qmail will Kopie von Mails an dubiose Mailadressen schicken

[l0rd]

Hi,

Vorweg:
System ist ein RootDS mit Debian und Plesk bei s4u

Ich stehe seit einigen Tagen vor einem dubiosen Problem. Qmail versucht Mails, die mittels php verschickt wurden und aus einem Webformular generiert wurden, an seltsame Empfänger zu schicken. Das "Problem" trat bisher nur 2 mal auf, aber es stimmt mich ziemlich besorgt, da in dem Formular z.B. die Adresse übertragen wird und diese an keine Webmailer in China gehen sollen!

Am besten seht selbst:

Return-Path: <>
Delivered-To: 2-MEINE_MAILADRESSE@MEIN_SERVER
Received: (qmail 7678 invoked by uid 110); 23 Apr 2007 12:05:43 +0200
Delivered-To: 2-anonymous@MEIN_SERVER
Received: (qmail 7673 invoked for bounce); 23 Apr 2007 12:05:42 +0200
Date: 23 Apr 2007 12:05:42 +0200
From: MAILER-DAEMON@MEIN_SERVER
To: anonymous@MEIN_SERVER
Subject: failure notice
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on MEIN_SERVER
X-Spam-Level: 
X-Spam-Status: No, score=-4.3 required=7.0 tests=ALL_TRUSTED,AWL,BAYES_00,
	NO_REAL_NAME autolearn=ham version=3.0.3
Status: R
X-Status: NC
X-KMail-EncryptionState:  
X-KMail-SignatureState:  
X-KMail-MDN-Sent:  

Hi. This is the qmail-send program at MEIN_SERVER.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<lxim@mail.china.com>:
211.99.189.179 failed on DATA command.
Remote host said: 503 All recipients are invalid

<l-xin@163.net>:
202.108.255.224 does not like recipient.
Remote host said: 501 #5.1.1 bad address l-xin@163.net
Giving up on 202.108.255.224.

<lxilyeah@yeah.net>:
202.108.5.244 does not like recipient.
Remote host said: 550 Invalid User: lxilyeah@yeah.net
Giving up on 202.108.5.244.

--- Below this line is a copy of the message.

Return-Path: <anonymous@MEIN_SERVER>
Received: (qmail 7556 invoked by uid 33); 23 Apr 2007 12:05:22 +0200
Date: 23 Apr 2007 12:05:22 +0200
Message-ID: <20070423100522.7547.qmail@MEIN_SERVER>
To: info@MEIN_SERVER
Subject: Neue Online Bestellung
FROM: "Empfänger" <DER_EINGETRAGENE_SENDER@aol.com>

KORREKTE MAIL

Ich hab in /var/log und in /opt/psa/var/log weder diese dubiosen E-Mailadressen noch irgendwelche Informationen gefunden, die auf etwas hindeuten, was nicht stimmt.
Ich konnte das Problem auch nicht nachvollziehen. Hatte auch bereits 12 Stunden Port 25 ausgehend geblockt um die Mails zu sammeln und da wurde nichts seltsames verschickt. Nach Rootkits oder offenen Ports habe ich gesucht und keine gefunden.

Im Moment dreh ich mich so ziemlich im Kreis, da ich nicht mehr weiter weiß. Hat jemand ähnliche Erfahrungen gemacht oder einen Tip?

Für Tips wäre ich sehr dankbar!

Gruß
Dennis


PS: Ich weiß nicht ob das eine Rolle spielt, aber vor ca. einem Monat habe ich gemerkt, dass über eine info@... Adresse einer Domain Spam verschickt wurde, da das Passwort zu schwach war. Das Passwort ist geändert und seitdem habe ich auch keine abnormalen Logins im smtp bzw pop server. ssh natürlich auch nicht... nur jede Menge fehlgeschlagene Versuche, aber diese hat wohl jeder.

 

[Huschi]

Erstmal: Prima! Genau die Informationen die wir brauchen:
Hier sind 2 Datumangaben drin (1 und 2 Header):

Date: 23 Apr 2007 12:05:42 +0200
...
Date: 23 Apr 2007 12:05:22 +0200

Nun brauchen wir das Maillog (/opt/psa/var/log/maillog) genau zwischen diesen 20 Sekunden.

