Server verschickt Spammails

D

dolphi

New Member
Hallo,

in der letzten Nacht wurden über meinen eigenen Mailaccount 9 Mails versandt. Alle 9 Empfänger sind mir bekannt, es stehen jedoch nicht alle in meinen Adressbüchern. Auch hatte ich nicht zu allen E-Mail Kontakt da einige Empfänger lediglich Systemaccounts von anderen Systemen sind. Also keine wirklichen Personen dahinter. Diese Umstände empfinde ich als höchst seltsam.

Im mail.log habe ich folgende Einträge gefunden:
Code: 
May  7 01:45:39 MEINSERVER postfix/smtpd[3131]: connect from va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219]
May  7 01:45:39 MEINSERVER postfix/smtpd[3131]: setting up TLS connection from va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219]
May  7 01:45:40 MEINSERVER postfix/smtpd[3131]: Anonymous TLS connection established from va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
May  7 01:45:40 MEINSERVER postfix/smtp[3142]: certificate verification failed for aspmx.l.google.com[173.194.70.27]:25: untrusted issuer /C=US/O=Equifax/OU=Equifax Secure Certificate Authority
May  7 01:45:40 MEINSERVER postfix/smtp[3142]: 9273D2240210: to=<KUNDEN_MAIL_2>, relay=aspmx.l.google.com[173.194.70.27]:25, delay=2.3, delays=0/0/1.7/0.53, dsn=2.0.0, status=sent (250 2.0.0 OK 1367884508 45si31350566eed.122 - gsmtp)
May  7 01:45:40 MEINSERVER postfix/qmgr[3038]: 9273D2240210: removed
May  7 01:45:42 MEINSERVER postfix/smtpd[3131]: NOQUEUE: reject_warning: RCPT from va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219]: 504 5.5.2 <localhost>: Helo command rejected: need fully-qualified hostname; from=<MEINE_MAIL_ADRESSE> to=<KUNDEN_MAIL_1> proto=ESMTP helo=<localhost>
May  7 01:45:42 MEINSERVER postfix/smtpd[3131]: 5523722401FD: client=va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219], sasl_method=LOGIN, sasl_username=MEINE_USER_ID
May  7 01:45:43 MEINSERVER postfix/cleanup[3137]: 5523722401FD: message-id=<>
May  7 01:45:43 MEINSERVER postfix/qmgr[3038]: 5523722401FD: from=<MEINE_MAIL_ADRESSE>, size=524, nrcpt=1 (queue active)
May  7 01:45:43 MEINSERVER amavis[32758]: (32758-17) ESMTP::10024 /var/lib/amavis/tmp/amavis-20130506T164738-32758: <MEINE_MAIL_ADRESSE> -> <KUNDEN_MAIL_1> SIZE=524 Received: from MEINSERVER.de ([127.0.0.1]) by localhost (MEINSERVER.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP for <KUNDEN_MAIL_1>; Tue,  7 May 2013 01:45:43 +0200 (CEST)
May  7 01:45:43 MEINSERVER amavis[32758]: (32758-17) Checking: 8uX5w9ZLbIf4 [67.233.73.219] <MEINE_MAIL_ADRESSE> -> <KUNDEN_MAIL_1>
May  7 01:45:43 MEINSERVER amavis[32758]: (32758-17) cached 658784bcaafefec1333f1a18e01a71a8 from <MEINE_MAIL_ADRESSE> (1,0)
May  7 01:45:43 MEINSERVER postfix/smtpd[3141]: connect from localhost[127.0.0.1]
May  7 01:45:43 MEINSERVER postfix/smtpd[3141]: 359FF2240210: client=localhost[127.0.0.1]
May  7 01:45:43 MEINSERVER postfix/cleanup[3137]: 359FF2240210: message-id=<20130506234543.359FF2240210@MEINSERVER.de>
May  7 01:45:43 MEINSERVER postfix/qmgr[3038]: 359FF2240210: from=<MEINE_MAIL_ADRESSE>, size=1018, nrcpt=1 (queue active)
May  7 01:45:43 MEINSERVER postfix/smtpd[3141]: disconnect from localhost[127.0.0.1]
May  7 01:45:43 MEINSERVER amavis[32758]: (32758-17) FWD via SMTP: <MEINE_MAIL_ADRESSE> -> <KUNDEN_MAIL_1>,BODY=7BIT 250 2.0.0 Ok, id=32758-17, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 359FF2240210
May  7 01:45:43 MEINSERVER postfix/virtual[3148]: 359FF2240210: to=<KUNDEN_MAIL_1>, relay=virtual, delay=0.01, delays=0/0/0/0, dsn=2.0.0, status=sent (delivered to maildir)
May  7 01:45:43 MEINSERVER postfix/qmgr[3038]: 359FF2240210: removed
May  7 01:45:43 MEINSERVER amavis[32758]: (32758-17) Passed CLEAN, [67.233.73.219] [67.233.73.219] <MEINE_MAIL_ADRESSE> -> <KUNDEN_MAIL_1>, mail_id: 8uX5w9ZLbIf4, Hits: 1.211, size: 524, queued_as: 359FF2240210, 127 ms
May  7 01:45:43 MEINSERVER postfix/smtp[3138]: 5523722401FD: to=<KUNDEN_MAIL_1>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.2, delays=1.1/0/0/0.13, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=32758-17, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 359FF2240210)
May  7 01:45:43 MEINSERVER postfix/qmgr[3038]: 5523722401FD: removed
May  7 01:45:43 MEINSERVER postfix/smtpd[3131]: disconnect from va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219]

