Jede neue E-Mail wird gespammt

Hallo Forum,

ich hoffe ich bin hier überhaupt richtig und ihr könnt mir irgendwie helfen. Ich habe eine Domain seit 2011. Ich habe 8 Jahre lang als Kundenmail support@ benutzt. Es wurde jedoch jetzt einfach zu schlimm mit den Spam Mails. Als habe ich das komplett geändert auf Contact@. Siehe da ....2 Stunden hat es gedauert und ich hatte wieder die ersten Spam Mails.

Jetzt habe ich am Sonntag mit meiner kompletten Seite von einem vServer bei Server4You zu Contabo gewechselt. Somit habe ich mir gedacht, neuer Server neue Mail. Ich habe jetzt ybts@ genommen und schon wird diese gespammt. Das kann ja nicht sein. Was passiert hier? Woher kommen die so schnell an die neue Mail Adresse? Auf meiner Seite steht ja jetzt auch ybts[at]. Ich werd die nicht mehr los.

Ich hoffe jemand von euch hat einen Lösungsansatz. Vielen Dank im Voraus für eure Hilfen.
 

nexus

Well-Known Member
Konfiguriere deinen MTA so, daß er Spammails garnicht erst annimmt.

BTW:
Wenn du zielführende Lösungsansätze haben möchtest, dann solltest du auch mehr Infos liefern, z.B. welches OS wird eingesetzt, welcher MTA läuft auf deiner Maschine, verwendest du ein Adminpanel, sind alle wichtigen DNS-RR (u.a. A, AAAA, MX, SPF, DKIM, PTR) korrekt gesetzt, usw...
 

danton

Debian User
Gehen die Mails direkt an die neue Adresse, ober kommen sie auch über andere, die nur auf die neue Adresse weiterleiten (Rollen-Adressen wie postmaster oder webmaster werden ja auch gerne mal nur als Alias angelegt).
Sind denn irgendwelche Spamabwehr-Massnahmen getroffen worden (Blacklists, Greylisting, Postscreen, Spamassassin, usw. die alle natürlich auch Nachteile haben)?
 

GwenDragon

Registered User
@webmaster2208 Wenn du deine Mailadresse irgendwo postest, wird die halt von Spammern verwendet. Oder dein Adressbuch auf dem PC oder Webmailer ist geklaut worden. Oder du hast eine Catch-All-Adresse auf deinem Server eingerichtet, die dann intern auf deine Mail weiter leitet.
 

danton

Debian User
Dazu kommt, dass die Spammer auch einfach Adressen ausprobieren - dabei fangen sie oft bei weitverbreiteten wie support, contact, info usw. an und testen sich dann einfach durch (da habe ich schon die wildesten Buchstaben-Kombinationen in meinem Log gesehen...)
 
Danke für die feedbacks erstmal.

Ja die Infos habe ich vergessen. Sorry.
Ich habe einen vServer mit Ubuntu 16 und Plesk web pro edition mit Onyx 17.8.11 am laufen.

@danton Das war auch mein Gedanke. Deswegen hatte ich direkt was anderes genommen mit ybts@domain.de. Zudem gehen direkt an ybts@domain.de

@GwenDragon Ich habe es eigentlich nur im Impressum stehen und diesmal als ybts[at]domain.de

Ich habe mal die Server und Hosting DNS Einstellungen mit angehangen. Sorry für die Schwärzungen aber ih weiss nicht was einige mit so mancher Information anstellen können.

Hier sind auch einige Subdomain, daher soviele Einträge.

Ich habe als Haupt Email ybts@domain.de und einige aliase wie paypal@, facebook@, twitter@ eingestellt.
 

Attachments

danton

Debian User
Schreibweisen wie ybts[at]domain.de sind für viele eMail-Harvester kein Hinternis mehr - sie folgen oft einem ähnlichen Muster und lassen sich daher recht einfach automatisiert wieder zu einer richtigen eMail-Adresse ändern.
Nochmal: Kommen die Spams direkt über deine ybts@domain.de oder evtl. über Aliase? Und was hast du als Antispam-Massnahmen auf deinem Server laufen. Geht (bis auf die nicht aktivierten Blacklists) aus deinem Screenshot nicht hervor.
 

