Mail delivery deferred - Nachrichten überfüllen Postfach

[CreativDesigner]

Hallo an alle Experten hier,

ich habe aktuell ein sehr merkwürdiges Problem und möchte mich hier nun dazu einmal schlau fragen. Ich besitze einen vServer auf dem ich mehrere Projekte am laufen habe und diesen habe ich gestern Abend in Ruhe vollständig neu aufgesetzt.

Bereits die letzten Tage hat sich mein Postfach langsam angefangen zu füllen mit Nachrichten die im Betreff:

Mail delivery deferred: returning message to sender

Ich bin nun zuerst davon ausgegangen das meine alte Wordpress Installation sich was eingefangen hat und habe diese vollständig vom System geschmissen. Gestern Abend habe ich dann meinen Server vollständig neu installiert.

Heute morgen schaue ich in mein Postfach und ich habe schon wieder über 20 Nachrichten mit einem solchen Betreff. Der Server von mir ist nun aber garantiert sicher und ich kann es mir einfach nicht erklären. Ich hoffe mir kann hier jemand dazu helfen, da ich nicht denke das diese von meinem Server versendet werden. Das Postfach von dem diese Mails versendet werden (Adresse) gibt es schon lange nicht mehr und jetzt erreichen mich diese Mails da ich mir ein catch all Postfach eingerichtet habe. Natürlich wäre es möglich dieses zu löschen und nur mein normales Postfach zu nutzen, somit würden mich diese Mails auch nicht mehr erreichen aber bevor ich nachher auf einer Blacklist stehe oder mir teure Rechnungen ins Haus flattern will ich mich hier erstmal erkundigen was es damit auf sich hat.

Hier nun mal der Inhalt einer solchen E-Mail:

Mail delivery deferred: returning message to sender
Von Mail Delivery System
An Natalie Thompson
Datum Heute 09:55
Return-Path: <MAILER-DAEMON>
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on
srv.dxxxxxxxn.de
X-Spam-Level: ***
X-Spam-Status: No, score=3.2 required=7.0 tests=RCVD_IN_XBL,URIBL_BLOCKED,
URIBL_DBL_ABUSE_BOTCC autolearn=no version=3.3.2
X-Original-To: wordpress@dxxxxxxxn.de
Delivered-To: hallo@dxxxxxxxn.de
Received: from server.webanddesign.co.uk (151-236-49-212.static.as29550.net [151.236.49.212])
by srv.dxxxxxxxn.de (Postfix) with ESMTPS id BDC4D23C0BC6
for <wordpress@dxxxxxxxn.de>; Tue, 23 Jun 2015 09:55:05 +0200 (CEST)
Received: from mailnull by server.webanddesign.co.uk with local (Exim 4.85)
id 1Z7J2u-0000hd-B6
for wordpress@dxxxxxxxn.de; Tue, 23 Jun 2015 08:55:04 +0100
From: Mail Delivery System <Mailer-Daemon@server.webanddesign.co.uk>
To: Natalie Thompson <wordpress@dxxxxxxxn.de>
Subject: Mail delivery deferred: returning message to sender
In-Reply-To: <3e2ae468db4c593ed0f08e2cacaff44f@www.zeroshift.com>
References: <3e2ae468db4c593ed0f08e2cacaff44f@www.zeroshift.com>
Auto-Submitted: auto-replied
Message-Id: <E1Z7J2u-0000hd-B6@server.webanddesign.co.uk>
Date: Tue, 23 Jun 2015 08:55:04 +0100
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - server.webanddesign.co.uk
X-AntiAbuse: Original Domain - dxxxxxxxn.de
X-AntiAbuse: Originator/Caller UID/GID - [47 47] / [47 12]
X-AntiAbuse: Sender Address Domain -
X-Get-Message-Sender-Via: server.webanddesign.co.uk: none
X-Source:
X-Source-Args:
X-Source-Dir:
Nachricht 3 von 14 < >
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a temporary error. The following address(es) deferred:

fero@o2.pl
Domain zeroshift.com has exceeded the max emails per hour (612/500 (122%)) allowed. Message will be reattempted later

