Postfix/Confixx: Bekomme Mails mit eigenem Host als Absender

D

Deepjungle

Registered User
Moin,

habe nen Strato Server mit Confixx und Postfix drauf. In der letzten Zeit erhalten ich viel Spam auf die von mir eingerichteten Mailadressen. Komischerweise, steht in einigen Mailadressen der Hostname meines Servers mit drinnen.

Code: 
Received: from localhost [127.0.0.1] by ********
	with SpamAssassin (2.55 1.174.2.19-2003-05-19-exp);
	Wed, 12 Sep 2007 15:07:15 +0200
From: "Bobby Petty"@********.serverkompetenz.net

Hab mir hier schon im Forum diverse Einträge angesehen, die meisten zielen aber auf Plesk und Qmail.

Habe auch schon nen Rootkitscanner durchlaufen lassen, der hat allerdings nichts angezeigt. Insofern wäre ich also erstmal etwas beruhigter. Habe chkrootkit benutzt. Gibt es dazu vielleicht noch andere Alternativen ?

Kann das auch durch ein fehlerhaftes PHP Script geschehen sein ? Habe schon die Access Log durchgesehen, aber keine Einträge gefunden die verdächtig wären.
 
Code: 
Sep 12 17:14:46 ******** popper[14997]: Stats: web21p1 0 0 0 0 p508C476B.dip.t-dialin.net 80.140.71.107 [pop_updt.c:296]
Sep 12 17:15:00 ******** popper[14998]: Stats: web0p5 0 0 0 0 p54B0D10D.dip.t-dialin.net 84.176.209.13 [pop_updt.c:296]
Sep 12 17:15:09 ******** popper[15024]: Stats: web1p2 0 0 0 0 p54B0FF0D.dip.t-dialin.net 84.176.255.13 [pop_updt.c:296]
Sep 12 17:16:47 ******** popper[15032]: Stats: web21p1 0 0 0 0 p508C476B.dip.t-dialin.net 80.140.71.107 [pop_updt.c:296]
Sep 12 17:16:59 ******** popper[15033]: Stats: web5p6 0 0 0 0 p54B0E5BC.dip.t-dialin.net 84.176.229.188 [pop_updt.c:296]
Sep 12 17:17:58 ******** postfix/smtpd[15037]: connect from unknown[82.151.115.181]
Sep 12 17:17:58 ******** postfix/smtpd[15039]: connect from localhost[127.0.0.1]
Sep 12 17:17:58 ******** postfix/smtpd[15039]: lost connection after CONNECT from localhost[127.0.0.1]
Sep 12 17:17:58 ******** postfix/smtpd[15039]: disconnect from localhost[127.0.0.1]
Sep 12 17:17:59 ******** postfix/smtpd[15037]: 22EEE39805B: client=unknown[82.151.115.181]
Sep 12 17:17:59 ******** postfix/cleanup[15040]: 22EEE39805B: message-id=<01c7f54d$a0cf3710$b5739752@0916nv-00jnbokioyjdh>
Sep 12 17:17:59 ******** postfix/qmgr[29373]: 22EEE39805B: from=<0916nv-00jnbokioyjdh@davlynne.freeserve.co.uk>, size=3994, nrcpt=1 (queue active)
Sep 12 17:17:59 ******** spamd[32237]: connection from localhost [127.0.0.1] at port 49655
Sep 12 17:17:59 ******** spamd[15046]: Still running as root: user not specified with -u, not found, or set to root.  Fall back to nobody.
Sep 12 17:17:59 ******** spamd[15046]: processing message <01c7f54d$a0cf3710$b5739752@0916nv-00jnbokioyjdh> for web0p9:65534.
Sep 12 17:17:59 ******** postfix/smtpd[15037]: disconnect from unknown[82.151.115.181]
Sep 12 17:17:59 ******** spamd[15046]: identified spam (7.4/5.0) for web0p9:65534 in 0.2 seconds, 4131 bytes.
Sep 12 17:17:59 ******** postfix/local[15042]: 22EEE39805B: to=<web0p9@********.serverkompetenz.net>, orig_to=<***********@*******.de>, relay=local, delay=0, status=sent ("|/usr/bin/procmail")
Sep 12 17:18:00 ******** popper[15048]: Stats: web0p5 0 0 0 0 p54B0D10D.dip.t-dialin.net 84.176.209.13 [pop_updt.c:296]
Sep 12 17:18:08 ******** popper[15053]: Stats: web3p1 0 0 0 0 pD9E8ED5A.dip.t-dialin.net 217.232.237.90 [pop_updt.c:296]
Sep 12 17:18:10 ******** popper[15054]: Stats: web3p2 1 2739 0 0 pD9E8ED5A.dip.t-dialin.net 217.232.237.90 [pop_updt.c:296]
Sep 12 17:18:45 ******** popper[15066]: (v4.0.5) Unable to get canonical name of client 81.210.224.127: Unknown host (1) [pop_init.c:1087]
Sep 12 17:18:46 ******** popper[15066]: Stats: web1p1 1 42058 0 0 81.210.224.127 81.210.224.127 [pop_updt.c:296]
Sep 12 17:18:47 ******** popper[15067]: Stats: web21p1 0 0 0 0 p508C476B.dip.t-dialin.net 80.140.71.107 [pop_updt.c:296]
Sep 12 17:19:23 ******** popper[15073]: Stats: web21p1 0 0 0 0 p508C476B.dip.t-dialin.net 80.140.71.107 [pop_updt.c:296]
Sep 12 17:19:39 ******** postfix/smtpd[15076]: connect from unknown[86.100.17.68]
Sep 12 17:19:39 ******** postfix/smtpd[15076]: A558739805B: client=unknown[86.100.17.68]
Sep 12 17:19:39 ******** postfix/cleanup[15077]: A558739805B: message-id=<136i20478.187m13196332@nzmp.com>
Sep 12 17:19:39 ******** postfix/qmgr[29373]: A558739805B: from=<ufs8bldlq@nzmp.com>, size=2741, nrcpt=1 (queue active)
Sep 12 17:19:39 ******** spamd[32237]: connection from localhost [127.0.0.1] at port 49666
Sep 12 17:19:40 ******** postfix/smtpd[15076]: disconnect from unknown[86.100.17.68]
Sep 12 17:19:40 ******** spamd[15082]: Still running as root: user not specified with -u, not found, or set to root.  Fall back to nobody.
Sep 12 17:19:40 ******** spamd[15082]: processing message <136i20478.187m13196332@nzmp.com> for web1p1:65534.
Sep 12 17:19:40 ******** spamd[15082]: clean message (1.7/5.0) for web1p1:65534 in 0.2 seconds, 2832 bytes.
Sep 12 17:19:40 ******** postfix/local[15078]: A558739805B: to=<web1p1@******.serverkompetenz.net>, orig_to=<info@********.de>, relay=local, delay=1, status=sent ("|/usr/bin/procmail")