Grundsätzlich Erklärung: Dein PHP-Script prüft die übergebenen Angaben nicht gründlich genug. Hier wird dem ein "BCC: ..." untergejubelt, welches diese Emailadressen enthält.

huschi.

 

[l0rd]

Hallo Huschi,

danke für die prompte Antwort!

Das es am PHP Skript liegt, kann ich eigentlich ausschließen, denn
1. hätte der Benutzer gar keinen Grund was falsches einzugeben (ok, schwaches Argument ;-) )
2. müsste es dann auch im Log stehen (denk ich zumindest mal)
3. wird zumindest die eingetragene E-Mailadresse mit einem relativ zuverlässigen regulären Ausdruck getestet
4. werden die Daten, die eingegeben werden können, parallel noch in eine Datenbank geschrieben und dort ist von den Mailadressen auch nichts zu finden.

Hier ist mal die maillog aus /opt/psa/car/log

Apr 23 12:05:22 dc-design qmail-queue: dwlib[7544]: scan: the message(drweb.tmp.qJ0wTF) sent by anonymous@MEIN_SERVER to MEINE_MAILADRESSE@MEIN_SERVER is passed
Apr 23 12:05:22 dc-design qmail: 1177322722.465565 new msg 173876406
Apr 23 12:05:22 dc-design qmail: 1177322722.465784 info msg 173876406: bytes 595 from <anonymous@MEIN_SERVER> qp 7546 uid 33
Apr 23 12:05:22 dc-design qmail: 1177322722.472818 starting delivery 734: msg 173876406 to local 2-MEINE_MAILADRESSE@MEIN_SERVER
Apr 23 12:05:22 dc-design qmail: 1177322722.472863 status: local 1/10 remote 0/20
Apr 23 12:05:22 dc-design spamd[9921]: connection from localhost.localdomain [127.0.0.1] at port 47871 
Apr 23 12:05:22 dc-design spamd[9921]: info: setuid to popuser succeeded 
Apr 23 12:05:22 dc-design qmail-queue: dwlib[7550]: scan: the message(drweb.tmp.isIqZG) sent by anonymous@MEIN_SERVER to info@MEIN_SERVER is passed
Apr 23 12:05:22 dc-design spamd[9921]: processing message <20070423100522.7542.qmail@MEIN_SERVER> for popuser:110. 
Apr 23 12:05:22 dc-design qmail: 1177322722.528314 new msg 173876410
Apr 23 12:05:22 dc-design qmail: 1177322722.528381 info msg 173876410: bytes 606 from <anonymous@MEIN_SERVER> qp 7556 uid 33
Apr 23 12:05:22 dc-design qmail: 1177322722.539596 starting delivery 735: msg 173876410 to local 12-info@MEIN_SERVER
Apr 23 12:05:22 dc-design qmail: 1177322722.539662 status: local 2/10 remote 0/20
Apr 23 12:05:22 dc-design qmail-queue: dwlib[7561]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Apr 23 12:05:22 dc-design qmail-queue: dwlib[7561]: scan: the message(drweb.tmp.1pDSkP) sent by anonymous@MEIN_SERVER to DER_EINGETRAGENE_SENDER@aol.com should be passed without checks, because contains uncheckable addresses
Apr 23 12:05:22 dc-design qmail: 1177322722.603951 new msg 173876420
Apr 23 12:05:22 dc-design qmail: 1177322722.604335 info msg 173876420: bytes 1730 from <anonymous@MEIN_SERVER> qp 7563 uid 33
Apr 23 12:05:22 dc-design qmail: 1177322722.612492 starting delivery 736: msg 173876420 to remote DER_EINGETRAGENE_SENDER@aol.com
Apr 23 12:05:22 dc-design qmail: 1177322722.612553 status: local 2/10 remote 1/20
Apr 23 12:05:23 dc-design qmail: 1177322723.546794 delivery 736: success: 205.188.158.121_accepted_message./Remote_host_said:_250_OK/
Apr 23 12:05:23 dc-design qmail: 1177322723.547159 status: local 2/10 remote 0/20
Apr 23 12:05:23 dc-design qmail: 1177322723.547345 end msg 173876420
Apr 23 12:05:32 dc-design spamd[9921]: clean message (-5.9/7.0) for popuser:110 in 10.2 seconds, 595 bytes. 
