Server dient als Spam-Versender

J

Jens Langen

Registered User
Hallo Community,

nach vielem suchen wende ich mich mal an Euch.

Da ich ein paar Tage in Urlaub war habe ich gestern in meinen Mails eine Nachricht von 1und1 bekommen, in denen die mir sagen das mein Server z.Zt. eine Spam-Schleuder ist.
Ich habe dann mal direkt in die logs geschaut und musste leider feststellen das sie recht haben.

In den Apache-logs hab ich jetzt auch nicht wirklich einen Verdächrtigen gefunden.

Ein open-relay Test u.a. abuse.org sagte nur alles ok.
Aber:
Wenn ich per telnet eine Nachricht verschicke geht es ohne Authentizierung.

So vermute ich mal das es über qmail kommt.
Ich stehe mittlerweile ziemlich auf dem schlauch.

So jetzt die Fakten:
Plesk 8.1.1
Suse 9.3
Hoster: 1und1/rootserver

Wenn Ihr sonst noch was braucht, gebt laut.

Achso qmail ist z.Zt. down

Gruß Jens
 
Huschi said:
Zum Einen wäre die Ausgabe von "ls -l /var/qmail/bin/qmail-remote*" nicht schlecht.
Click to expand...
Code: 
ls -l /var/qmail/bin/qmail-remote*
-r-xr-xr-x  1 root qmail 25144 2007-04-08 11:31 /var/qmail/bin/qmail-remote
-r-xr-xr-x  1 root qmail 47980 2007-04-08 11:31 /var/qmail/bin/qmail-remote.moved
-r-xr-xr-x  1 root qmail 25144 2007-03-22 12:36 /var/qmail/bin/qmail-remote.plesk

Huschi said:
Zum Anderen: Hast Du schon im Maillog nachgesehen?
Dann noch: Qmail: Mail-Queue verwalten.
Finde die Message-ID der Spammail und suche danach im Maillog.
Click to expand...

Code: 
Jul 14 20:47:07 p15184828 qmail: 1184438827.870602 new msg 29365093
Jul 14 20:47:07 p15184828 qmail: 1184438827.871258 info msg 29365093: bytes 4503 from <> qp 20601 uid 2522
Jul 14 20:47:07 p15184828 qmail: 1184438827.876622 starting delivery 13783: msg 29365093 to remote hdymain@ehy.com
Jul 14 20:47:07 p15184828 qmail: 1184438827.877124 status: local 0/10 remote 1/20
Jul 14 20:47:10 p15184828 qmail: 1184438830.552686 delivery 13783: success: 64.18.4.10_accepted_message./Remote_host_said:_250_Thanks/
Jul 14 20:47:10 p15184828 qmail: 1184438830.553195 status: local 0/10 remote 0/20
Jul 14 20:47:10 p15184828 qmail: 1184438830.553327 end msg 29365093

Jul 14 20:47:34 p15184828 qmail: 1184438854.880574 new msg 29365093
Jul 14 20:47:34 p15184828 qmail: 1184438854.881237 info msg 29365093: bytes 3522 from <> qp 20632 uid 2522
Jul 14 20:47:34 p15184828 qmail: 1184438854.886500 starting delivery 13787: msg 29365093 to remote tiddhmk@braim.com.ar
Jul 14 20:47:34 p15184828 qmail: 1184438854.886986 status: local 0/10 remote 1/20
Jul 14 20:48:04 p15184828 qmail: 1184438884.572231 delivery 13787: success: 216.55.181.47_accepted_message./Remote_host_said:_250_Ok:_queued_as_BF6C75181A0/
Jul 14 20:48:04 p15184828 qmail: 1184438884.572721 status: local 0/10 remote 0/20
Jul 14 20:48:04 p15184828 qmail: 1184438884.572853 end msg 29365093


Jul 14 20:55:32 p15184828 qmail: 1184439332.430255 new msg 29365093
Jul 14 20:55:32 p15184828 qmail: 1184439332.430649 info msg 29365093: bytes 3895 from <> qp 20882 uid 2522
Jul 14 20:55:32 p15184828 qmail: 1184439332.437374 starting delivery 13804: msg 29365093 to remote yqi@bodybitz.com.au
Jul 14 20:55:32 p15184828 qmail: 1184439332.441247 status: local 0/10 remote 1/20
Jul 14 20:55:35 p15184828 qmail: 1184439335.762159 delivery 13804: success: 66.199.240.78_accepted_message./Remote_host_said:_250_ok_1184439054_qp_14411/
Jul 14 20:55:35 p15184828 qmail: 1184439335.762543 status: local 0/10 remote 0/20
Jul 14 20:55:35 p15184828 qmail: 1184439335.762696 end msg 29365093

Gleiche ID aber von extern auf eine lokale adresse.

Code: 
Jul 14 13:57:48 p15184828 qmail: 1184414268.672949 new msg 29365093
Jul 14 13:57:48 p15184828 qmail: 1184414268.673398 info msg 29365093: bytes 3287 from <rsn@bodensteiner.com> qp 1080 uid 2020
Jul 14 13:57:48 p15184828 qmail: 1184414268.692255 starting delivery 12503: msg 29365093 to local 3-help@axelbrand.de
Jul 14 13:57:48 p15184828 qmail: 1184414268.695830 status: local 1/10 remote 1/20
Jul 14 13:57:48 p15184828 qmail: 1184414268.696474 delivery 12503: failure: This_address_no_longer_accepts_mail./
Jul 14 13:57:48 p15184828 qmail: 1184414268.696649 status: local 0/10 remote 1/20
Jul 14 13:57:48 p15184828 qmail: 1184414268.698295 bounce msg 29365093 qp 1084
Jul 14 13:57:48 p15184828 qmail: 1184414268.698713 end msg 29365093

Und natürlich etliche Bounce mit dieser ID.

Wenn ich mir jetzt die mail-logs ansehen finde ich diese Msg-id in allen Logs vom 6.7.2007 bis heute. Das sind mehre 100 Zeilen :(
Ich versuch mich da grad durchzuwuseln.

Oder hab ich da was falsch verstanden. Ist die msg-id nicht unique?


Hat hierzu denn keiner ne Idee:
Ein open-relay Test u.a. abuse.org sagte nur alles ok.
Aber:
Wenn ich per telnet eine Nachricht verschicke geht es ohne Authentizierung.
Click to expand...
Mail-server ist mail.jensatweb.com

Gruß Jens
der jetzt garnichts mehr versteht
 
Hallo,

zur Email über Telnet:

Telnetclient auf dem Server oder auf dem PC?
Absenderadresse eine Adresse für welche der Server zuständig ist?
Zieladresse eine Adresse auf dem Server? (Das geht immer ohne Auth, ist kein Fehler).
 
MOD: Full-Quote entfernt!
Okay.
Kann man das abstellen, so das egal wer Empfänger der Mail ist sich authentifizieren muss?
 
Last edited by a moderator:
MOD: Full-Quote entfernt!
Stimmt. Das macht Sinn. Erst nachdenken und dann posten ;)

Danke und Gruß
Jens
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top