GwenDragon

Registered User
@webmaster2208 Mir stellt sich die Frage: Was willst du erreichen. Spam gleich abweisen und nicht erst bekommen oder einfach nur besser filtern?
Ersteres hat Risiken, dass auch Mails abgewiesen werden, die gar kein Spam sind. Dann bekommt der Sendende zwar eine Meldung je nach Mailclient kann die kryptisch sein und/oder Leute verärgern. Kommt halt darauf an wer deine Zielgruppe ist.
Ansonsten ist Graylisting durch annehmenden Postfix o.ä. schon mal gut, das verzögert und reduziert ein bisschen oder viel je nachdem wie dumm Spam-Bots sind. Bei "Besser filtern" kannst du auch Mailheader nach eigenen Regeln filtern/gewichten lassen (je nach Spamfilter auf deinem Server).
 
@danton Im Anhang ein Bild. Frisch eingetroffene SPAM. Direkt an die neue E-Mail Adresse.

@GwenDragon Versuche eigentlich nur zu verstehen, wieso ich direkt an meine neue Adresse eine Stunde nach einrichten weiterhin SPAMS bekomme. Was mir gerade einfällt....an meine aliase paypal, twitter, facebook bekomme ich keine SPAM's gerichtet. Nur an die die kein Alias ist.
 

Attachments

mr_brain

Registered User
Poste doch mal den vollständigen Header der Email.

Ansonsten RBLs verwenden. Folgende Blacklisten kann ich als Liste empfehlen:

ix.dnsbl.manitu.net
ips.backscatterer.org
dnsrbl.org
dnsbl-1.uceprotect.net
dnsbl-2.uceprotect.net
dnsbl-3.uceprotect.net
rbl.realtimeblacklist.com
dnsbl.sorbs.net

Dazu dann noch

list.dnswl.org

als Whiteliste, damit z.B. die Telekom-Server gewhitelistet werden.
 

danton

Debian User
Interessant ist der vollständige Header der eMail - einige eMail-Programme zeigen manchmal seltsame Dinge an, darunter auch Outlook.
 
Das ist der vollständige Header:
Return-Path: <paolinatomasiniiib@yahoo.com>
X-Original-To: ybts@y......net
Delivered-To: ybts@y.....net
Received: from [167.86.110.200] (vmdXXXX.contaboserver.net [167.XX.XXX.XXX])
by vmdXXXX.contaboserver.net (Postfix) with ESMTPSA id 8328019C1078
for <ybts@y......net>; Sat, 5 Oct 2019 19:11:18 +0200 (CEST)
To: ybts@y.....net
From: paolinatomasiniiib@yahoo.com
Reply-To: paolinatomasiniiib@yahoo.com
Subject: Sex App For Adult Dating, Sex Now Websites - 667 girls want to
meet for sex in your city:
https://adultdating-sites777.blogspot.ie?s=78
Date: Sat, 05 Oct 2019 19:11:18 +0200
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="_=_swift-13269047515d98ceb6878be1.12833222_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <20191005171118.29920.1191049047.swift@www.y......net>


Ein weiteres:
Return-Path: <untewhitle1978@mail.ru>
X-Original-To: ybts@y....s.net
Delivered-To: ybts@y.....net
Received: from [167.86.XXx:XXX] (vmd39010.contaboserver.net [167.86.XXx:XXX])
by vmdxxx.contaboserver.net (Postfix) with ESMTPSA id 5CF5819C05CE
for <ybts@y....s.net>; Sat, 5 Oct 2019 12:31:55 +0200 (CEST)
To: ybts@y.....net
From: untewhitle1978@mail.ru
Reply-To: untewhitle1978@mail.ru
Subject: fjlk222k https://google.com
Date: Sat, 05 Oct 2019 12:31:55 +0200
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="_=_swift-10876286595d98711b612a92.03437607_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <20191005103155.11631.1084908583.swift@www.y....s.net>
 

danton

Debian User
Wenn der Servername, denn du in den Received-Zeilen verfremdet hast, der gleiche ist, dann wird der Spam auf deinem eigenen Server generiert und dann mit einem gültigen Login an Postfix übergeben (ESMPTSA).
Meine Vermutung: Ein ungeschütztes Kontaktformular oder eine Sicherheitslücke in einem Script auf deinem Server.
 