Apr 23 12:05:32 dc-design spamd[9921]: result: . -5 - ALL_TRUSTED,BAYES_00 scantime=10.2,size=595,mid=<20070423100522.7542.qmail@MEIN_SERVER>,bayes=0,autolearn=ham 
Apr 23 12:05:32 dc-design qmail: 1177322732.721249 delivery 734: success: 1177322732.M501500P7555.MEIN_SERVER/did_0+0+2/
Apr 23 12:05:32 dc-design qmail: 1177322732.721498 status: local 1/10 remote 0/20
Apr 23 12:05:32 dc-design qmail: 1177322732.721631 end msg 173876406
Apr 23 12:05:32 dc-design spamd[9921]: connection from localhost.localdomain [127.0.0.1] at port 47874 
Apr 23 12:05:32 dc-design spamd[9921]: info: setuid to popuser succeeded 
Apr 23 12:05:32 dc-design spamd[9921]: processing message <20070423100522.7547.qmail@MEIN_SERVER> for popuser:110. 
Apr 23 12:05:42 dc-design spamd[9921]: clean message (-5.9/7.0) for popuser:110 in 10.2 seconds, 606 bytes. 
Apr 23 12:05:42 dc-design spamd[9921]: result: . -5 - ALL_TRUSTED,BAYES_00 scantime=10.2,size=606,mid=<20070423100522.7547.qmail@MEIN_SERVER>,bayes=0,autolearn=ham 
Apr 23 12:05:42 dc-design qmail: 1177322742.932937 delivery 735: success: 1177322732.M583683P7565.MEIN_SERVER/did_0+0+2/
Apr 23 12:05:42 dc-design qmail: 1177322742.933160 status: local 0/10 remote 0/20
Apr 23 12:05:42 dc-design qmail-queue: dwlib[7672]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Apr 23 12:05:42 dc-design qmail-queue: dwlib[7672]: scan: the message(drweb.tmp.QGj2Fe) sent by  to anonymous@MEIN_SERVER should be passed without checks, because contains uncheckable addresses
Apr 23 12:05:42 dc-design qmail: 1177322742.973868 bounce msg 173876410 qp 7671
Apr 23 12:05:42 dc-design qmail: 1177322742.973927 end msg 173876410
Apr 23 12:05:42 dc-design qmail: 1177322742.974812 new msg 173876406
Apr 23 12:05:42 dc-design qmail: 1177322742.974896 info msg 173876406: bytes 1476 from <> qp 7673 uid 2522
Apr 23 12:05:42 dc-design qmail: 1177322742.980772 starting delivery 737: msg 173876406 to local 2-anonymous@MEIN_SERVER
Apr 23 12:05:42 dc-design qmail: 1177322742.980802 status: local 1/10 remote 0/20
Apr 23 12:05:43 dc-design qmail-queue: dwlib[7676]: scan: the message(drweb.tmp.wixLnk) sent by  to MEINE_MAILADRESSE@MEIN_SERVER is passed
Apr 23 12:05:43 dc-design qmail: 1177322743.017335 new msg 173876410
Apr 23 12:05:43 dc-design qmail: 1177322743.017411 info msg 173876410: bytes 1585 from <> qp 7678 uid 110
Apr 23 12:05:43 dc-design qmail: 1177322743.021721 starting delivery 738: msg 173876410 to local 2-MEINE_MAILADRESSE@MEIN_SERVER
Apr 23 12:05:43 dc-design qmail: 1177322743.021759 status: local 2/10 remote 0/20
Apr 23 12:05:43 dc-design qmail: 1177322743.021784 delivery 737: success: did_0+1+0/qp_7675/
Apr 23 12:05:43 dc-design qmail: 1177322743.021921 status: local 1/10 remote 0/20
Apr 23 12:05:43 dc-design qmail: 1177322743.022061 end msg 173876406
Apr 23 12:05:43 dc-design spamd[9921]: connection from localhost.localdomain [127.0.0.1] at port 47932 
Apr 23 12:05:43 dc-design spamd[9921]: info: setuid to popuser succeeded 
Apr 23 12:05:43 dc-design spamd[9921]: processing message (unknown) for popuser:110. 
Apr 23 12:05:53 dc-design spamd[9921]: clean message (-4.3/7.0) for popuser:110 in 10.2 seconds, 1585 bytes. 
Apr 23 12:05:53 dc-design spamd[9921]: result: . -4 - ALL_TRUSTED,AWL,BAYES_00,NO_REAL_NAME scantime=10.2,size=1585,mid=(unknown),bayes=1.66533453693773e-16,autolearn=ham

