Qmail, Spam über Server?

Fufu

New Member
Hallo allerseits,
ich würde gerne wissen, welche Indizien mir zeigen, dass eventuell über meinen Server Spam verschickt wird?

Folgendes Durchgecheckt:

-
http://www.antispam-ufrj.pads.ufrj.br/test-relay.html zeigt: said:
Relay test result
All tests performed, no relays accepted by remote host.

- Über meinen Server werden Spam's verschickt! - huschi.net überprüft und eingerichtet, php_sendmail-Pfade beachtet und angepasst, trotzdem tut sich im Logfile nichts, wenn man über ein typisches Kontaktformular, das die mail()-Funktion benutzt, eine Nachricht absetzt.

Was mich stutzig gemacht hat: Nach einrichten von https://serversupportforum.de/threa...ken-per-mail-ubuntu-plesk-debian-plesk.22149/ und dem austesten des cron-skripts, bekam ich folgende Statistiken:

Completed messages: 14323
Recipients for completed messages: 16076
Total delivery attempts for completed messages: 20918
Average delivery attempts per completed message: 1.46045
Bytes in completed messages: 141806955
Bytes weighted by success: 75355872
Average message qtime (s): 4978.51

Total delivery attempts: 26974
success: 8348
failure: 7728
deferral: 10898
Total ddelay (s): 274471.381782
Average ddelay per success (s): 32.878699
Total xdelay (s): 134392.468194
Average xdelay per delivery attempt (s): 4.982297
Time span (days): 18.3119
Average concurrency: 0.0849429

So arg viel kann ich mit den Zahlen nicht anfangen, dennoch erscheinen sie mir extrem hoch, v.a. die success-Zahl mit knapp 8400 Mails ist utopisch, so viele wurden niemals erwünscht über den Server verschickt. In der Mail-Queue fanden sich noch ca. 120 failure notices, ein Auszug:

Received: (qmail 11863 invoked for bounce); 21 Jul 2008 01:50:10 +0200
Date: 21 Jul 2008 01:50:10 +0200
From: MAILER-DAEMON@$MEINSERVER.com
To: [email protected]
Subject: failure notice

Hi. This is the qmail-send program at $MEINSERVER.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<info@$ANDERE-DOMAIN-AUF-MEINEM-SERVER.net>:
This address no longer accepts mail.

Jetzt eben die Frage, wie ich definitiv sehen kann, ob über meinen Server Spam verschickt wird? Zusätzlich wäre es cool, wenn jemand einen Tipp hat, woran huschis sendmail-wrapper scheitern könnte (2 Einträge haben sich angesammelt:
2008-07-21T01:00:39+0200 sendmail-wrapper called from /root
2008-07-21T01:05:29+0200 sendmail-wrapper called from /

/ und /root sind aber laut "ls -a" alle soweit leer/normal, beinhalten kein ausführbares file.

Danke für Tipps und Anregungen,
Fufu
 
Einen Spamversand über den eigenen Server erkännt man vor allem durch eine sehr hohe Mail-Queue und wahnsinnig viele Bounces an postmaster.
Dazu ist es natürlich wichtig die root-Mails zu lesen und die Mail-Queue, wenn sie denn voll ist, zu analysieren.

Letzteres besteht überwiegend daraus zu erkennen, ob es bereits Bounces sind, die der eigene Server verarbeiten muß, oder wirklich nigelnagelneue (Spam-)Mails, die der Server versucht zu verschicken.

woran huschis sendmail-wrapper scheitern könnte
Wer behauptet, daß er gescheitert ist?
sendmail wird halt in dem Fall nicht viel genutzt.
Ob Du z.B. per PHP die Mails über sendmail rausschickst, kannst Du ja selber testen.
 
Hi Huschi,
ich habe den Pfad in deinem Wrapper an den Pfad aus phpinfo() angepasst und alles entsprechend umkopiert/verschoben.
Leider wird aber im Logfile kein Eintrag erzeugt, wenn ich über ein PHP-Skript per mail() eine E-Mail rausschicke...das Logfile habe ich testweise auf rw-rw-rw gesetzt, was aber leider nichts am Problem ändert.
Ansonsten hat sich die Mailqueue bis jetzt wieder halbwegs stabilisiert, nurnoch ca. 20 failure notices durchgängig.
 
wenn ich über ein PHP-Skript per mail() eine E-Mail rausschicke
Wird denn der "X-Additional-Header" gesetzt?
Damit wüsten wir zumindest ob dieser Sendmail auch wirklich genutzt wird, oder nicht.


das Logfile habe ich testweise auf rw-rw-rw gesetzt
Wurde es denn angelegt ohne daß Du etwas machen mußtest?
Oben hast Du bereits zwei Einträg im Logfile erwähnt. Woher kommen die?

huschi.
 
Hallo Huschi,
danke für deine Antwort!
Woher die zwei ersten Zeilen kamen, weiß ich nicht, habe aber mittlerweile einen klitzekleinen Fehler meinerseits im Skript entdeckt, der sich eingeschmuggelt hatte (Backspace löscht in eine ungewohnte Richtung) - tut mir Leid für die Arbeit, die ich verursacht habe!

Jetzt bleibt mir also dein Logfile zur Spamkontrolle über php-Skripte und ansonsten weiß ich ja, dass mein Server kein Relay ist - das bedeutet im Umkehrschluss ja, dass kein Spamversand über ihn möglich ist, oder habe ich etwas übersehen? (Abgesehen jetzt mal vom Knacken des Root-Accounts o.Ä.)
 
dass mein Server kein Relay ist - das bedeutet im Umkehrschluss ja, dass kein Spamversand über ihn möglich ist
Dies ist Logisch nicht korrekt. Du hast lediglich eine Möglichkeit ausgeschlossen und für eine andere eine Kontrollmöglichkeit eingerichtet.
Sobald aber ein Script 20.000 Mails abgesetzt hat, ist es aber dennoch zu spät.
Zusätzlich können Scripte auch noch Sendmail umgehen....

Was ich damit sagen will ist lediglich:
Verlasse Dich nicht auf diese Maßnahmen.
Regelmäßige Kontrolle ist besser.

huschi.
 
Back
Top