------- This is a copy of the message, including all the headers. ------
Received: from zeroshiftcom by server.webanddesign.co.uk with local (Exim 4.85)
(envelope-from <wordpress@dxxxxxxxn.de>)
id 1Z7HnV-0005wa-2i
for fero@o2.pl; Tue, 23 Jun 2015 07:35:05 +0100
To: "fero@o2.pl" <fero@o2.pl>
Subject: Re:Sweet teen blonde hair blue
X-PHP-Script: www.zeroshift.com/assets/cache/zsi.php for 5.101.221.103
Date: Tue, 23 Jun 2015 06:35:05 +0000
From: Natalie Thompson <wordpress@dxxxxxxxn.de>
Reply-To: Natalie Thompson <wordpress@dxxxxxxxn.de>
Message-ID: <3e2ae468db4c593ed0f08e2cacaff44f@##str_replacement_1##>
X-Priority: 3
X-Mailer: PHPMailer 5.2.4 (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset=iso-8859-1

<div>
<a href="http://cooperowen.com/ynm/ff44c13a49/042cc39/9/6a.html">SUPER SCHÖNER SPAM TITEL</a><br>
Einfach eine Nachricht - SERVERSUPPORTFORUM IST KLASSE<br>
<p>Viele Grüße, Natalie Thompson<br>wordpress@dxxxxxxxn.de</p>
</div>

Bei dem neuen Aufsetzen habe ich auch alle Passwörter inkl. SSH alles vollständig neu gesetzt und keine alten Webseiten aufgespielt.

Wäre schön wenn mir jemand hierzu genauere Angaben machen könnte und vor allem wie ich diesen Mist weg bekomme.

Viele Grüße
Danny

 

[kancu]

Ich bin mir nicht sicher, aber könnte das nicht ein Fall von "Backscatter" sein?

https://en.wikipedia.org/wiki/Backscatter_(email)

 

[Joe User]

Nö, kein Backscatter. Das Geheimnis liegt hier:

 X-PHP-Script: www.zeroshift.com/assets/cache/zsi.php for 5.101.221.103

 

[Benny²]

Ich hab fast das gleiche Problem nur mit anderen Absendern.

Wo liegt da das Problem? Ist auch nur auf den Seiten, wo Wordpress läuft

Return-Path: <MAILER-DAEMON>
X-Original-To: wordpress@wxxxxxxx.eu
Delivered-To: info@wxxxxxxx.eu
X-Greylist: delayed 1832 seconds by postgrey-1.34 at server.xxxxxxx.eu; Tue, 23 Jun 2015 05:43:17 CEST
Received: from mx02.myifeo.de (mx02.myifeo.de [212.112.246.185])
by server.eplay-tv.eu (Postfix) with ESMTP id D7E9E2D115
for <wordpress@wxxxxxxx.eu>; Tue, 23 Jun 2015 05:43:17 +0200 (CEST)
Received: by mx02.myifeo.de (Postfix)
id 3FC2E330429D; Tue, 23 Jun 2015 05:34:30 +0200 (CEST)
Date: Tue, 23 Jun 2015 05:34:30 +0200 (CEST)
From: MAILER-DAEMON@mx02.myifeo.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: wordpress@wxxxxxxx.eu
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="A524833042AB.1435030470/mx02.myifeo.de"
Content-Transfer-Encoding: 8bit
Message-Id: <20150623033430.3FC2E330429D@mx02.myifeo.de>

This is a MIME-encapsulated message.

--A524833042AB.1435030470/mx02.myifeo.de
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host mx02.myifeo.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<passe.k@hotmail.fr>: host mx3.hotmail.com[65.55.92.184] said: 550 Requested
action not taken: mailbox unavailable (in reply to RCPT TO command)

--A524833042AB.1435030470/mx02.myifeo.de
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; mx02.myifeo.de
X-Postfix-Queue-ID: A524833042AB
X-Postfix-Sender: rfc822; wordpress@wxxxxxxx.eu
Arrival-Date: Tue, 23 Jun 2015 05:34:26 +0200 (CEST)

Final-Recipient: rfc822; passe.k@hotmail.fr
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx3.hotmail.com
Diagnostic-Code: smtp; 550 Requested action not taken: mailbox unavailable

--A524833042AB.1435030470/mx02.myifeo.de
Content-Description: Undelivered Message
Content-Type: message/rfc822
Content-Transfer-Encoding: 8bit

