php Mail,bzw. Mail Versand eingrenzen (wegen Spam)

[musti19]

Hallo,
gibt es eine Möglichkeit, dass der Server vor dem Abschicken
einer Mail auf den Absender überprüft, ob der Absender
überhaupt auf dem Server in der Usertabelle eingetragen/vorhanden ist,
und erst danach das Versenden gewährt?
Egal ob es postfix, .., php mail() ist?

Denn trotz "gute" Konfiguration,
werden Spam Mails über mein Server verschickt, die ich nicht feststellen kann.
In Log dateien finden ich nur:
----
postfix/smtpd[6420]: connect from unknown
---
die mir nicht weiterhelfen..

und im Web habe ich auch keine endgültige Lösung gefunden.
Habe auch keine offene Relay etc..

Danke im voraus

Nutze Postfix,dovecot..

 

[danton]

Möglicherweise ein Script auf einer Webseite auf deinem Server oder ein geknacktes Mail-Passwort. Für ersteres kann dir ein sendmail-wrapper helfen, siehe auch http://www.huschi.net/10_222_de.html?highlight=wrapper

 

[musti19]

hat es die selbe Funktion, wie :
http://de3.php.net/manual/en/mail.configuration.php#ini.mail.log
?

 

[danton]

Der sendmail-wrapper ist nicht auf PHP eingeschränkt.

 

[musti19]

gut, danke für den Tipp.
Ich habe es eingebaut, werde berichten, ob ich erfolg hatte oder nicht.

 

[musti19]

der Versand von Mails erfolgt mit dem Wrapper nicht mehr..
kann sendmail nicht mit wrapper ergänzen?
sonst habe ich selbst bis dahin, keine Möglichkeit Emails zu senden
(z.B für Forum-Registierungsmail etc.)

 

[fanic]

prüfen ob der User wirklich vorhanden ist, schließt ja trotzdem nicht die Lücke über die die Spam mails versendet werden so wie ich das sehe?

Sind alle Skripte auf dem Server geprüft und aktualisiert?

 

[danton]

Der wrapper soll ja helfen, das betreffende Script ausfindig zu machen. Bezüglich des nicht funktionierenden Wrappers: Erzeugt dieser die Logdatei? Gibt es irgendwelche Auffälligkeiten in den Logs unter /var/log (syslog, mail.log, mail.err usw.)?

 

[Twister]

Ich bin schokiert ich dachte echt ich bin nicht davon betroffen aber

2012-06-10 14:01:37 debug twisterchen auth postfix/smtpd sql auxprop plugin using sqlite3 engine
2012-06-10 13:56:11 info twisterchen mail postfix/smtpd disconnect from unknown[14.97.111.235]
2012-06-10 13:56:11 info twisterchen mail postfix/smtpd lost connection after RCPT from unknown[14.97.111.235]
2012-06-10 13:56:08 info twisterchen mail postfix/smtpd NOQUEUE: reject: RCPT from unknown[14.97.111.235]: 550 5.1.1 <zille@meine-domain.de>: Recipient address rejected: User unknown in virtual mailbox table; from=<noreply@tataidc.co.in> to=<zille@meine-domain.de> proto=SMTP helo=<Static-235.111.97.14.tataidc.co.in>
2012-06-10 13:55:53 info twisterchen mail postfix/smtpd connect from unknown[14.97.111.235]
2012-06-10 13:55:53 warning twisterchen mail postfix/smtpd warning: hostname Static-235.111.97.14.tataidc.co.in does not resolve to address 14.97.111.235
2012-06-10 13:55:53 debug twisterchen auth postfix/smtpd sql auxprop plugin using sqlite3 engine

edit: Noch einen Eintrag einer anderen sorte

2012-06-10 12:35:39 info twisterchen mail postfix/smtpd disconnect from unknown[182.177.158.224]
2012-06-10 12:35:39 warning twisterchen mail postfix/smtpd warning: non-SMTP command from unknown[182.177.158.224]: To: <info@meine-domain.de>
2012-06-10 12:35:39 info twisterchen mail postfix/smtpd 31C9F8811A9: milter-reject: DATA from unknown[182.177.158.224]: 451 4.7.1 Service unavailable - try again later; from=<info@meine-domain.de> to=<info@meine-domain.de> proto=SMTP helo=<tariq>
2012-06-10 12:35:39 err twisterchen mail /usr/lib/plesk-9.0/psa-pc-remote Message aborted.
2012-06-10 12:35:39 debug twisterchen mail /usr/lib/plesk-9.0/psa-pc-remote DEFER during call 'grey' handler
2012-06-10 12:35:39 debug twisterchen mail /usr/lib/plesk-9.0/psa-pc-remote handlers_stderr: DEFER
2012-06-10 12:35:39 info twisterchen mail greylisting filter[26098]: Starting greylisting filter...
2012-06-10 12:35:39 info twisterchen mail postfix/smtpd 31C9F8811A9: client=unknown[182.177.158.224]
2012-06-10 12:35:38 info twisterchen mail postfix/smtpd connect from unknown[182.177.158.224]
2012-06-10 12:35:38 debug twisterchen auth postfix/smtpd sql auxprop plugin using sqlite3 engine