Was mir auch noch aufgefallen ist: Bei beiden seltsamen Vorkomnissen war es eine AOL-Adresse, die eingetragen wurde... was aber wohl nichts zu heißen hat.

Vielen Dank für deine Mühe! Ich weiß selbst, dass das nicht selbstverständlich ist!

Gruß
Dennis

 

[Huschi]

Ich kürze mal etwas:

qmail: new msg 173876410
qmail: info msg 173876410: bytes 606 from <anonymous@MEIN_SERVER> qp 7556 uid 33
qmail: starting delivery 735: msg 173876410 to local 12-info@MEIN_SERVER
qmail: bounce msg 173876410 qp 7671
qmail: end msg 173876410
qmail: new msg 173876406
qmail: starting delivery 737: msg 173876406 to local 2-anonymous@MEIN_SERVER

Die msg 173876410 ist die entsprechende Email. Und sie endet mit einem Bounce: msg 173876406.
Leider fehlt dort ein Teil.
Such doch mal, ob im /var/log/mail.info mehr drin steht.

huschi.

 

[l0rd]

Hi,

ne, in der Logdatei unter /var/log steht leider auch nicht mehr. Ein Vergleich der Dateien mit diff zeigt keine Abweichung an. Exakt der gleiche Inhalt.

Normalerweise müsste doch von diesen seltsamen Mailempfängern irgendwo, irgendwas im Log stehen, selbst wenn sie mit BCC eingetragen waren?

Ich hab mir auch mal alle Dateien in /var/qmail/bin usw. angeguckt. Da wurde in letzter Zeit keine geändert bzw. war ich es selbst, der sie geändert hat.

Hast du noch Tipps?
Besteht die Möglichkeit, dass ich mir doch irgednwas eingefangen habe, was von den Rootkit-Spürhunden nicht gefunden wird? Aber welcher Trojaner/Virus/Rootkit schickt alle 3 Wochen eine Kopie einer Mail nach China...?!


Gruß
Dennis

 

[l0rd]

Hi nochmal,

leider hab ich das Problem noch nicht gelöst bekommen, aber ich habe ein paar neue Informationen:

• sowohl eingehende als auch ausgehende Mails sind betroffen
• Bis jetzt betrifft es nur E-Mailadressen, bei denen die .qmail Datei editiert wurde
• Das Problem tritt auch auf, wenn der Virenscanner aus ist (Dr. Web), ich hab nun mal Spamassasin deaktiviert
• Eigentlich dürfte Spamfilter und Virenscanner aber nix mit dem Problem zu tun haben, weil auch ausgehende E-Mails betroffen sind.
• Alle Dateien ( von denen ich weiß, dass sie was mit dem Mailversand zu tun haben), haben das Datum von der Installation des Systems (vor gut einem Jahr); sind also nicht geändert worden. Unter /var/qmail/bin stimmen sogar die md5-Zahlen mit einem etwas älteren Backup.