Return-Path: <wordpress@wxxxxxxx.eu>
Received: by mx02.myifeo.de (Postfix, from userid 525)
id A524833042AB; Tue, 23 Jun 2015 05:34:26 +0200 (CEST)
To: "passe.k@hotmail.fr" <passe.k@hotmail.fr>
Subject: Re:Nubile tereza sits and looks
X-PHP-Originating-Script: 525:instantsuggest.php(26) : regexp code(1) : eval()'d code(1) : eval()'d code
Date: Tue, 23 Jun 2015 05:34:26 +0200
From: Dominic Miller <wordpress@wxxxxxxx.eu>
Reply-To: Dominic Miller <wordpress@wxxxxxxx.eu>
Message-ID: <ff87daebd75596c7f31351e0d34b5564@www.egoformer.de>
X-Priority: 3
X-Mailer: PHPMailer 5.2.4 (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset=iso-8859-1

<div>
[***SPAM***]<br>
<p>Best regards, Dominic Miller<br>wordpress@wxxxxxxx.eu</p>
</div>


--A524833042AB.1435030470/mx02.myifeo.de--

 

[nexus]

@CreativDesigner und @Benny²:

Anstatt nur die Domains zu zensieren, solltet ihr mal die Mailtexte rausnehmen...die sind nicht jugendfrei und hier im SSF sind bestimmt auch genug Jugendliche unterwegs.

 

[Joe User]

Eure Wordpress-Versionen und/oder Plugins und/oder Themes haben Sicherheitslücken.

 

[Benny²]

Eure Wordpress-Versionen und/oder Plugins und/oder Themes haben Sicherheitslücken.

Ich hab aber weder im Apache- noch im Mail-Log ein Eintrag zu dieser Zeit, bzw. ein Mail-Ausgang

 

[Joe User]

Analyziere die Malware, dann weisst Du wie sie funktioniert und warum Du noch(!) nichts gefunden hast.

 

[Benny²]

Analyziere die Malware, dann weisst Du wie sie funktioniert und warum Du noch(!) nichts gefunden hast.

Aber selbst wenn dieses über PHPmailer gesendet werden, kann ich dieses sehen.
Aber selbst die Message-ID kommt bei mir nicht hin, da ich solch eine Domain garnicht auf dem Server hab.

 

[Joe User]

phpmailer kann IIRC auch direkt senden, braucht also keinen lokalen SMTPd.

Bei Dir ist es übrigens ein kaputtes Joomla Plugin mit bekannten Lücken.

 

[Benny²]

phpmailer kann IIRC auch direkt senden, braucht also keinen lokalen SMTPd.

Bei Dir ist es übrigens ein kaputtes Joomla Plugin mit bekannten Lücken.

ich habe bislang aber noch keine einzige Mail über die Joomla-Seite Seite bekommen. Es ist nur bei zwei anderen Seiten, die Wordpress nutzen.

Welches Plugin von Joomla soll denn kaputt sein?

 

[Joe User]

Seit spätestens April 2014 öffentlich bekannt:
https://blog.sucuri.net/2014/04/joomla-plugin-constructor-backdoor.html

 

[CreativDesigner]

Nun das erklärt aber bei mir noch nicht die Mails, der Server ist komplett neu aufgesetzt, sämtliche Passwörter sind geändert UND es ist auf dem gesamten Server keinerlei Wordpress oder co mehr installiert.

@CreativDesigner und @Benny²:

Anstatt nur die Domains zu zensieren, solltet ihr mal die Mailtexte rausnehmen...die sind nicht jugendfrei und hier im SSF sind bestimmt auch genug Jugendliche unterwegs.

Eintrag ist geändert - somit Jugendfrei!

 

[Patschi]

Muss mich dem merkwürdigen "Problem" auch anschließen... Seit 2-3 Tagen füllt sich ebenfalls mein Postfach mit derartigen Meldungen.

Was mich jedoch etwas stutzig macht:

• Alle E-Mail Adressen fangen mit wordpress@* an. Ich frage mich wieso ausgerechnet die Adresse...
• Bruteforce-Versuche scheinen sich in letzter Zeit auf meinem Server zu häufen
• Ich erhalte Mails von Domains wo sich weder Wordpress noch Joomla befinden - sondern z.B. kleine minimalistische und großteils statische Webseiten (überschaubarer Code: Ist weder infiziert noch besitzt diese eine Mail-Sende-Funktion)
• Alle Wordpress-Instanzen sind aktuell: WP selbst, Plugins und Themes
• In den "Mail delivery failed"-Mails kommen dann so Texte vor wie:

  SMTP error from remote mail server after MAIL FROM:<wordpress@domain.tld> SIZE=2052:
  host mx2.hotmail.com [65.55.37.120]: 550 SC-001 (COL004-MC4F32) Unfortunately, messages from 77.87.192.204 weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

  Wo keine der oben genannten IP-Adressen mir "gehört"...
• Meldungen/Beschwerden über derartige Mails scheinen sich in einigen Foren zu häufen.

