Seltsame Bounce Mail

D

daralla

New Member
Hallo,

in meinem Postfach fand ich soeben folgende Mail:
Code: 
Hi. This is the qmail-send program at mx-01.dd24.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<jra@mapfre.com.br>:
User and password not set, continuing without authentication.
200.211.99.156 does not like recipient.
Remote host said: 550 #5.1.0 Rejected by bounce verification.
Giving up on 200.211.99.156.

<jra@mapfre.com.br>:
User and password not set, continuing without authentication.
200.211.99.154 does not like recipient.
Remote host said: 550 #5.1.0 Rejected by bounce verification.
Giving up on 200.211.99.154.

--- Below this line is a copy of the message.

<snipped>

dann folgte der Original-Text einer Mail die ich 3h vorher an eine andere, mir bekannte (und funktionierende) Adresse gesendet hatte. An die oben genannte Adresse <jra@mapfre.com.br>, von deren Host die "failure notice" an mich zurück kam, hatte ich die Mail definitiv nicht geschickt, weder separat noch als CC/BCC.

Die Mail Logs auf meinem Server (Suse 10.2, Plesk, qmail + clamscan + greylisting) zeigen nichts aufälliges nur das Versenden der Original-Mail an die korrekte Adresse.

Kann mir einer erklären was hier passiert ist? Deutet sowas auf einen Hack an meinem Server oder auf ein Problem bei dem korrekten Empfänger hin?

Beunruhigend ist halt das der Originaltext meiner Mail von einem völlig anderen Server, an den ich NICHTS gesendet hatte, als rejected zurückkam.

Danke schon mal für alle möglichen Hinweise...
 
Hi,

ich kann zwar nicht direkt helfen, aber dein problem scheint ähnlich zu meinem zu sein:

qmail will Kopie von Mails an dubiose Mailadressen schicken

Hi, Vorweg: System ist ein RootDS mit Debian und Plesk bei s4u Ich stehe seit einigen Tagen vor einem dubiosen Problem. Qmail versucht Mails, die mittels php verschickt wurden und aus einem Webformular generiert wurden, an seltsame Empfänger zu schicken. Das "Problem" trat bisher nur 2...
serversupportforum.de serversupportforum.de

Ich hatte damals alles durchgecheckt, auch rootkits etc. aber nichts gefunden. Mittlerweile haben solche Mails bei mir aufgehört... Ich hab bis heute noch nicht verstanden, was da los war.

l0rd
 
Danke - immer schon mal gut zu wissen, daß man nicht allein ist mit einem Problem ;)

Schein tatsächlich dasselbe Phänomen zu sein. Immerhin könne wir aufgrund der unterschiedlichen Konfigurationen einige Dinge als Ursache ausschließen:

- PHP - meine Mail wurde mit einem POP3 Client verschickt
- Webmail (Horde) - ist bei mir komplett deaktiviert
- Spamassasin - benutze ich nicht
- Dr.Web oder Clam AV
- greylisting - läuft bei Dir nicht

Wie bei Dir sind auch meine diversen Logs völlig unverdächtig, kein Hinweis daß an dubiose Adressen gesendet wurde.

Mal sehen, ob es sich bei mir wiederholt...

Ich habe ein wenig den Verdacht, daß vielleicht der Server oder auch der PC des (korrekten) Empfängers gehackt sein könnte, so daß dort eingehende Mails unauthorisiert weiter versendet werden. Evtl. werden dabei die Original-Senderadressen beibehalten, so daß ein Bounce/Reject zum Original-Absender zurück kommt?
 
daralla said:
Evtl. werden dabei die Original-Senderadressen beibehalten, so daß ein Bounce/Reject zum Original-Absender zurück kommt?
Click to expand...

Steht denn im Header der gebouncten Mail irgendetwas, was darauf hinweist? Dort wird ja normalerweise der Pfad mit den Mailservern verwaltet, die auf dem Weg liegen.
 
l0rd said:
Steht denn im Header der gebouncten Mail irgendetwas, was darauf hinweist? Dort wird ja normalerweise der Pfad mit den Mailservern verwaltet, die auf dem Weg liegen.
Click to expand...

Der Header ist erstaunlich kurz, offensichtlich nur der direkte Pfad vom "bouncenden" Server zu meiner Mailbox. Ich kann da keine Hinweise erkennen:

Code: 
Return-Path: <>
Delivered-To: 1-<meine-senderadresse@meine-domain>.de
Received: (qmail 13565 invoked from network); 5 Nov 2007 10:55:00 +0100
X-Mail-Scanner: Scanned by qSheff-II-2.1-r2 (http://www.enderunix.org/qsheff/)
Received: from mail6.key-systems.net (HELO mx-01.dd24.net) (81.3.43.241)
  by www.<meine-domain>.de with (DHE-RSA-AES256-SHA encrypted) SMTP; 5 Nov 2007 10:54:59 +0100
Received: (qmail 18075 invoked for bounce); 5 Nov 2007 09:49:44 +0000
Date: 5 Nov 2007 09:49:44 +0000
From: MAILER-DAEMON@mx-01.dd24.net
To: <meine-senderadresse@meine-domain>.de
Subject: failure notice
 
joa, das ist die reine Bounce-Mail. Normalerweise sollte unter

Code: 
Below this line is a copy of the message.

der ursprüngliche Header sein :-)
 
Die Header, die hier interessant sind, werden normalerweise im Text der Bounce-Mail angezeigt:
--- Below this line is a copy of the message.
Click to expand...
Da wo bei Dir <snipped> steht.

Viele Grüße,
LinuxAdmin

EDIT: LOrd war schneller... (man sollte, wenn man beim Schreiben unterbrochen wird, vor dem Abschicken wohl besser noch mal nachschauen...)
 
Last edited by a moderator:
Ja klar, sorry.

Code: 
Return-Path: <<meine-senderadresse@meine-domain>>
Received: (qmail 18038 invoked by uid 0); 5 Nov 2007 09:49:43 +0000
Received: from [<meine-Server-IP>] (HELO <xxxxxxx>.stratoserver.net) (<meine-Server-IP>)
    by mx-01.dd24.net (qpsmtpd/0.31.1) with ESMTP; Mo, 05 Nov 2007 09:49:43 +0000
Received: (qmail 11458 invoked from network); 5 Nov 2007 10:48:16 +0100
X-Mail-Scanner: Scanned by qSheff-II-2.1-r2 (http://www.enderunix.org/qsheff/)
Received: from dslb-088-073-215-150.pools.arcor-ip.net (HELO <hostname-meines-PC>) (<meine-dynamische-Provider-IP>)
  by www.<meine-domain>.de with SMTP; 5 Nov 2007 10:48:16 +0100
Date: Mon, 5 Nov 2007 10:48:17 +0100
From: "<meine-From-Bezeichnung-im-POP3-Client>" <<meine-senderadresse@meine-domain>>
Reply-To: "<meine-From-Bezeichnung-im-POP3-Client>" <<meine-senderadresse@meine-domain>>
To: <korrekte-Empfängeradresse>
Subject: <Subject>
Message-ID: <1j7YazHLmRxjy6jCqPOw12SrFZ9taSLGFhc9Ng2UDzb@akmail>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable

Mehr steht da auch nicht, soweit ich es beurteilen kann sieht man in diesem Abschnitt nur den ursprünglichen Sende-Pfad "mein-PC -> Mail-Server-meines-Providers-(Arcor)".

Wie die Mail dann an "mail6.key-systems.net" (den Server von dem die Mail rejected wurde) kommt, wird damit auch nicht klar, oder?
 
You must log in or register to reply here.
Back
Top