Muss ich mir da jetzt auch sorgen machen ? die email <zille@meine-domain.de> liegt auf meinem Server

Vielleicht könnt ihr mir noch helfen diese einträge zu Interpretieren

Vielen Dank
Twister

 

[Twister]

Für meinen erstes Zitat habe ich folgendes gefunden

http://www.postfix.org/BACKSCATTER_README.html
http://www.alexander-langer.de/2009-02-06/backscatter-mails-mit-postfix-ausfiltern.html

nur kann ich daraus noch nicht sagen ob spammails versendet werden ein versuch mit huschis sendmail-wrapper ergab keine treffer

was mein zweites Zitat betrifft steh ich noch im dunkeln.

Vielen Dank euch schonmal und noch einen schönen verregneten Sonntag

 

[danton]

Muss ich mir da jetzt auch sorgen machen ? die email <zille@meine-domain.de> liegt auf meinem Server

Wenn es diese E-Mail-Adresse auf deinem Server wirklich geben soll, daß irgendwie schon, denn dein Server ist der Meinung, daß es sie eben nicht gibt und er sie daher korrekterweise abgewiesen hat.
Das versucht wird, Mails an nicht vorhandene Adressen auf deinem Server zu senden, ist normales Grundrauschen. Solange deine Server diese sauber abweißt ist das auch völlig OK. Sorgen wegen Backscatter mußt du dir machen, wenn dein Server die Mails erst man grundsätzlich annimmt und dann später abweist (z.B. durch den Viren- oder Spamfilter). Da sieht aber das erste Zitat nicht nach aus.
Das zweite ist auch erst mal normales Grundrauschen. Die Absender-Adresse einer Mail läßt sich prinzipiell frei fest legen. Das machen sich einige Spammer zu nutze, indem sie die Empfänger-Adresse auch für den Absender verwenden. Hier erfolgte die Abweisung übrigens mit einem temporären Fehler, da bei dir Greylisting aktiv ist. Ein korrekt implementierter Mail-Server sollte eine Mail nach ein paar Minuten erneut zustellen, Spammer machen dies meist nicht.

 

[Twister]

Ein korrekt implementierter Mail-Server sollte eine Mail nach ein paar Minuten erneut zustellen, Spammer machen dies meist nicht.

Dies war nicht der fall keine Zustellung von der gleichen IP nochmals

Was währe den nun mein Ansatz ? oder kann ich das nun als normales Grundrauschen ansehen ?


Vielen Dank
Twister

 

[danton]

oder kann ich das nun als normales Grundrauschen ansehen ?

Anhand des Log-Eintrags schließe ich auf eine Spam-Mail und da ist Greylisting zumindest derzeit noch sehr effektiv. In diesem Fall also Grundrauschen. Prinzipiell kann bei anderen Einträgen aber Handlungsbedarf bestehen, daher meine Erklärung, damit du die Einträge verstehst.

 

[TerraX]

2012-06-10 13:56:08 info twisterchen mail postfix/smtpd NOQUEUE: reject: RCPT from unknown[14.97.111.235]: 550 5.1.1 <zille@meine-domain.de>: Recipient address rejected: User unknown in virtual mailbox table; from=<noreply@tataidc.co.in> to=<zille@meine-domain.de> proto=SMTP helo=<Static-235.111.97.14.tataidc.co.in>

Viel interessanter aus rein funktionaler Sicht ist das hier. Du sagst zille@meine-domain.de ist eine Adresse, die Dein Mailserver handeln soll. Warum weißt er die Mail dann ab, weil die Empfängeradresse ihm nicht bekannt ist?

Kommen auf der Adresse tatsächlich eMails an?

P.S.: Man sollte die Logs auch wirklich lesen und verstehen. Im Falle des TE geht es um unkontrollierten Mailversand nach außen. Die von Dir dargestellten Sachverhalte betreffen das Handling von eingehenden Mails.

@TE: bitte mal den vollständigen Auszug des Mail-Logs von einem oder mehreren solcher Spam-Versendungsvorgänge posten. Ruhig auch ein paar Zeilen davor und dahinter. Manchmal sieht man da doch einen Anhaltspunkt.

 

[Twister]

Kommen auf der Adresse tatsächlich eMails an?

ja schon das ist nicht das problem