Merkwürdige E-Mail(s) "From: "" <>"

Bierteufel · May 8, 2011

Hallo,

auf einem System (QMAIL,PSA) kommen in den letzten Tagen vermehrt E-Mails der nachfolgenden Art rein:

Received: (qmail 3099 invoked from network); 8 May 2011 08:47:23 +0200
Received: from unknown (HELO rajmohanffd390) (115.241.72.69)
by xx.eigenerMailserv.tld with SMTP; 8 May 2011 08:47:23 +0200
Received: (qmail 1461 by uid 461); Sun, 8 May 2011 12:13:45 -0530

Laut log wird die Mail auch via SMTP eingeliefert.

Der einliefernde Server erscheint aber NICHT in der Greylist Übersicht. (Macht mich schon stutzig)

Inhalt der Mails dann in etwa:

From: "" <>

Code:

To: <XX@USERaufdemServer.de>
Subject: ****SPAM**** 
Date: Sun, 8 May 2011 11:27:20 -0530
Message-ID: <001801cc0d79$8f6226c0$ae267440$@com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0017_01CC0D79.8F6226C0"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: Acjtkfr1T3PTdt6tvqrTg7F0QXrf+A==
Content-Language: en-us
X-Spam-Prev-Subject: 
X-Spam-Prev-Subject: ****SPAM**** 

This is a multipart message in MIME format.

------=_NextPart_000_0017_01CC0D79.8F6226C0
Content-Type: text/plain;
	charset="us-ascii"
Content-Transfer-Encoding: 7bit




------=_NextPart_000_0017_01CC0D79.8F6226C0
Content-Type: text/html;
	charset="us-ascii"
Content-Transfer-Encoding: quoted-printable


------=_NextPart_000_0017_01CC0D79.8F6226C0--

Wie kann ich am besten ausschliessen, dass hier ein Script Amok läuft und es sich wirklich um SMTP Einliefrung handelt ?

BTW: Server ist kein Relay.

Lord Gurke · May 8, 2011

Dein QMail schreibt "invoked from network" - von daher kann man davon ausgehen, dass diese Mail über TCP von außen eingeliefert wurde.

Vermutlich kommen die Mails von einem vermurksten Server der Spam bounced...

wstuermer · May 8, 2011

Lord Gurke said:
Vermutlich kommen die Mails von einem vermurksten Server der Spam bounced...

Wohl eher von einem PC, der infiltriert ist. Siehe X-Mailer und die Netrange-Description der Source-IP.

Bierteufel · May 8, 2011

Danke für die Antworten, ABER warum erscheinen die dann NICHT in der Greylisting Übersicht, wo ich ja JEDEN externen Connect Versuch sonst sehe ?

Roger Wilco · May 8, 2011

Bierteufel said:
ABER warum erscheinen die dann NICHT in der Greylisting Übersicht, wo ich ja JEDEN externen Connect Versuch sonst sehe ?

Eventuell ist in deiner Greylisting-Implementierung eine „Abkürzung” für den Null-Sender (<>) umgesetzt.

Bierteufel · May 9, 2011

@Roger Wilco - Danke für die Info, dass könnte natürlich eine Möglichkeit sein, dann sehe ich da mal nach !

Joe User · May 9, 2011

Und diese "Abkürzung" lässt man auch tunlichst so bleiben wie sie ist, sonst gibt es arge Probleme mit Bounces und anderen Statusmeldungen und zudem landet man fix auf mancher Blacklist weil man den zuständigen RFC nicht beachtet...

Bierteufel · May 10, 2011

jo ich sag nur RFC821...

Bierteufel · May 17, 2011

Das wird es wohl gewesen sein:

http://blog.1und1.de/2011/05/16/mailserver-software-qmail-enthaelt-einen-softwarefehler/#more-5170

EDIT:

Qmail: Backscatter vermeiden

Hallo, ich kümmere mich für einen Bekannten ein wenig um seinen Root-Server. Leider verwendet dieser Server Qmail, womit ich mich überhaupt nicht auskenne. Und zwar hat mein Bekannter nun eine Mail von 1&1 erhalten, dass sein Server für Backscatter missbraucht wird und entsprechend bei...

serversupportforum.de

JohnWart · May 17, 2011

Hi,

Vorsicht: In dem Blog-Eintrag geht es um ein To, das nur mit dem Local-Part gefüllt ist. Dein Fall sieht ja hier anders aus.

Merkwürdige E-Mail(s) "From: "" <>"

Bierteufel

Registered User

Lord Gurke

Nur echt mit 32 Zähnen

wstuermer

Active Member

Bierteufel

Registered User

Roger Wilco

Active Member

Bierteufel

Registered User

Joe User

Zentrum der Macht

Bierteufel

Registered User

Bierteufel

Registered User

Qmail: Backscatter vermeiden

JohnWart

New Member

We value your privacy