Lästige Spams

[lixx]

Hallo!

Ich brauche eure Hilfe wegen einem spam(script?).

die maillog sagt:

Feb 15 17:10:03 myhost qmail: 1171555803.007558 new msg 61210680
Feb 15 17:10:03 myhost qmail: 1171555803.009722 info msg 61210680: bytes 615 from <anonymous@myhost.domain.com> qp 5201 uid 0
Feb 15 17:10:03 myhost qmail: 1171555803.120134 starting delivery 651: msg 61210680 to remote root@myhost.domain.com
Feb 15 17:10:03 myhost qmail: 1171555803.120200 status: local 0/10 remote 1/20
Feb 15 17:10:03 myhost qmail: 1171555803.420059 delivery 651: failure: xx.xx.3.6_does_not_like_recipient./Remote_host_said:_553_sorry,_that_domain_isn't_in_my_list_of_allowed_rcpthosts;_no_valid_cert_for_gatewaying_(#5.7.1)/Giving_up_on_xx.xx.3.6./
Feb 15 17:10:03 myhost qmail: 1171555803.507170 status: local 0/10 remote 0/20
Feb 15 17:10:03 myhost qmail: 1171555803.696912 bounce msg 61210680 qp 5252
Feb 15 17:10:03 myhost qmail: 1171555803.696975 end msg 61210680
Feb 15 17:10:03 myhost qmail: 1171555803.697525 new msg 61210682
Feb 15 17:10:03 myhost qmail: 1171555803.697960 info msg 61210682: bytes 1365 from <> qp 5253 uid 2522
Feb 15 17:10:03 myhost qmail: 1171555803.719927 starting delivery 652: msg 61210682 to remote anonymous@myhost.domain.com
Feb 15 17:10:03 myhost qmail: 1171555803.720108 status: local 0/10 remote 1/20
Feb 15 17:10:03 myhost qmail: 1171555803.860873 delivery 652: failure: xx.xx.3.6_does_not_like_recipient./Remote_host_said:_553_sorry,_that_domain_isn't_in_my_list_of_allowed_rcpthosts;_no_valid_cert_for_gatewaying_(#5.7.1)/Giving_up_on_xx.xx.3.6./
Feb 15 17:10:03 myhost qmail: 1171555803.861036 status: local 0/10 remote 0/20
Feb 15 17:10:03 myhost qmail: 1171555803.964394 bounce msg 61210682 qp 5267
Feb 15 17:10:03 myhost qmail: 1171555803.964506 end msg 61210682
Feb 15 17:10:03 myhost qmail: 1171555803.966241 new msg 61210680
Feb 15 17:10:03 myhost qmail: 1171555803.966457 info msg 61210680: bytes 2013 from <#@[]> qp 5268 uid 2522
Feb 15 17:10:03 myhost qmail: 1171555803.977828 starting delivery 653: msg 61210680 to remote postmaster@myhost.domain.com
Feb 15 17:10:03 myhost qmail: 1171555803.978319 status: local 0/10 remote 1/20
Feb 15 17:10:04 myhost qmail: 1171555804.166137 delivery 653: failure: xx.xx.3.6_does_not_like_recipient./Remote_host_said:_553_sorry,_that_domain_isn't_in_my_list_of_allowed_rcpthosts;_no_valid_cert_for_gatewaying_(#5.7.1)/Giving_up_on_xx.xx.3.6./
Feb 15 17:10:04 myhost qmail: 1171555804.166214 status: local 0/10 remote 0/20
Feb 15 17:10:04 myhost qmail: 1171555804.166238 triple bounce: discarding bounce/61210680
Feb 15 17:10:04 myhost qmail: 1171555804.166261 end msg 61210680

... und das rund um die Uhr!

Soweit ich das beurteilen kann kann werden keine mails abgeschickt. Kann man das aber irgendwie unterbinden oder soll man das so wie hier empfohlen ignorieren?

In /etc/hosts.allow habe ich einmal folgendes erfolglos eingefügt.

ALL : PARANOID : RFC931 20 : deny

Wie kann man feststellen woher der Befehl für den Versand herkommt? uid 2522 ist qmail. Was mir allerdings etwas Sorge bereitet ist "uid 0".

lg lixx

 

[flyingoffice]

Hallo!

Das sieht auf den ersten Blick nach Bounces aus. Sprich qmail versucht dem Versender einer nicht zustellbaren Email mitzuteilen, daß eben die Mail nicht zustellbar ist. Wenn das nicht klappt, solltest eine Mail an den lokalen postmaster gehen, in der dann steht, das der Bounce bounced.