Die IP Adresse des Senders gehört zu einem in New York ansässigen Provider.
Für mich stellen sich folgende Fragen:
Wie war es möglich das jemand über meinen Mailserver mit meiner Mailadresse als Sender, Mails verschicken konnte. Ich schließe hier erst mal ein BruteForce auf mein Password aus. In den Logs taucht ein solcher nicht auf und ich ändere mein Password in "regelmässigen" Abständen von 3-4 Wochen.
Wie kommt derjenige an Mailadressen die weder in einem von mir betriebenen Adressbuch stehen bzw zu dennen ich nicht mal E-Mail Kontakt hatte. (Diese Mail Adressen sind teilweise nur mir bekannt.)

Vielleicht kann mir hier jemand auf die Sprünge helfen. Ich bin im Moment etwas ratlos. Configs gibt es bei Bedarf per PM.

Ein Traceroute auf die IP zeigte mir auch an das es sich tatsächlich um eine IP Adresse aus dem Amerikanischen Raum handelt. Da dahinter ein IP Dienstleister steckt - eventl. ein Proxy?

Viele Grüße
dolphi
 
Code: 
May  7 01:45:42 MEINSERVER postfix/smtpd[3131]: 5523722401FD: client=va-67-233-73-219.dhcp.embarqhsd.net[67.233.73.219], sasl_method=LOGIN, sasl_username=MEINE_USER_ID

Zumindest mal sauber authentifiziert. Scan deinen lokalen PC mal auf Viren/Trojaner usw. Und änder natürlich das Passwort des Users ab.
 
Vielen Dank für die schnelle Antwort

Ja genau das ist der Punkt. Ich habe keinen PC. Ich greife auf meine Mails per iPhone, iPad und Nexus7 zu. Auf meinem MacBook hab ich Mail nicht konfiguriert weil ich es nicht benötige. Ich habe zwar noch ein Windows Laptop, dieses habe ich aber entweder nur per UMTS oder in der Firma online, niemals im heimischen WLan. Das Laptop hat einen aktuellen Viren/Trojaner Scanner und kommt mit meiner Privaten Mail gar nicht in Berührung (nicht mal per Webmail).

Auf gut Deutsch, die einzigen Geräte die meine Private Mailadresse bekommen sind 1 Smartphone und 2 Tabletts. Keines dieser 3 Geräte wurde gejailbreakt bzw. gerootet. Es läuft also die Original Firmware darauf. Auch die installierten Anwendungen sind keine Exoten (AngryBirds, Xing, Evernote, ownCloud, Apps meiner Hausbank)

Ich möchte nicht ausschließen das eines meiner Endgeräte irgendwelchen Müll verzapft hat. Es ist aufgrund meiner Verhaltensweise aber nahezu ausgeschlossen bzw. mir unbegreiflich.

Das Password ist bereits geändert.

Grüße dolphi
 
You must log in or register to reply here.
Back
Top