Habe den Hostnamen und die TO Adressen raus. Da es diese wirklich gibt.
Dies sind zwei Spammails die wohl wieder durch sind.
Es läuft übrigens ne Version von Spamassassin.
 
Last edited by a moderator:
So weit man das mit den begrenzten Ausschnitten beurteilen kann, besteht kein Grund zur Sorge: Der Spammer spricht nur teilweise legales SMTP. Während der Übertragung der Empfänger- und Absender-Daten an den MTA gibt er korrekte Werte an (und Postfix nimmt die Mail daraufhin an). Bei den angegebenen "From:"-Werten im Header gibt der Spammer allerdings nur den Namen in Anführungszeichen an, was jedoch nicht RFC-konform ist. Um daraus eine legale Adresse zu machen hängt Dein MTA dann seinen eigenen Domainnamen an (so werden normalerweise lokale Mails behandelt, die auch kein '@' in der Adresse haben).

Viele Grüße,
LinuxAdmin

PS: info@....-Adressen sind 1a Spam-Fänger....
 
Bin die Sache auch nochmal durchgegangen und mir ist das auch gerade aufgefallen, erst recht, wenn die Mails durch Spamassassin laufen, wieso werden diese allerdings nicht gleich verworfen ??

Habe ich da bei Spamassassin was falsch konfiguriert ? Wundert mich gerade irgendwie.

Is klar das die Info nen Spamfänger ist, aber die ist leider unerlässlich, da schon zu bekannt (im wahrsten Sinne des Wortes :rolleyes: ).


Gruß Deep

und danke für die bisherigen Infos.
 
Kleine Frage habe ich aber noch ... wie kann es sein, dass eine neu erstellte Mailadresse als erste Nachricht eine Spam Nachricht bekommt. Gibt es irgendwie nen versteckten Catch ALL (Postfix) oder sowas ? Is schon suspekt wenn man nen Account neu erstellt und sofort ne Spam Mail bekommt. Bzw. wie kann man kontrollieren das sowas nicht eingerichtet ist ?
 
Hallo,

Deepjungle said:
wie kann es sein, dass eine neu erstellte Mailadresse als erste Nachricht eine Spam Nachricht bekommt.
Click to expand...

die ist schon länger unter Beschuß, aber bisher wurde der Spam abgewiesen weil sie im MTA nicht eingetragen ist.

wie kann man kontrollieren das sowas nicht eingerichtet ist?
Click to expand...

Die entsprechende MTA-Konfigurationsdatei ansehen oder einfach eine Testmail an dsfjhbrnrrr@<domain>.de schicken und gucken ob die ankommt. Durch den beschriebenen Effekt - neu angelegte Emailadresse bekommt schnell ersten Spam hatte bisher aber keinen - ist aber fast schon bewiesen, daß für die Domain kein CatchAll existiert.
 
An die Möglichkeit hatte ich bisher noch nicht gedacht. Könnte aber sehr gut möglich sein.

Also dann mal vielen Dank für die Infos, werde das ganze weiter beobachten.

Gruß Deep
 
You must log in or register to reply here.
Back
Top