DjTom-i

verifizierter Anbieter
verifizierter Anbieter
Was ist denn über die ID 5CF5819C05CE im Log zu sehen?

Code:
cat /var/log/maillog | grep 5CF5819C05CE (jaja cat und grep.. ich weiss..)
 

mr_brain

Registered User
Es wäre schon sinnvoll, wenn die Logs zu den Emails passen würden und nicht von unterschiedlichen Tagen.
 
Klar. Sorry.

Also diese Mail habe ich heute um 15:52 uhr erhalten.
Code:
Return-Path: <matthewfp2@sho5410.yuji29.kiesag.xyz>
X-Original-To: ybts@y......net
Delivered-To: ybts@y......net
Received: from [167.86.XXX.XXX] (vmd39010.contaboserver.net [167.86.XXX.XXX])
    by vmd39010.contaboserver.net (Postfix) with ESMTPSA id 9468E19C0B9B
    for <ybts@y......net>; Sun,  6 Oct 2019 15:51:58 +0200 (CEST)
To: ybts@y......net
From: matthewfp2@sho5410.yuji29.kiesag.xyz
Reply-To: matthewfp2@sho5410.yuji29.kiesag.xyz
Subject: Hot galleries, thousands new daily.
Date: Sun, 06 Oct 2019 15:51:58 +0200
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_swift-14843737705d99f17e9991c7.33890385_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <20191006135158.10334.1739260505.swift@www.y......net>

