Mails kommen mehrfach an

archer2000

New Member
Hallo,

ich habe da ein Problem, das einige Mails bei mir mehrfach ankommen. Ich habe dafür mal drei betreffenden Mail in den Anhang getan. Aus Anti-Spam Gründen habe ich alle originalen Mail-Adressen eliminiert.

Weiter zum Server: Es handelt sich dabei um einen V-Server bei Strato mit Plesk, welches qmail nutzt.

Wie in den Headern zu sehen, kommen aile Mails über unterschiedliche Server und besitzen verschiedene Message-IDs. Dann habe ich einen Blick in meine mail.info geworfen:

Code:
Jan 28 15:15:46 h1344337 relaylock: /var/qmail/bin/relaylock: mail from 69.63.178.181:55670 (outmail022.snc1.tfbnw.net)
Jan 28 15:15:46 h1344337 relaylock: /var/qmail/bin/relaylock: mail from 69.63.178.173:49852 (outmail014.snc1.tfbnw.net)

Jan 28 15:15:47 h1344337 qmail: 1233152147.145080 new msg 18408326
Jan 28 15:15:47 h1344337 qmail: 1233152147.145192 info msg 18408326: bytes 1943 from <[email protected]> qp 3434 uid 2020
Jan 28 15:15:47 h1344337 qmail: 1233152147.156861 starting delivery 5635: msg 18408326 to local [email protected]
Jan 28 15:15:47 h1344337 qmail: 1233152147.157134 status: local 1/10 remote 0/20

Jan 28 15:15:47 h1344337 qmail: 1233152147.158526 new msg 18408324
Jan 28 15:15:47 h1344337 qmail: 1233152147.158647 info msg 18408324: bytes 1942 from <[email protected]> qp 3433 uid 2020
Jan 28 15:15:47 h1344337 qmail: 1233152147.173143 starting delivery 5636: msg 18408324 to local [email protected]
Jan 28 15:15:47 h1344337 qmail: 1233152147.173313 status: local 2/10 remote 0/20

Jan 28 15:15:47 h1344337 qmail: 1233152147.994457 new msg 18408338
Jan 28 15:15:47 h1344337 qmail: 1233152147.994595 info msg 18408338: bytes 1942 from <[email protected]> qp 3456 uid 2020
Jan 28 15:15:48 h1344337 qmail: 1233152148.013760 starting delivery 5637: msg 18408338 to local [email protected]
Jan 28 15:15:48 h1344337 qmail: 1233152148.013864 status: local 3/10 remote 0/20

[...]

Jan 28 15:15:48 h1344337 qmail: 1233152148.043627 delivery 5635: success: did_0+0+2/
Jan 28 15:15:48 h1344337 qmail: 1233152148.043733 status: local 2/10 remote 0/20
Jan 28 15:15:48 h1344337 qmail: 1233152148.058934 end msg 18408326

Jan 28 15:15:48 h1344337 qmail: 1233152148.695542 delivery 5637: success: did_0+0+2/
Jan 28 15:15:48 h1344337 qmail: 1233152148.695747 status: local 1/10 remote 0/20
Jan 28 15:15:48 h1344337 qmail: 1233152148.695795 end msg 18408338

Jan 28 15:15:55 h1344337 qmail: 1233152155.896007 delivery 5636: success: did_0+0+2/
Jan 28 15:15:55 h1344337 qmail: 1233152155.896102 status: local 0/10 remote 0/20
Jan 28 15:15:55 h1344337 qmail: 1233152155.896262 end msg 18408324

Was ist mir dabei aufgefallen:
Zunächst kommen zwei relaylock-Meldungen ür die Server, welche mir die Mail zustellen wollen. Dann nimmt der Server alle drei Mails nacheinander (welche unterschiedlich geroutet sind) an. Was weiterhin auffällt, ist dass die Mail mit der ID 18408324 als zweites angenomen, aber als drittes abgeschlossen wurde. Die Begründung hier drin folgt nun:

Code:
procmail: [3447] Wed Jan 28 15:15:47 2009
procmail: Match on "< 256000"
procmail: Locking "spamassassin.lock"
procmail: Executing "spamc"

procmail: [3449] Wed Jan 28 15:15:47 2009
procmail: Match on "< 256000"
procmail: Locking "spamassassin.lock"

procmail: [3447] Wed Jan 28 15:15:48 2009
procmail: Unlocking "spamassassin.lock"
procmail: No match on "X-Spam-Flag: YES"
procmail: Assigning "LASTFOLDER=/var/qmail/mailnames/domain.de/info/Maildir/new/1233152147.3447_1"
From [email protected] Wed Jan 28 14:15:47 2009
 Subject: Sten Ove Toft invited you to the event "KLUBB VRIOMPEIS: STEPHEN O'MA
  Folder: /var/qmail/mailnames/domain.de/info/Maildir/new/123315	   2327

procmail: [3462] Wed Jan 28 15:15:48 2009
procmail: Match on "< 256000"
procmail: Locking "spamassassin.lock"
procmail: Executing "spamc"
procmail: Unlocking "spamassassin.lock"
procmail: No match on "X-Spam-Flag: YES"
procmail: Assigning "LASTFOLDER=/var/qmail/mailnames/domain.de/info/Maildir/new/1233152148.3462_1"
From [email protected] Wed Jan 28 14:15:48 2009
 Subject: Sten Ove Toft invited you to the event "KLUBB VRIOMPEIS: STEPHEN O'MA
  Folder: /var/qmail/mailnames/domain.de/info/Maildir/new/123315	   2326

procmail: [3449] Wed Jan 28 15:15:55 2009
procmail: Locking "spamassassin.lock"
procmail: Executing "spamc"
procmail: Unlocking "spamassassin.lock"
procmail: No match on "X-Spam-Flag: YES"
procmail: Assigning "LASTFOLDER=/var/qmail/mailnames/domain.de/info/Maildir/new/1233152147.3449_2s"
From [email protected] Wed Jan 28 14:15:47 2009
 Subject: Sten Ove Toft invited you to the event "KLUBB VRIOMPEIS: STEPHEN O'MA

Die Vertauschung liegt am Spamassassin, welcher gerade mit der Verarbeitung der ersten Mail beschäftigt ist, sodass die zweite Mail (welche zeitgleich ankommt) beim Scan verzögert wird. Während dessen kommt die dritte Mail, welche vor Vollendung der Verzögerung abgearbeitet ist.

Doch warum erhalte ich die Mail drei mal ? (Glaskugell :)) Kann es sein, dass der sendende Mailserver beim Relaylock das Versenden erneut durchführt?

Was mir noch aufgefallen ist, dass der Empfang JEDER Mail erst ein Relaylock verursacht, bevor diese angenommen wird.

Hat jemand eine Idee?

Danke soweit & viele Grüße
Dennis
 

Attachments

  • mail1.png
    mail1.png
    158.6 KB · Views: 187
  • mail2.png
    mail2.png
    158.3 KB · Views: 153
  • mail3.png
    mail3.png
    158.1 KB · Views: 186
Frage beantwortet - unterschiedliche Absende-IP. Jedenfalls würde ich da ein Spamnetz vermuten...
mfg

Das sehe ich anders! Bei der Mail "oben" handelt es sich um eine Info-Mail von Facebook. Eindeutig KEIN Spam, kein Botnetz. Bei näherer Betrachtung der Mail-Header fällt auch auf, dass die Mails von unterschiedlichen IPs aus dem selben IP-Bereich kommen: 69.63.178.173/181 und dann über die verschiedenen Server 10.18.255.177/178/179 geroutet werden.

Außerdem habe ich das Problem auch schon bei "eigenen Mails" von einem anderen Server (auch bei Strato) gehabt. Da bin ich mir 100% sicher das es sich dabei NICHT um Spam-Mails aus eiem bot-Netz handelt.

Das Problem ist auch, dass die Mails nicht immer innerhalb einer Sekunde mehrfach ankommen, sonder häufig in Abständen von einigen Minuten/Stunden. Dies tritt auch nicht bei ALLEN Mails auf, sondern völlig nicht-deterministisch bei der einen oder anderen Mail. Das Ganze hat auch schon mal jemand hier beschrieben:
 
... die Mails von unterschiedlichen IPs aus dem selben IP-Bereich kommen: 69.63.178.173/181 und dann über die verschiedenen Server 10.18.255.177/178/179 geroutet werden.

wenn ich mich recht erinnere, liest man den Header von "unten nach oben", also die Mails kamen von IP 10.18.255.xx. = Klasse A: 1 privates Netz !
Jede wird dann über einen anderen MTA von facebook gesendet und müssen dann auch mehrfach ankommen...
 
Back
Top