Postfix versendet Spam stündlich

M

Megabyte

New Member
Hallo,

ich habe ein riesiges Problem mit meinem Postfix (zusammen mit Zarafa) auf meinem vServer. Stündlich um xx:59:11 Uhr (also z.B. 17:59:11 Uhr) beginnt mein Postfix Spam zu versenden. Das ganze geht schließlich soweit, das mein Server wegen Überlastung gar nicht mehr erreichbar ist.

Mithilfe der mail.log konnte ich zwar diese Regelmäßigkit bei der Zeit des Spamversandes erkennen, jedoch nicht wodurch dieser gestartet wird. Auch ein keiner crontab habe ich einnen passenden Eintrag gefunden.
Im access.log vom Apache ist für den entsprechenden Zeitpunkt ebenfalls kein Eintrag zu finden.

Was könnte noch die Ursache für den Spam-Versand sein? Wie kann ich am besten weiter vorgehen?

Hier noch ein Auszug aus der mail.log:

Code: 
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 85291C2807B1: from=<>, size=2836, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 82947C2807C4: from=<>, size=2897, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 95922C2807A4: from=<>, size=2838, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 6B9D2C280847: from=<>, size=3551, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 44F5EC280799: from=<>, size=2954, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: E6233C2807C0: from=<>, size=2918, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 74D0BC2807C1: from=<>, size=2895, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: 71AEBC2807A3: from=<>, size=2900, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: BF279C280710: from=<>, size=2870, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/qmgr[1648]: B1427C2807B0: from=<>, size=2872, nrcpt=1 (queue active)
Nov  3 17:59:11 vserver postfix/smtp[15752]: E6233C2807C0: host mx.fakemx.net[176.9.24.81] refused to talk to me: 421 Closing connection
Nov  3 17:59:11 vserver postfix/smtp[15756]: B1427C2807B0: host mx.fakemx.net[176.9.24.80] refused to talk to me: 421 Closing connection
Nov  3 17:59:11 vserver postfix/smtp[15748]: connect to livecapital.com[208.87.35.101]:25: Connection refused
Nov  3 17:59:12 vserver postfix/smtp[15754]: connect to h8store.com[208.87.35.101]:25: Connection refused
Nov  3 17:59:12 vserver postfix/smtp[15750]: 6B9D2C280847: to=<rati.badrack@nomadiclab.com>, relay=smtp.nomadiclab.com[193.234.218.146]:25, delay=425, delay
s=424/0.02/0.38/0.21, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as 21E5D1ADE2A)
Nov  3 17:59:12 vserver postfix/qmgr[1648]: 6B9D2C280847: removed
Nov  3 17:59:12 vserver postfix/smtp[15756]: B1427C2807B0: to=<christenkaroline@pfefferlgroup.com>, relay=mx.fakemx.net[176.9.24.81]:25, delay=127824, delay
s=127824/0.04/0.05/0.01, dsn=4.0.0, status=deferred (host mx.fakemx.net[176.9.24.81] said: 421 Closing connection (in reply to MAIL FROM command))
Nov  3 17:59:13 vserver postfix/smtp[15754]: 71AEBC2807A3: to=<elidiakaleigh@h8store.com>, relay=none, delay=294493, delays=294493/0.03/0.14/0, dsn=4.4.1, s
tatus=deferred (connect to h8store.com[208.87.35.101]:25: Connection refused)
Nov  3 17:59:13 vserver postfix/smtp[15748]: 82947C2807C4: to=<keenacuc@livecapital.com>, relay=none, delay=252463, delays=252463/0.01/0.14/0, dsn=4.4.1, st
atus=deferred (connect to livecapital.com[208.87.35.101]:25: Connection refused)
Nov  3 17:59:18 vserver postfix/smtp[15752]: E6233C2807C0: to=<shawandamadge@soundrevolution.net>, relay=mx.fakemx.net[176.9.24.80]:25, delay=256231, delays
=256228/0.03/3/0, dsn=4.0.0, status=deferred (host mx.fakemx.net[176.9.24.80] refused to talk to me: 421 Closing connection)
Nov  3 17:59:22 vserver postfix/smtp[15747]: 85291C2807B1: to=<floridadebbra@homesweb.com>, relay=none, delay=177052, delays=177043/0.01/9.2/0, dsn=4.4.3, s
 
So wie es in deinem Log aussieht, ist der FROM leer. Das könnten auch Bounces sein, die dein Postfix versucht, dem vermeintlichen Absender zuzustellen und die der Zielserver nicht annimmt. Das das regelmäßig wieder passiert, ist normal, da Mailserver Mails in regelmäßigen Abständen wieder zu versenden, bis sie entweder von Zielsystem angenommen wurde, mit einem "permanenten" Fehler ablehnt wurden oder eine gewisse Zeit überschritten ist.
Du kannst dir die Mails in deiner Queue mal ansehen, was es für Mails sind. Wenn es Bounces sind, hast du möglicherweise ein offenes Relay oder irgendwas in deinem Mail-Server verursache Backscatter (beispielsweise ein Spamfilter, der den Absender informiert, daß dieser Spam versendet).
Dann solltest du die Mails aus der Queue löschen (postqueue hilft dir dabei, schau in die man-Page), damit der Versand gestoppt wird. Anschließend geht es daran, die Ursache für dein Problem zu finden. Dazu auf jedem Fall dann auch Postfix stoppen, damit dein Server nicht weiterhin als Spam- oder Mail-Schleuder arbeitet, bis du die Ursache gefunden und beseitigt hast.
 
You must log in or register to reply here.
Back
Top