Der Log dazu:
Code:
Oct  6 15:51:14 vmd39010 postfix/smtpd[8254]: connect from unknown[45.142.195.5]
Oct  6 15:51:14 vmd39010 plesk_saslauthd[10320]: No such user 'goodman@contaboserver.net' in mail authorization database
Oct  6 15:51:14 vmd39010 plesk_saslauthd[10320]: failed mail authentication attempt for user 'goodman@contaboserver.net' (password len=8)
Oct  6 15:51:14 vmd39010 postfix/smtpd[8254]: warning: unknown[45.142.195.5]: SASL LOGIN authentication failed: authentication failure
Oct  6 15:51:14 vmd39010 postfix/smtpd[8254]: disconnect from unknown[45.142.195.5] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 15:51:16 vmd39010 plesk_saslauthd[10320]: No such user 'amarantus@contaboserver.net' in mail authorization database
Oct  6 15:51:16 vmd39010 plesk_saslauthd[10320]: failed mail authentication attempt for user 'amarantus@contaboserver.net' (password len=10)
Oct  6 15:51:16 vmd39010 postfix/smtpd[10321]: warning: unknown[92.118.38.53]: SASL LOGIN authentication failed: authentication failure
Oct  6 15:51:25 vmd39010 postfix/smtpd[7627]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known
Oct  6 15:51:25 vmd39010 postfix/smtpd[7627]: connect from unknown[92.118.38.37]
Oct  6 15:51:27 vmd39010 plesk_saslauthd[10320]: No such user 'elmer@contaboserver.net' in mail authorization database
Oct  6 15:51:27 vmd39010 plesk_saslauthd[10320]: failed mail authentication attempt for user 'elmer@contaboserver.net' (password len=6)
Oct  6 15:51:27 vmd39010 postfix/smtpd[7627]: warning: unknown[92.118.38.37]: SASL LOGIN authentication failed: authentication failure
Oct  6 15:51:28 vmd39010 postfix/smtpd[7627]: disconnect from unknown[92.118.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 15:51:28 vmd39010 postfix/smtpd[10321]: lost connection after AUTH from unknown[92.118.38.53]
Oct  6 15:51:28 vmd39010 postfix/smtpd[10321]: disconnect from unknown[92.118.38.53] ehlo=1 auth=0/1 rset=1 commands=2/3
Oct  6 15:51:58 vmd39010 plesk_saslauthd[10320]: select timeout, exiting
Oct  6 15:51:58 vmd39010 postfix/smtpd[10321]: connect from vmd39010.contaboserver.net[167.86.XXX.XXX]
Oct  6 15:51:58 vmd39010 postfix/smtpd[10321]: 9468E19C0B9B: client=vmd39010.contaboserver.net[167.86.XXX.XXX], sasl_method=LOGIN, sasl_username=ybts@yoxxxx.net
Oct  6 15:51:58 vmd39010 postfix/cleanup[10389]: 9468E19C0B9B: message-id=<20191006135158.10334.1739260505.swift@www.yoxxxx.net>
Oct  6 15:51:58 vmd39010 check-quota[10392]: Starting the check-quota filter...
Oct  6 15:51:58 vmd39010 /usr/lib/plesk-9.0/psa-pc-remote[871]: handlers_stderr: SKIP
Oct  6 15:51:58 vmd39010 /usr/lib/plesk-9.0/psa-pc-remote[871]: SKIP during call 'check-quota' handler
Oct  6 15:51:58 vmd39010 postfix/qmgr[16771]: 9468E19C0B9B: from=<matthewfp2@sho5410.yuji29.kiesag.xyz>, size=1333, nrcpt=1 (queue active)
Oct  6 15:51:58 vmd39010 postfix/smtpd[10321]: disconnect from vmd39010.contaboserver.net[167.86.XXX.XXX] ehlo=1 auth=1 mail=1 rcpt=1 data=1 commands=5
Oct  6 15:51:58 vmd39010 postfix-local[10394]: postfix-local: from=matthewfp2@sho5410.yuji29.kiesag.xyz, to=ybts@yoxxxx.net, dirname=/var/qmail/mailnames
Oct  6 15:51:58 vmd39010 postfix/pipe[10393]: 9468E19C0B9B: to=<ybts@yoxxxx.net>, relay=plesk_virtual, delay=0.21, delays=0.17/0.01/0/0.03, dsn=2.0.0, status=sent (delivered via plesk_virtual service)
Oct  6 15:51:58 vmd39010 postfix/qmgr[16771]: 9468E19C0B9B: removed
Oct  6 15:51:59 vmd39010 postfix/smtpd[8254]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known
Oct  6 15:51:59 vmd39010 postfix/smtpd[8254]: connect from unknown[92.118.38.37]
Oct  6 15:52:01 vmd39010 plesk_saslauthd[10401]: listen=6, status=5, dbpath='/plesk/passwd.db', keypath='/plesk/passwd_db_key', chroot=1, unprivileged=1
Oct  6 15:52:01 vmd39010 plesk_saslauthd[10401]: privileges set to (109:114) (effective 109:114)
Oct  6 15:52:01 vmd39010 plesk_saslauthd[10401]: No such user 'elodie@contaboserver.net' in mail authorization database
Oct  6 15:52:01 vmd39010 plesk_saslauthd[10401]: failed mail authentication attempt for user 'elodie@contaboserver.net' (password len=7)
Oct  6 15:52:01 vmd39010 postfix/smtpd[8254]: warning: unknown[92.118.38.37]: SASL LOGIN authentication failed: authentication failure
Oct  6 15:52:02 vmd39010 postfix/smtpd[7627]: connect from unknown[45.142.195.5]
Oct  6 15:52:02 vmd39010 postfix/smtpd[8254]: disconnect from unknown[92.118.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 15:52:02 vmd39010 plesk_saslauthd[10401]: No such user 'castles@contaboserver.net' in mail authorization database
Oct  6 15:52:02 vmd39010 plesk_saslauthd[10401]: failed mail authentication attempt for user 'castles@contaboserver.net' (password len=8)
Oct  6 15:52:02 vmd39010 postfix/smtpd[7627]: warning: unknown[45.142.195.5]: SASL LOGIN authentication failed: authentication failure
Oct  6 15:52:02 vmd39010 postfix/smtpd[7627]: disconnect from unknown[45.142.195.5] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 15:52:32 vmd39010 plesk_saslauthd[10401]: select timeout, exiting
Oct  6 15:52:33 vmd39010 postfix/smtpd[8254]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known