Ist da etwas im Busch?

 

[nexus]

Eintrag ist geändert - somit Jugendfrei!

">SUPER SCHÖNER SPAM TITEL</a><br>
Einfach eine Nachricht - SERVERSUPPORTFORUM IST KLASSE<br>

Klasse Ersetzung
Jetzt fehlt mal wieder der Like-Button

 

[MadMakz]

Beide Mails sind Backscatter-Typisch aufgebaut so wie ich das verstehe (Falscher Absender/Return-To).

..Rückstreuung durch Delivery Status Notifications, die auf gefälschte Absenderadressen antworten.

Received: from [B]zeroshiftcom by server.webanddesign.co.uk[/B] with local (Exim 4.85)
([B]envelope-from <wordpress@dxxxxxxxn.de>[/B])
id 1Z7HnV-0005wa-2i
for [B]fero@o2.pl[/B]; Tue, 23 Jun 2015 07:35:05 +0100

Beim TE bin ich mir nicht sicher warum ein Spammer so verfahren würde es sei denn da fehlt ein strikter Bounce von o2.pl an wordpress@dxxxxxxxn.de @ server.webanddesign.co.uk. Dann wäre es ein doppelbounce wenn server.webanddesign.co.uk sagt "kenn ich nicht" und wirtft weiter nach wordpress@dxxxxxxxn.de.
Oder man versucht das TEs Mailer an o2.pl weiterleitet

Jedenfalls stimmt was mit server.webanddesign.co.uk/www.zeroshift.com (gleiche IP) nicht wie Joe schon sagte.

Bei Benny² kommt es, wie Joe ebenfalls sagte, von einer gehackten Joomla-, bzw. laut Joes Link eine illegale(?) Plugin-, Installation bei der die Mail mit falschem FROM gesendet wurde woraus sich dann der Return-To Pfad ergibt.
Und siehe da, die Webseite www.egoformer.de

Message-ID: <ff87daebd75596c7f31351e0d34b5564@[B]www.egoformer.de[/B] >

läuft mit Joomla 1.7 und dem Intant Suggest Plugin unter

http://www.egoformer.de/plugins/system/instantsuggest/instantsuggest.php

(Wenn es den Pfad nicht geben würde, würde Joomla einen 404 od. 500 werfen und keine blanke Seite).
Ebenfalls zu auffällig.


Ich denke wordpress@ deshalb weil dies WP's Standard Sendeadresse ist und möglicherweise ein Webmaster sitzen könnte der auf einen Trojana-Link Klicken könnte oder was auch immer man neuerdings mit Text-Only Spam bezwecken will.

 

[Benny²]

Bei Benny² kommt es, wie Joe ebenfalls sagte, von einer gehackten Joomla-, bzw. laut Joes Link eine illegale(?) Plugin-, Installation bei der die Mail mit falschem FROM gesendet wurde woraus sich dann der Return-To Pfad ergibt.
Und siehe da, die Webseite www.egoformer.de

Message-ID: <ff87daebd75596c7f31351e0d34b5564@[B]www.egoformer.de[/B] >

läuft mit Joomla 1.7 und dem Intant Suggest Plugin unter

http://www.egoformer.de/plugins/system/instantsuggest/instantsuggest.php

(Wenn es den Pfad nicht geben würde, würde Joomla einen 404 od. 500 werfen und keine blanke Seite).
Ebenfalls zu auffällig.


Ich denke wordpress@ deshalb weil dies WP's Standard Sendeadresse ist und möglicherweise ein Webmaster sitzen könnte der auf einen Trojana-Link Klicken könnte oder was auch immer man neuerdings mit Text-Only Spam bezwecken will.

Aber dann müsste ich dieses ja auch unter meinem Joomla-System haben. Dieses hab ich aber nicht, bekomme aber auch keine Mails vom Joomla-System.

 

[Huschi]

@Benny:
Der Denkfehler von Joe liegt darin, dass er meint Du wärst die Firma oder Betreiber "ifeo".
Dein Fehler war, Deine eigene Domain so zu verschleiern, dass daraus tatsächlich der Eindruck entstehen konnte. (Daher halte ich nichts von der Verschleierung. Denn sie macht Problemfälle nur unlösbar.)

