-remote-handlers[19707]: [email protected]
Dec 22 04:19:23 vs2068162 qmail-remote-handlers[19707]: hook_dir = '/usr/local/psa/handlers/before-remote'
Dec 22 04:19:23 vs2068162 qmail-remote-handlers[19707]: recipient[3] = '[email protected]'
Dec 22 04:19:23 vs2068162 qmail-remote-handlers[19707]: handlers dir = '/usr/local/psa/handlers/before-remote/recipient/[email protected]'
Dec 22 04:19:23 vs2068162 qmail: 1261451963.435788 delivery 47249: deferral: 213.165.64.102_does_not_like_recipient./Remote_host_said:_450_4.3.2_Too_many_mails_(mail_bomb),_try_again_in_32_minute(s)_and_see_(_http://portal.gmx.net/serverrules_)_{mx018}/Giving_up_on_213.165.64.102./

Was könnte die Ursache davon sein?
Ein Open Relay möchte ich mal ausschließen, da ich eingestellt habe dass eine SMTP Auth erforderlich ist, und diverse Open Relay Testseiten melden dass kein Open Relay vorhanden wäre.

Hat jemand eine Idee was ich prüfen könnte?
 

Attachments

Die Mails werden alle von UID 0 (=root) eingeliefert.
Hast du vielleicht irgendeinen Dienst laufen, dem du deine GMX-Mailadresse zwecks Benachrichtigung angegeben hast?
Den Cron-Daemon kann man eigentlich fast ausschließen, der schreibt eigentlich immer "Cron xxx" in den Betreff.
 
Doch das ist sie. Wieso? Sollte ich die wegxen damit mir niemand Spam schickt?

Woran kann es liegen dass mir mein Server andauernd solche Mails zuschickt in denen offensichtlich nichts steht?:confused:

Edit:
Lord Gurke war schneller. Ich schau gleich mal danach!

Edit 2:
Von hier auf Arbeit komme ich nicht aufs PLESK. Die Ports sind da geblockt.

Kann ich irgendwie per WinSCP prüfen ob da ein Dienst läuft der mir Mails schicken soll? Oder per putty?
 
Sorry für den Doppelpost, aber ich habe da eine Vermutung die mir jemand bestätigen müsste der momentan auf PLESK zugreifen kann (ich kanns nicht weil ich auf Arbeit bin).

Im Log steht ja u.a.:
Code:
/usr/local/psa/handlers/before-remote

In dem Ordner habe ich was von Dr. Web gesehen.

Kann es sein dass Dr. Web standardmässig Updatelogs oder ähnliches an die im PLESK angegebene Admin-Mailadresse versendet?

Wenn ja, wo liegt denn Dr. Web damit ich das mal prüfen kann?!

Edit:
Habs jetzt grad entdeckt. Es scheint hier zu liegen: /etc/drweb/drweb_handler.conf

Dort steht drin:
Code:
# Admin mail address (should be qualified)
AdminMail = postmaster

# Mail address for redirect action (should be qualified)
RedirectMail = postmaster

# Filter address to be used in From: (should be qualified)
FilterMail = DrWEB-DAEMON

Gehe ich richtig in der Annahme dass es an diesen Einträgen liegt?
 
Last edited by a moderator:
Trag halt mal eine andere Adresse für den Empfänger ein. Ich vermute, dass dein DrWeb an postmaster@ sendet und Du ein Catchall/CatchUnknown konfiguriert hast, dass alles blind an deine GMX-Adresse weiterleitet.

1. Ist das nur bedingt konform mit der RFC2821
2. Kann das sehr schnell deiner Reputation bzw. der deines Servers schaden (siehe Rejections von GMX).

Lösungsvorschlag:
1. Catchall/Catchunknown deaktivieren
2. geforderte Postfächer nach RFC2821 anlegen
3. schauen, obs nun besser ist :)
 
Ich habe auf dem Server 3 Domains laufen, aber als Hostnamen in PLESK den Servernamen von S4Y eingetragen (vs2068162.vserver.de).

Ist es dann jetzt egal über welche der 3 Domänen ich den postmaster Account anlege?
 
Code:
The requirement to accept mail for
   postmaster implies that RCPT commands which specify a mailbox for
   postmaster at any of the domains for which the SMTP server provides
   mail service, as well as the special case of "RCPT TO:<Postmaster>"
   (with no domain specification), MUST be supported.

Es ist nicht wirklich egal, für welche Du die anlegst. Der postmaster-Account muss auf jeder Domain existieren, für die dein Server Maildienste anbietet.
 
Also am postmaster Account lag es wohl nicht.

Ich habe jetzt für jede Domain einen postmaster Account angelegt und erhalte trotzdem weiterhin Spammails.

An was könnte es denn noch liegen?
 
Ich habs ja schon fast aufgegeben dass jemand eine Idee hat, aber ich frag noch ein letztes Mal:
Hat veilleicht noch jemand irgendeine Idee woran es liegen könnte?

Jede noch so kleine Idee könnte schon helfen!
 
Du könntest ganz brutal in allen Dateien nach der zugespammten Adresse suchen lassen und dir die gefundenen genauer anschauen (mit Ausnahme der Dateien unter /var/log/).

Code:
cd /
grep -R -l "[email protected]" * >> /root/dateien_mit_meiner_mail.txt

Das kann eine ganze Zeit dauern (er muss ja erst _ALLE_ Dateien durchsuchen).
Wenn er fertig ist, findest du dein Ergebnis in der Datei /root/dateien_mit_meiner_mail.txt und kannst da mal durchscrollen.
Interessante Dateien könnten unter /etc/ liegen.
 
Wenn ich den Befehl eingebe, erhalte ich folgendes zurück:
Code:
[root@vs2068162 /]# grep -R -l "[email protected]" * >> /root/dateien_mit_meiner_mail.txt
grep: dev/log: No such device or address
grep: dev/vzfs: Permission denied

Das scheint also nicht zu funktionieren. Muss ich evtl. andere Parameter eingeben, damit es unter CentOS funktioniert?
 
Schau Dir mal den Inhalt von dateien_mit_meiner_mail.txt an - dort sollte trotzdem etwas drin stehen von den restlichen Dateien.
 
Also das Shell Fenster ist jetzt seit ca. 13:30 Uhr offen mit dem Befehl, aber die Datei ist immernoch leer.

Hab ich gerade nochmal geprüft. Woran kann das liegen?
 

Back
Top