Mail deliverys - Hinweis auf Spamschleuder?

[IckZ]

Hallo zusammen,
seit ca. einer Woche erhalte ich alle paar Tage zwischen 5-10 Maildelivery (mit Spaminhalt) an die catch-all-Adresse. Absender der originalen Adresse ist immer eine kombination-aus-buchstaben@domain.de und seltsamerweise kommt der mail delivery immer von keineantwortadresse@web.de

So sieht ein mail delivery aus:

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address
failed:

"web.de@schulz.ibs.cx":
SMTP error from remote server after transfer of mail text:
host: mail.variomedia.de
This e-mail is considered spam. Therefore, the server rejects it. / Diese
E-Mail wurde als Spam erkannt und abgewiesen.
(150741::1427334614-00005D4D-E67EF9A6/3/4319554552)
"hauke.vietzke@freenet.de":
SMTP error from remote server after RCPT command:
host: emig.freenet.de
unrouteable address


--- The header of the original message is following. ---

Received: from [212.227.17.8] ([212.227.17.8]) by mx-ha.web.de (mxweb102) with
ESMTP (Nemesis) id 0LaWJf-1ZLWtk0y35-00mGBX; Thu, 26 Mar 2015 02:50:14 +0100
Received: from static.10.84.40.188.clients.your-server.de ([209.151.140.20])
by mx-ha.web.de (mxweb102) with ESMTP (Nemesis) id 0LhxMs-1ZE7Rl0rOE-00n78I
for <manfred.schulz@web.de>; Thu, 26 Mar 2015 02:49:59 +0100
Received: by %130.216.90.80; Thu, 26 Mar 2015 03:38:29 +0200
From: "Timo Pohl" <dhdsjoq@till-nine.de>
Reply-To: "Timo Pohl" <jdkuyr@till-nine.de>
To: g.haveloh@web.de
Subject: Re: Inkassoauftrag Aktenzeichen: AZ1456320
Date: Thu, 26 Mar 2015 04:38:29 +0300
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;
X-UI-Out-Filterresults: junk:10;

Die Mail.log ist voll mit solchen sich wiederholenden Einträgen. Ich poste mal einen Auszug (um 2.50 kam auch ein mail delivery an):

Mar 27 02:49:58 h2xxxxxx postfix/smtpd[21613]: lost connection after AUTH from unknown[61.142.212.118]
Mar 27 02:49:58 h2xxxxxx postfix/smtpd[21613]: disconnect from unknown[61.142.212.118]
Mar 27 02:49:58 h2xxxxxx postfix/smtpd[21611]: connect from unknown[61.142.212.118]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: activity on 1 channel(s)
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: new client (fd=10) registered
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: main cycle iteration
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: activity on 1 channel(s)
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: some read activity on client 10
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 2)=2
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=0]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 11)=11
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=1]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 2)=2
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=2]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 11)=11
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=3]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 2)=2
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=4]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 4)=4
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=5]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: read(10, &buf, 2)=2
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=6]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: processing client data chunk [state=7]
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: Invalid mail address 'nextbrukere@'
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: main cycle iteration
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: activity on 1 channel(s)
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: some write activity on client 10
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: attempt to write(10, &buf, 4)
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: client 10 processed
Mar 27 02:49:59 h2xxxxxx plesk_saslauthd[16658]: main cycle iteration
Mar 27 02:49:59 h2xxxxxx postfix/smtpd[21611]: warning: unknown[61.142.212.118]: SASL LOGIN authentication failed: authentication failure
Mar 27 02:49:59 h2xxxxxx postfix/smtpd[21611]: lost connection after AUTH from unknown[61.142.212.118]
Mar 27 02:49:59 h2xxxxxx postfix/smtpd[21611]: disconnect from unknown[61.142.212.118]
Mar 27 02:50:00 h2xxxxxx postfix/smtpd[21613]: connect from unknown[61.142.212.118]

Muss ich mir Sorgen machen? Werde aus den Logs nicht wirklich schlau, aber nach einem OpenRelay siehts für mich nicht aus. Es wundert mich auch, dass es grundsätzlich von keineantwortadresse@web.de kommt. Ich nutze Plesk und habe auch die Postausgangskontrolle aktiv. Dort werden keine Mails gelistet, die ich nicht verschickt habe. Ich weiß allerdings auch nicht, wie zuverlässig das ganze ist.

Würd mich über Hilfe freuen! Beste Grüße!

 

[GwenDragon]

An deine Catchall-Adresse bekommst du eben Spam und auch Mail-Bounces von anderen Servern.
Was ist daran problematisch?

Das Maillog zeigt, dass jemand versucht sich aus dem cinesischen Netz am Mailserver einzuloggen, was fehlschlägt.

Du könntest um das Spamaufkommen zu mildern global Graylisting einschalten.
Und auch noch den Spamschutz auf Basis der DNS-Blackhole-Listen aktivieren, wobei das nur bedingt sinnvoll ist, da dies auch harmlose Absender abweisen kann.

 

[IckZ]

Hallo,
vielen Dank für die Antwort. Mich hat eigentlich nur die Tatsache gewundert, dass die Absenderadressen der original Nachrichten immer eine Buchstabenkombination@domain.de sind, wobei "domain.de" meine Domain ist.

Da ich aber glücklichweise noch keinen Fremdzugriff feststellen konnte, deutet es wohl darauf hin, dass einfach jm. die Absenderdomain "missbraucht".

 

[rolapp]

Da ich keine CatchAll Adresse verwende finde ich den Mist in meiner Postfix Auswertung. Da kann man nichts mache Spf oder Dkim bringt nur was wenn es von der Gegenseite benutzt wird.