Diese Mail kam um 6:49 Uhr
Code:
Return-Path: <mbaye-alassane@hotmail.fr>
X-Original-To: ybts@y.....net
Delivered-To: ybts@y.....net
Received: from [167.86.XXX.XXX] (vmd39010.contaboserver.net [167.86.XXX.XXX])
    by vmd39010.contaboserver.net (Postfix) with ESMTPSA id BE1FE19C121D
    for <ybts@y.....net>; Sun,  6 Oct 2019 06:49:43 +0200 (CEST)
To: ybts@y.....net
From: mbaye-alassane@hotmail.fr
Reply-To: mbaye-alassane@hotmail.fr
Subject: =?utf-8?B?U2V4IEFkdWx0IERhdGluZyDQstCC4oCcIENhc3VhbCBvbmxp?=
 =?utf-8?B?bmUgcGVyc29uYWxzIGZvciBmbGlydHkgaW5kaXZpZHVhbHMgLSAzMzMg?=
 =?utf-8?B?YmVhdXRpZnVsIHdvbWVuIHdhbnQgc2V4IGluIHlvdXIgY2l0eSByaWdo?=
 =?utf-8?B?dCBub3c6IGh0dHBzOi8vc2l0ZWFkdWx0ZGF0aW5nZm9yc2V4LmJsb2dz?=
 =?utf-8?B?cG90LmFlP2E9NDA=?=
Date: Sun, 06 Oct 2019 06:49:43 +0200
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_swift-9874178225d997267c1ba22.40048773_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <20191006044943.8486.1817637225.swift@www.y.....net>