Gruß flyingoffice

 

[lixx]

Hmm. Und kann man die E-Mail irgendwo einsehen, die er nicht zustellen kann? Ich weiß nicht wo man das Catch-All-Attribut für eine Localhost-E-Mailadresse setzt*, also keine irgendwas@domain.com.

Oder sind das Spam-E-Mails die von aussen kommen und die mein Server versucht wieder zurückzuschicken? Kann ich das unterbinden? Das müllt mir die Logs einfach zusehr zu



* hab ich soeben gefunden cat /var/qmail/alias/.qmail-postmaster
Aber an die dort eingetragene E-Mail bekomme ich keine Bounces.

 

[lixx]

Dann ist mir noch aufgefallen:

from <anonymous@myhost.domain.com>

heißt doch, dass die E-Mail von meinem Server aus gesendet wurde. Und alle an die E-Mail root@myhost.domain.com ... ?

from <>
und 
from <#@[]>

... sind doch die Bounce-Versuche, die mit letzterem endet. Aber von anonymous@myhost.domain.com verschicke ich doch keine E-Mails. Wer ist es dann?

 

[Huschi]

starting delivery 651: msg 61210680 to remote root@myhost.domain.com
starting delivery 652: msg 61210682 to remote anonymous@myhost.domain.com
starting delivery 653: msg 61210680 to remote postmaster@myhost.domain.com

Wenn "myhost.domain.com" Deinen Server bezeichnet, so fehlen dem Server die entsprechenden Aliases.
Bei Qmail unter Plesk sollte diese unter /var/qmail/alias/ liegen. Z.B. die Dateien:
.qmail-postmaster .qmail-mailer-daemon .qmail-root
Alle Dateien sollten sowas beinhalten:

&ichl@mydomain.de

Und kann man die E-Mail irgendwo einsehen

Entweder mit Webmin oder per Hand in /var/qmail/queue/* suchen.

hab ich soeben gefunden cat /var/qmail/alias/.qmail-postmaster

Wenn die schon existieren, dann ist evtl. Dein Hostname auf eine gehostete Domain gesetzt. Dann mußt Du dort im Plesk diese Mailadressen einrichten.

huschi.

 

[lixx]

Habe inzwischen eine gute Dokumentation für Qmail gefunden, wo auch die Verzeichnisse erklärt werden und wo man was findet. Nur für's Archiv: 6 Qmail

Wenn die schon existieren, dann ist evtl. Dein Hostname auf eine gehostete Domain gesetzt. Dann mußt Du dort im Plesk diese Mailadressen einrichten.

In der Datei .qmail-postmaster ist eine E-Mail eingetragen, die nicht auf diesem Server gehostet ist. Vielleicht liegt es ja daran. Ich dachte das wäre eine gute Idee, falls mit dem Server einmal irgendwas sein sollte. Diese E-Mail habe ich übrigens im Plesk überall eingetragen, wo man's kann/muß.

myhost.domain.com ist der localhost, den man auch im Plesk ändern kann. Das kann ich aber zur Zeit noch nicht machen. Was soll ich daher am Besten tun? soll ich in den .qmail-postmaster etc. -Dateien eine E-Mail eintragen, die auf dem Server gehostet wird?

 

[Huschi]

In der Datei .qmail-postmaster ist eine E-Mail eingetragen, die nicht auf diesem Server gehostet ist.

Sollte eigentlich auch kein Problem darstellen. Vorallem aber sollte diese Email auch mal in den Logfiles auftauchen. Da es dies nicht tut, liegt das Problem aber evtl. doch woanders.

myhost.domain.com ist der localhost

Ist es eine fiktive Domain, oder die Domain auf den der ReversDNS steht, oder was?

huschi.

 

[lixx]

Ist es eine fiktive Domain, oder die Domain auf den der ReversDNS steht, oder was?

Das ist die Domain die unter Server -> Server-Einstellungen -> Kompletter Hostname eingetragen ist. Und domain.com ist die Domain des Providers.

So. Jetzt habe ich noch die control/me-Datei an eine gehostete Domain angepasst und das Mail ist nun endlich angekommen. Es handelte sich um eine cronjob-Nachricht. Bisher hatte ich aber alle anderen bekommen. Und von wann sie ist, steht auch nix im Header. Nur das aktuelle Datum.

Nachdem ich noch ein Problem mit einer gmx-Adresse hatte, scheint es nun zu funktionieren.

Danke erstmal für die Hilfe. Schauma mal wie's weiter geht