"Wunderschön" finde ich auch folgende Mail. Eine Spam-Mail, die für mich bestimmt war und an komische Adressen erfolglos weitergeleitet werden sollte. Dann sollte sie an den nicht existierenden Sender zurück und kam letztendlich als Bounce bei mir an... Die Mail:

Return-Path: <#@[]>
Delivered-To: 2-christmann@MEIN_SERVER
Received: (qmail 32613 invoked by uid 110); 4 May 2007 14:55:32 +0200
Delivered-To: 2-postmaster@MEIN_SERVER
Received: (qmail 32608 invoked for bounce); 4 May 2007 14:55:32 +0200
Date: 4 May 2007 14:55:32 +0200
From: MAILER-DAEMON@MEIN_SERVER
To: postmaster@MEIN_SERVER
Subject: failure notice
X-Spam-Checker-Version: SpamAssassin 3.0.3 (2005-04-27) on MEIN_SERVER
X-Spam-Level: 
X-Spam-Status: No, score=-4.3 required=7.0 tests=ALL_TRUSTED,AWL,BAYES_00,
	NO_REAL_NAME autolearn=ham version=3.0.3
Status: RO
X-Status: RC
X-KMail-EncryptionState: N
X-KMail-SignatureState: N
X-KMail-MDN-Sent:  

Hi. This is the qmail-send program at MEIN_SERVER.
I tried to deliver a bounce message to this address, but the bounce bounced!

<bernhard@tm.net.my>:
202.188.0.213 does not like recipient.
Remote host said: 452 4.2.1 mailbox temporarily disabled: bernhard@tm.net.my
Giving up on 202.188.0.213.
I'm not going to try again; this message has been in the queue too long.

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 22105 invoked for bounce); 27 Apr 2007 06:28:40 +0200
Date: 27 Apr 2007 06:28:40 +0200
From: MAILER-DAEMON@MEIN_SERVER
To: bernhard@tm.net.my
Subject: failure notice

Hi. This is the qmail-send program at MEIN_SERVER.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<lxhmxrb@public.lyptt.fj.cn>:
202.109.252.105 failed on DATA command.
Remote host said: 503 All recipients are invalid

<lxhn@371.net>:
218.29.0.199 does not like recipient.
Remote host said: 550 mailbox unavailable. (ÓÊÏä²»ŽæÔÚ)
Giving up on 218.29.0.199.

--- Below this line is a copy of the message.

Return-Path: <bernhard@tm.net.my>
Received: (qmail 22081 invoked from network); 27 Apr 2007 06:28:28 +0200
Received: from 143.10.95.219.kmr01-home.tm.net.my (HELO tm.net.my) (219.95.10.143)
  by MEIN_SERVER with SMTP; 27 Apr 2007 06:28:25 +0200
Message-ID: <11C44849.7FE6795B@tm.net.my>
Date: Fri, 27 Apr 2007 04:11:03 -0100
From: "Tim Pirnack" <bernhard@tm.net.my>
MIME-Version: 1.0
To: <info@MEINE_SERVER>
Subject: Sensationelle Aktie. Billig zu haben. Steigerungen um 5.000 Prozent wahrscheinlich! Wirklich!
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

ganz viele tolle Aktien soll man kaufen.

• Gibt es eine Möglichkeit zusätzlich ein Log zu schreiben?
• Wo müsste ich Änderungen finden, die das beschrieben Verhalten bewirken?
• Hat es einen Sinn sich an den Support von s4u zu wenden? Was kostet mich das?

Neuinstallation will ich vermeiden, da ich erstens nicht viel von Mailservern weiß (und sie auch ziemlich kompliziert finde..) und zweitens nicht weiß ob das Problem damit gelöst ist.

Vielen Dank für eure Mühe!!

Gruß
Dennis

 

[Huschi]

Bis jetzt betrifft es nur E-Mailadressen, bei denen die .qmail Datei editiert wurde

Von Dir? Was wurde editiert/eingefügt?