Der Log dazu:
Code:
Oct  6 06:49:21 vmd39010 plesk_saslauthd[8532]: No such user 'davidr@contaboserver.net' in mail authorization database
Oct  6 06:49:21 vmd39010 plesk_saslauthd[8532]: failed mail authentication attempt for user 'davidr@contaboserver.net' (password len=7)
Oct  6 06:49:21 vmd39010 postfix/smtpd[8150]: warning: unknown[92.118.38.37]: SASL LOGIN authentication failed: authentication failure
Oct  6 06:49:22 vmd39010 postfix/smtpd[8150]: disconnect from unknown[92.118.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 06:49:23 vmd39010 postfix/anvil[1882]: statistics: max connection rate 6/60s for (smtp:111.75.149.221) at Oct  6 06:46:09
Oct  6 06:49:23 vmd39010 postfix/anvil[1882]: statistics: max connection count 1 for (smtp:45.142.195.5) at Oct  6 06:39:26
Oct  6 06:49:23 vmd39010 postfix/anvil[1882]: statistics: max cache size 5 at Oct  6 06:41:15
Oct  6 06:49:27 vmd39010 plesk_saslauthd[8532]: No such user 'alle@contaboserver.net' in mail authorization database
Oct  6 06:49:27 vmd39010 plesk_saslauthd[8532]: failed mail authentication attempt for user 'alle@contaboserver.net' (password len=5)
Oct  6 06:49:27 vmd39010 postfix/smtpd[8528]: warning: unknown[92.118.38.53]: SASL LOGIN authentication failed: authentication failure
Oct  6 06:49:39 vmd39010 postfix/smtpd[8528]: lost connection after AUTH from unknown[92.118.38.53]
Oct  6 06:49:39 vmd39010 postfix/smtpd[8528]: disconnect from unknown[92.118.38.53] ehlo=1 auth=0/1 rset=1 commands=2/3
Oct  6 06:49:41 vmd39010 postfix/smtpd[8148]: connect from unknown[45.142.195.5]
Oct  6 06:49:41 vmd39010 plesk_saslauthd[8532]: No such user 'functionality@contaboserver.net' in mail authorization database
Oct  6 06:49:41 vmd39010 plesk_saslauthd[8532]: failed mail authentication attempt for user 'functionality@contaboserver.net' (password len=14)
Oct  6 06:49:41 vmd39010 postfix/smtpd[8148]: warning: unknown[45.142.195.5]: SASL LOGIN authentication failed: authentication failure
Oct  6 06:49:41 vmd39010 postfix/smtpd[8148]: disconnect from unknown[45.142.195.5] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 06:49:43 vmd39010 postfix/smtpd[8528]: connect from vmd39010.contaboserver.net[167.86.XXX.XXX]
Oct  6 06:49:43 vmd39010 postfix/smtpd[8528]: BE1FE19C121D: client=vmd39010.contaboserver.net[167.86.XXX.XXX], sasl_method=LOGIN, sasl_username=ybts@yoxxxx.net
Oct  6 06:49:43 vmd39010 postfix/cleanup[8571]: BE1FE19C121D: message-id=<20191006044943.8486.1817637225.swift@www.yoxxxx.net>
Oct  6 06:49:43 vmd39010 check-quota[8574]: Starting the check-quota filter...
Oct  6 06:49:43 vmd39010 /usr/lib/plesk-9.0/psa-pc-remote[871]: handlers_stderr: SKIP
Oct  6 06:49:43 vmd39010 /usr/lib/plesk-9.0/psa-pc-remote[871]: SKIP during call 'check-quota' handler
Oct  6 06:49:43 vmd39010 postfix/qmgr[1850]: BE1FE19C121D: from=<mbaye-alassane@hotmail.fr>, size=1493, nrcpt=1 (queue active)
Oct  6 06:49:43 vmd39010 postfix-local[8576]: postfix-local: from=mbaye-alassane@hotmail.fr, to=ybts@yoxxxx.net, dirname=/var/qmail/mailnames
Oct  6 06:49:43 vmd39010 postfix/smtpd[8528]: disconnect from vmd39010.contaboserver.net[167.86.XXX.XXX] ehlo=1 auth=1 mail=1 rcpt=1 data=1 commands=5
Oct  6 06:49:43 vmd39010 postfix/pipe[8575]: BE1FE19C121D: to=<ybts@yoxxxx.net>, relay=plesk_virtual, delay=0.18, delays=0.14/0.01/0/0.03, dsn=2.0.0, status=sent (delivered via plesk_virtual service)
Oct  6 06:49:43 vmd39010 postfix/qmgr[1850]: BE1FE19C121D: removed
Oct  6 06:49:52 vmd39010 postfix/smtpd[939]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known
Oct  6 06:49:52 vmd39010 postfix/smtpd[939]: connect from unknown[92.118.38.37]
Oct  6 06:49:55 vmd39010 plesk_saslauthd[8532]: No such user 'davidru@contaboserver.net' in mail authorization database
Oct  6 06:49:55 vmd39010 plesk_saslauthd[8532]: failed mail authentication attempt for user 'davidru@contaboserver.net' (password len=8)
Oct  6 06:49:55 vmd39010 postfix/smtpd[939]: warning: unknown[92.118.38.37]: SASL LOGIN authentication failed: authentication failure
Oct  6 06:49:55 vmd39010 postfix/smtpd[939]: disconnect from unknown[92.118.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 06:50:25 vmd39010 plesk_saslauthd[8532]: select timeout, exiting
Oct  6 06:50:25 vmd39010 postfix/smtpd[8150]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known
Oct  6 06:50:25 vmd39010 postfix/smtpd[8150]: connect from unknown[92.118.38.37]
Oct  6 06:50:28 vmd39010 plesk_saslauthd[8627]: listen=6, status=5, dbpath='/plesk/passwd.db', keypath='/plesk/passwd_db_key', chroot=1, unprivileged=1

