Spam-Emails mit Return Path an meine Domain (Postfix)

[Slayer122282]

Hallo miteinander,
habe bereits viel gelesen hier, denke aber doch, dass dieses Problem jeweils recht individuell behandelt werden muss.

Konfig:
Plesk Server 10.1.1 von Strato mit OpenSuse 11.1 Linux version 2.6.27.29-0.1

Bekomme seit kurzem immer wieder sporadisch Mails von meinem MAILER-DAEMON mit folgendem Inhalt:

Hi. This is the qmail-send program at thechefalliance.com.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<forksofthegrandpcs@cpcalliance.com>:
This address no longer accepts mail.

--- Below this line is a copy of the message.

Return-Path: <3d52081e@meinedomain.de>
Received: (qmail 28577 invoked from network); 7 Aug 2012 20:59:49 -0700
Received: from unknown (HELO ) (115.242.133.106)
by thechefalliance.com with SMTP; 7 Aug 2012 20:59:49 -0700
To: <forksofthegrandpcs@cpcalliance.com>
Subject: Delivery
From: "Order-Vigara Now" <3D52081E@meinedomain.de>
Date: Wed, 08 Aug 2012 09:29:47 +0530
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: IPS PHP Mailer
MIME-Version: 1.0
Content-type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-ID: <20120808092947.983BAE5914E7207F9FD6@DELL-PC>

"Spam Nachricht"

Die Logs sagen folgendes aus:

mail.info:24457:Aug 8 05:59:52 h1826510 postfix/pipe[13753]: 99A15254C001: to=<info@meinedomain.de>, orig_to=<3d52081e@meinedomain.de>, relay=plesk_virtual, delay=0.6, delays=0.57/0.01/0/0.02, dsn=2.0.0, status=sent (delivered via plesk_virtual service)
messages:3170:Aug 8 05:59:51 h1826510 before-queue[13748]: check handlers for addr: 3d52081e@meinedomain.de
messages:3173:Aug 8 05:59:52 h1826510 before-queue[13748]: recipient[3] = '3d52081e@meinedomain.de'
messages:3174:Aug 8 05:59:52 h1826510 before-queue[13748]: handlers dir = '/usr/local/psa/handlers/before-queue/recipient/3d52081e@meinedomain.de'
messages:3176:Aug 8 05:59:52 h1826510 before-remote[13750]: check handlers for addr: 3d52081e@meinedomain.de
messages:3184:Aug 8 05:59:52 h1826510 postfix/pipe[13753]: 99A15254C001: to=<info@meinedomain.de>, orig_to=<3d52081e@meinedomain.de>, relay=plesk_virtual, delay=0.6, delays=0.57/0.01/0/0.02, dsn=2.0.0, status=sent (delivered via plesk_virtual service)

main.cf von Postfix wurde belassen wie es ist (von Plesk konfiguriert)

smtpd_recipient_restrictions = permit_mynetworks, check_client_access pcre:/var/spool/postfix/plesk/no_relay.re, permit_sasl_authenticated, reject_unauth_destination

CHKROOTKIT findet auch nichts.

Muss ich mir also Sorgen machen, oder wird nur die Email von "thechefalliance" missbraucht und ich eben nur als ReturnPath eingetragen?

Vielen lieben Dank im Voraus für jedigliche hilfreiche Antwort
Ben

 

[danton]

Die Nachricht kam vermutlich von der IP 115.242.133.106 und wurde dann von thechefalliance.com gebounct. Ich würde derzeit sagen, daß hier Spammails mit gefälschtem Return-Path verschickt wurden (ist bei Spams recht weit verbreitet).
Schalte bei deiner Domain das Catch-all ab, dann solltest du auch dieses Bounces nicht mehr erhalten.

 

[Slayer122282]

Hi danton,
vielen Dank für deine Antwort, ich habe das Catch-All ausgeschalten und auf Reject umgestellt.

 

[cosimo.de]

Evtl. auch noch einen SPF Record auf die Domain setzen, dann nehmen viele Server die Spammails erst gar nicht an.

 

[Joe User]

http://en.wikipedia.org/wiki/Joe_job
http://en.wikipedia.org/wiki/Backscatter_(e-mail)