Du bist tatsächlich nur das Opfer der Bounces und kannst nichts dagegen tun, außer "ifeo" auf ihre Schwachstelle hinzuweisen.

huschi.

 

[Patschi]

Die letzten Wochen wird's mit den Spam-Mails eindeutig stärker... und auch etwas "interessanter". Siehe "X-PHP-Originating-Script"-Header: Da scheint wohl aktiv eine PHPMailer-Lücke ausgenutzt zu werden.

Return-Path: <MAILER-DAEMON>
Delivered-To: info@pkern.at
Received: from localhost (localhost.localdomain [127.0.0.1])
	by mx1.pkern.at (Postfix) with ESMTP id 76A7F14043A6
	for <wordpress@pkern.at>; Fri, 10 Jul 2015 10:38:40 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at pkern.at
X-Spam-Flag: NO
X-Spam-Score: 0.1
X-Spam-Level:
X-Spam-Status: No, score=0.1 required=6.31 tests=[BAYES_00=-1.9,
	DSN_NO_MIMEVERSION=1.999, URIBL_BLOCKED=0.001]
	autolearn=no autolearn_force=no
Received: from mx1.pkern.at ([127.0.0.1])
	by localhost (mail.pkern.at [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id NrHq2zmN0UL3 for <wordpress@pkern.at>;
	Fri, 10 Jul 2015 10:38:39 +0200 (CEST)
Received: from ispman.alary.ru (ispman.alary.ru [85.10.210.5])
	by mx1.pkern.at (Postfix) with ESMTP id 4A9A9140436D
	for <wordpress@pkern.at>; Fri, 10 Jul 2015 10:38:39 +0200 (CEST)
Received: from Debian-exim by ispman.alary.ru with local (Exim 4.72)
	id 1ZDTpf-0004jv-Lk
	for wordpress@pkern.at; Fri, 10 Jul 2015 12:38:55 +0400
Date: Fri, 10 Jul 2015 12:38:55 +0400
Message-Id: <E1ZDTpf-0004jv-Lk@ispman.alary.ru>
X-Failed-Recipients: diegobeto1195@gmail.com
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-Daemon@ispman.alary.ru>
To: wordpress@pkern.at
Subject: Mail delivery failed: returning message to sender

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

  diegobeto1195@gmail.com
    SMTP error from remote mail server after end of data:
    host gmail-smtp-in.l.google.com [2a00:1450:400c:c0a::1a]:
    550-5.7.1 [2a01:4f8:130:90c4::2      12] Our system has detected that this
    550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
    550-5.7.1 to Gmail, this message has been blocked. Please visit
    550 5.7.1  https://support.google.com/mail/answer/188131 for more information. yn7si14244437wjc.129 - gsmtp

------ This is a copy of the message, including all the headers. ------

Return-path: <wordpress@pkern.at>
Received: from alari by ispman.alary.ru with local (Exim 4.72)
	(envelope-from <wordpress@pkern.at>)
	id 1ZDTpe-0004jj-P5
	for diegobeto1195@gmail.com; Fri, 10 Jul 2015 12:38:55 +0400
To: "diegobeto1195@gmail.com" <diegobeto1195@gmail.com>
Subject: Re:Teen nubile jordan sucks on
[B]X-PHP-Originating-Script: 501:dsk.php(8) : regexp code(1) : eval()'d code(1) : eval()'d code[/B]
Date: Fri, 10 Jul 2015 12:38:54 +0400
From: Owen Taylor <wordpress@pkern.at>
Reply-To: Owen Taylor <wordpress@pkern.at>
Message-ID: <43846cbaa09fcb5978c18163394008cd@www.alari.ru>
X-Priority: 3
[B]X-Mailer: PHPMailer 5.2.4[/B] (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset=iso-8859-1

<div>
<a href="[LINK ENTFERNT]">Lovely blondes kiss and dildo dripping wet twats in bath</a><br>
Teen nubile jordan sucks on a lollipop and teases her nipples and bush.<br>
<p>Best regards, Owen Taylor<br>wordpress@pkern.at</p>
</div>

 

[d4f]

a scheint wohl aktiv eine PHPMailer-Lücke ausgenutzt zu werden.

Nicht PHPMailer per se (das ist nur eine Library, keine volle Webapplikation) sondern Wordpress
Ich sehe in unserer WAF in den letzten Tagen enorm viele Exploitversuche, zumal auf ältere Wordpressplugin-Lücken wie Revoslider (Dezember 2014) welche oftmal nicht gepatcht sind.