Eine schreibe ich noch:
Code:
Return-Path: <roni.freitas@gmail.com>
X-Original-To: ybts@y.....net
Delivered-To: ybts@y.....net
Received: from [167.86.XXX.XXX] (vmd39010.contaboserver.net [167.86.XXX.XXX])
    by vmd39010.contaboserver.net (Postfix) with ESMTPSA id 6F7D119C0DB9
    for <ybts@y.....net>; Sun,  6 Oct 2019 04:38:36 +0200 (CEST)
To: ybts@y.....net
From: roni.freitas@gmail.com
Reply-To: roni.freitas@gmail.com
Subject: Find No String Girls Near Online for Sex Tonight (122 beautiful
 women want sex in your city right now):
 https://bestadultdatingsite999.blogspot.cz?b=86
Date: Sun, 06 Oct 2019 04:38:36 +0200
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_swift-13731948765d9953ac7321a3.19114185_=_"
Content-Transfer-Encoding: 7bit
Message-ID: <20191006023836.29452.1772618205.swift@www.y.....net>
Der Log dazu:
Code:
Oct  6 04:38:17 vmd39010 postfix/smtpd[27551]: connect from unknown[92.118.38.37]
Oct  6 04:38:19 vmd39010 plesk_saslauthd[29619]: No such user 'customer@vultr.com@contaboserver.net' in mail authorization database
Oct  6 04:38:19 vmd39010 plesk_saslauthd[29619]: failed mail authentication attempt for user 'customer@vultr.com@contaboserver.net' (password len=19)
Oct  6 04:38:19 vmd39010 postfix/smtpd[27551]: warning: unknown[92.118.38.37]: SASL LOGIN authentication failed: authentication failure
Oct  6 04:38:19 vmd39010 postfix/smtpd[27551]: disconnect from unknown[92.118.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 04:38:36 vmd39010 postfix/smtpd[29661]: connect from vmd39010.contaboserver.net[167.86.XXX.XXX]
Oct  6 04:38:36 vmd39010 postfix/smtpd[29661]: 6F7D119C0DB9: client=vmd39010.contaboserver.net[167.86.XXX.XXX], sasl_method=LOGIN, sasl_username=ybts@y......net
Oct  6 04:38:36 vmd39010 postfix/cleanup[29665]: 6F7D119C0DB9: message-id=<20191006023836.29452.1772618205.swift@www.y......net>
Oct  6 04:38:36 vmd39010 check-quota[29668]: Starting the check-quota filter...
Oct  6 04:38:36 vmd39010 /usr/lib/plesk-9.0/psa-pc-remote[871]: handlers_stderr: SKIP
Oct  6 04:38:36 vmd39010 /usr/lib/plesk-9.0/psa-pc-remote[871]: SKIP during call 'check-quota' handler
Oct  6 04:38:36 vmd39010 postfix/qmgr[1850]: 6F7D119C0DB9: from=<roni.freitas@gmail.com>, size=1323, nrcpt=1 (queue active)
Oct  6 04:38:36 vmd39010 postfix/smtpd[29661]: disconnect from vmd39010.contaboserver.net[167.86.XXX.XXX] ehlo=1 auth=1 mail=1 rcpt=1 data=1 commands=5
Oct  6 04:38:36 vmd39010 postfix-local[29670]: postfix-local: from=roni.freitas@gmail.com, to=ybts@y......net, dirname=/var/qmail/mailnames
Oct  6 04:38:36 vmd39010 postfix/pipe[29669]: 6F7D119C0DB9: to=<ybts@y......net>, relay=plesk_virtual, delay=0.19, delays=0.15/0.01/0/0.04, dsn=2.0.0, status=sent (delivered via plesk_virtual service)
Oct  6 04:38:36 vmd39010 postfix/qmgr[1850]: 6F7D119C0DB9: removed
Oct  6 04:38:38 vmd39010 postfix/smtpd[27553]: connect from unknown[45.142.195.5]
Oct  6 04:38:38 vmd39010 plesk_saslauthd[29619]: No such user 'mighty@contaboserver.net' in mail authorization database
Oct  6 04:38:38 vmd39010 plesk_saslauthd[29619]: failed mail authentication attempt for user 'mighty@contaboserver.net' (password len=7)