Received: (qmail 22081 invoked from network); 27 Apr 2007 06:28:28 +0200
Received: from 143.10.95.219.kmr01-home.tm.net.my (HELO tm.net.my) (219.95.10.143) by MEIN_SERVER with SMTP; 27 Apr 2007 06:28:25 +0200

Hier hast Du ein Zeitstempel zum Nachsehen in den Logfiles.
Anscheinend kommt die Email von extern und soll an "info@MEINE_SERVER". Ist mit "MEINE_SERVER" eine gültige Domain, oder eine Provider Domain oder eine IP gemeint?
Was steht in der entsprechenden .qmail?
Was steht noch in den Logfiles? (Schau nach evtl. weiteren auftauchen der msg-ID.)

Gibt es eine Möglichkeit zusätzlich ein Log zu schreiben?

Was soll da drin stehen?

Wo müsste ich Änderungen finden, die das beschrieben Verhalten bewirken?

Z.B. in einer .qmail.

Hat es einen Sinn sich an den Support von s4u zu wenden? Was kostet mich das?

Erstmal die 0190er Kosten (falls Du keinen 0180-Nummer hast) und evtl. noch den Arbeitsaufwand von ~30 EUR pro 15 Minuten. (Ich glaub das ist der aktuelle Preis bei denen.) Und evtl. werden die Dir auch nur ne Neuinstallation vorschlagen.

huschi.

 

[l0rd]

Vielen Dank für die Antwort!

Von Dir? Was wurde editiert/eingefügt?

Meine Plesk-Lizenz erlaubt es nicht, den Spamassassin aus dem Plesk heraus zu aktivieren. Deswegen habe ich die .qmail Dateien um spamc selbst ergänzt. Die sahen bzw sehen so aus:

| true
|spamc | safecat ./Maildir/tmp ./Maildir/new

Diese Zeilen hatte ich damals in einer Anleitung gefunden.

Hier hast Du ein Zeitstempel zum Nachsehen in den Logfiles.
Anscheinend kommt die Email von extern und soll an "info@MEINE_SERVER". Ist mit "MEINE_SERVER" eine gültige Domain, oder eine Provider Domain oder eine IP gemeint?
Was steht in der entsprechenden .qmail?
Was steht noch in den Logfiles? (Schau nach evtl. weiteren auftauchen der msg-ID.)

Oh.. meinE_Server... die deutsche Sprache war noch nie meine Stärke, sorry ...
Also MEIN_SERVER ist eine gültige Domain des Servers und info@... ist eine gültige Adresse. Die .qmail Datei sieht genauso aus wie oben; also ergänzt um die spamc Zeilen.

Hier ist der Log:

Apr 27 06:28:28  qmail-queue: dwlib[22075]: scan: the message(drweb.tmp.c82C5s) sent by bernhard@tm.net.my to info@MEIN_SERVER is passed
Apr 27 06:28:28  qmail: 1177648108.923204 new msg 173876302
Apr 27 06:28:28  qmail: 1177648108.923273 info msg 173876302: bytes 2340 from <bernhard@tm.net.my> qp 22081 uid 2020
Apr 27 06:28:28  qmail: 1177648108.929285 starting delivery 1472: msg 173876302 to local 12-info@MEIN_SERVER
Apr 27 06:28:28  qmail: 1177648108.929330 status: local 1/10 remote 0/20
Apr 27 06:28:28  spamd[13778]: connection from localhost.localdomain [127.0.0.1] at port 47879 
Apr 27 06:28:28  spamd[13778]: info: setuid to popuser succeeded 
Apr 27 06:28:28  spamd[13778]: processing message <11C44849.7FE6795B@tm.net.my> for popuser:110. 
Apr 27 06:28:40  spamd[13778]: clean message (1.3/7.0) for popuser:110 in 11.2 seconds, 2340 bytes. 
Apr 27 06:28:40  spamd[13778]: result: .  1 - BAYES_00,MANY_EXCLAMATIONS,RCVD_IN_DSBL,RCVD_IN_NJABL_DUL scantime=11.2,size=2340,mid=<11C44849.7FE6795B@tm.net.my>,bayes=0,autolearn=no 
Apr 27 06:28:40  qmail: 1177648120.146032 delivery 1472: success: 1177648118.M946289P22087..de/did_0+0+2/
Apr 27 06:28:40  qmail: 1177648120.146414 status: local 0/10 remote 0/20
Apr 27 06:28:40  qmail-queue: dwlib[22104]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Apr 27 06:28:40  qmail-queue: dwlib[22104]: scan: the message(drweb.tmp.iCQr1n) sent by  to bernhard@tm.net.my should be passed without checks, because contains uncheckable addresses
Apr 27 06:28:40  qmail: 1177648120.223991 bounce msg 173876302 qp 22103
Apr 27 06:28:40  qmail: 1177648120.224078 end msg 173876302
Apr 27 06:28:40  qmail: 1177648120.269781 new msg 173876306
Apr 27 06:28:40  qmail: 1177648120.269863 info msg 173876306: bytes 3062 from <> qp 22105 uid 2522
Apr 27 06:28:40  qmail: 1177648120.275774 starting delivery 1473: msg 173876306 to remote bernhard@tm.net.my
Apr 27 06:28:40  qmail: 1177648120.275807 status: local 0/10 remote 1/20
Apr 27 06:28:42  qmail: 1177648122.386103 delivery 1473: deferral: 202.188.0.213_does_not_like_recipient./Remote_host_said:_452_4.2.1_mailbox_temporarily_disabled:_bernhard@tm.net.my/Giving_up_on_202.188.0.213./
Apr 27 06:28:42  qmail: 1177648122.386175 status: local 0/10 remote 0/20
Apr 27 06:35:21  qmail: 1177648521.325845 starting delivery 1474: msg 173876306 to remote bernhard@tm.net.my
Apr 27 06:35:21  qmail: 1177648521.325978 status: local 0/10 remote 1/20
Apr 27 06:35:33  qmail: 1177648533.515890 delivery 1474: deferral: 202.188.0.213_does_not_like_recipient./Remote_host_said:_452_4.2.1_mailbox_temporarily_disabled:_bernhard@tm.net.my/Giving_up_on_202.188.0.213./
Apr 27 06:35:33  qmail: 1177648533.515999 status: local 0/10 remote 0/20

Zwischendrin ist nix herausgenommen (ausser der Servername gekürzt). Die ID habe ich ausser in diesem Kontext auch nirgens gefunden.

Was soll da drin stehen?

Die fehlenden Log-Einträge. Einträge mit den seltsamen Mailadressen fehlen in der mail.info komplett. Ich dachte, dass man mit redundantem Loggen evtl. Log-Informationen erhalten kann (falls diese im Nachhinein gelöscht werden) bzw dafür sorgen kann, dass alles geloggt wird. Irgendwie muss man doch die Ursache zu dem Problem finden!

Z.B. in einer .qmail.

Die .qmail hatte ich überprüft. Die waren alle so, wie von mir angelegt und hatten auch noch das korrekte Datum. :-(




Wenn ich das bei s4u richtig sehe, wurde das Debian Image nicht mit neuerer Software upgedatet. Zumindest ist php (das einzige Programm bei dem die Version dabei sthet) immer noch in Version 4.3.4 dabei, was sie schon vor einem Jahr war. Wenn es also eine Schwachstelle in einer Software wäre, würde die Neuinstallation nicht sehr viel bringen, befürcht ich.


Danke & Gruß
Dennis

 

[flyingoffice]

Hallo

Meine Plesk-Lizenz erlaubt es nicht, den Spamassassin aus dem Plesk heraus zu aktivieren. Deswegen habe ich die .qmail Dateien um spamc selbst ergänzt.

Dann würde ich Spamassassin zentral in der qmail-queue einbinden und die Änderungen an den einzelnen .qmail Dateien wieder rausnehmen.

Wie das ganze geht habe ich in diesem Beitrag beschrieben.

Gruß flyingoffice

 

[l0rd]

Hi,

danke für den Tip! Werd es direkt umsetzen, wenn das andere Problem gelöst ist!
Dann brauch ich nicht bei jeder neuen Adresse die .qmail editieren!


Dennis