Oct  6 04:38:38 vmd39010 postfix/smtpd[27553]: warning: unknown[45.142.195.5]: SASL LOGIN authentication failed: authentication failure
Oct  6 04:38:38 vmd39010 postfix/smtpd[27553]: disconnect from unknown[45.142.195.5] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 04:38:41 vmd39010 plesk_saslauthd[29619]: No such user 'alids@contaboserver.net' in mail authorization database
Oct  6 04:38:41 vmd39010 plesk_saslauthd[29619]: failed mail authentication attempt for user 'alids@contaboserver.net' (password len=6)
Oct  6 04:38:41 vmd39010 postfix/smtpd[29620]: warning: unknown[92.118.38.53]: SASL LOGIN authentication failed: authentication failure
Oct  6 04:38:51 vmd39010 postfix/smtpd[27551]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known
Oct  6 04:38:51 vmd39010 postfix/smtpd[27551]: connect from unknown[92.118.38.37]
Oct  6 04:38:53 vmd39010 plesk_saslauthd[29619]: No such user 'customs@contaboserver.net' in mail authorization database
Oct  6 04:38:53 vmd39010 plesk_saslauthd[29619]: failed mail authentication attempt for user 'customs@contaboserver.net' (password len=8)
Oct  6 04:38:53 vmd39010 postfix/smtpd[27551]: warning: unknown[92.118.38.37]: SASL LOGIN authentication failed: authentication failure
Oct  6 04:38:54 vmd39010 postfix/smtpd[27551]: disconnect from unknown[92.118.38.37] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
Oct  6 04:38:54 vmd39010 postfix/smtpd[29620]: lost connection after AUTH from unknown[92.118.38.53]
Oct  6 04:38:54 vmd39010 postfix/smtpd[29620]: disconnect from unknown[92.118.38.53] ehlo=1 auth=0/1 rset=1 commands=2/3
Oct  6 04:39:22 vmd39010 postfix/anvil[1882]: statistics: max connection rate 2/60s for (smtp:92.118.38.37) at Oct  6 04:29:47
Oct  6 04:39:22 vmd39010 postfix/anvil[1882]: statistics: max connection count 1 for (smtp:92.118.38.37) at Oct  6 04:29:47
Oct  6 04:39:22 vmd39010 postfix/anvil[1882]: statistics: max cache size 5 at Oct  6 04:38:36
Oct  6 04:39:23 vmd39010 plesk_saslauthd[29619]: select timeout, exiting
Oct  6 04:39:25 vmd39010 postfix/smtpd[27553]: warning: hostname ip-38-37.ZervDNS does not resolve to address 92.118.38.37: Name or service not known
Oct  6 04:39:25 vmd39010 postfix/smtpd[27553]: connect from unknown[92.118.38.37]
Oct  6 04:39:26 vmd39010 postfix/smtpd[27551]: connect from unknown[45.142.195.5]
Oct  6 04:39:27 vmd39010 plesk_saslauthd[29782]: listen=6, status=5, dbpath='/plesk/passwd.db', keypath='/plesk/passwd_db_key', chroot=1, unprivileged=1
 

mr_brain

Registered User
"by vmd39010.contaboserver.net (Postfix) with ESMTPSA id 9468E19C0B9B"

"Oct 6 15:51:58 vmd39010 postfix/smtpd[10321]: 9468E19C0B9B: client=vmd39010.contaboserver.net[167.86.XXX.XXX], sasl_method=LOGIN, sasl_username=ybts@yoxxxx.net
Oct 6 15:51:58 vmd39010 postfix/cleanup[10389]: 9468E19C0B9B: message-id=<20191006135158.10334.1739260505.swift@www.yoxxxx.net>"

Die Email wird per SMTP-Auth vom Server vmd39010.contaboserver.net[167.86.XXX.XXX] eingeliefert. Könnte, wie schon vermutet, eine gehackte Webseite (z.B. Wordpress, o.ä.) bei welcher Zugangsdaten eines Postfaches verwendet werden.
 
Top