Spam Flut

[peacekeeper]

Hallo, kann mir einer Helfen ?
Hatte eine ganze Zeit lang Ruhe, mit Spammern.
Heute jedoch habe ich über 300 Mails im Postkasten, mit Mails Return.

Habe eigendlich jede Art von Sicherheitseinstellungen auf dem Server und der
Software vorgenommen, dass so etwas hätte gar nicht passieren dürfen.

Was sagt diese Mail aus ?

Hi. This is the qmail-send program at meinedomain.de.
I tried to deliver a bounce message to this address, but the bounce bounced!

<sale1viagra6862@yahoo.com>:
74.6.136.65 failed after I sent the message.
Remote host said: 554 delivery error: dd This user doesn't have a yahoo.com account (sale1viagra6862@yahoo.com) [0] - mta1087.mail.sk1.yahoo.com

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 20388 invoked for bounce); 7 Oct 2010 19:51:25 +0200
Date: 7 Oct 2010 19:51:25 +0200
From: MAILER-DAEMON@meinedomain.de
To: sale1viagra6862@yahoo.com
Subject: failure notice

Hi. This is the qmail-send program at meinedomain.de.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<a.dorse@rx-smart.com>:
Sorry. Although I'm listed as a best-preference MX or A for that host,
it isn't in my control/locals file, so I don't treat it as local. (#5.4.6)

--- Below this line is a copy of the message.

Return-Path: <sale1viagra6862@yahoo.com>
Received: (qmail 20382 invoked from network); 7 Oct 2010 19:51:25 +0200
Received: from localhost (HELO www.meinedomain.de) (127.0.0.1)
by localhost with SMTP; 7 Oct 2010 19:51:25 +0200
Received: (qmail 83038 invoked by uid 33); 07 Oct 2010 17:51:25 +0000
Date: 07 Oct 2010 17:51:25 +0000
Message-ID: <20101007175125.83038.qmail@www.meinedomain.de>
Subject: TODAY'S SEX-BESTSELLERS!
Reply-To: Sale1Viagra6862@yahoo.com
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
From: <Sale1Viagra6862@yahoo.com>
To: a.dorse@rx-smart.com
X-Priority: 3

<font color="#8B0A50" size="4"><b><a href="http://haar-reduzierung.de/on.html">TODAY'S SEX-BESTSELLERS!</a></b></font>

Gruss Peacekeeper

 

[cosimo.de]

Schau mal in deine Mailqeue. Mit den geänderten Header ist das schwer nachzuvollziehen. Allerdings sieht es auf den ersten Blick so aus, als ob dein Server das verschicken will.

 

[Joe User]

Received: (qmail 83038 invoked by uid 33); 07 Oct 2010 17:51:25 +0000
Message-ID: <20101007175125.83038.qmail@www.meinedomain.de>

Du hast eine kaputte WebApp auf Deiner Kiste.

 

[peacekeeper]

Also, es hat jemand versucht Spams über meinen Server zu senden, die wohl nicht angekommen sind und qmail mir jedesmal eine Mail gesendet hat, dass diese nich angekommen ist ?!!!?

Wie finde ich herraus, welche wep app defekt ist ?

Im moment kommen keine Spams mehr an.

Welche Maßnahmen könnte ich sonst noch vornehemen ?
Wenn man in der Firewall den SMTP- (Mailversand-) Server mit der IP der Domain belegt ?

 

[danton]

Wie finde ich herraus, welche wep app defekt ist ?

Durch Verwendung eines Sendmail-Wrappers: http://www.huschi.net/10_222_de-ber-meinen-server-werden-spam-verschickt.html

Welche Maßnahmen könnte ich sonst noch vornehemen ?
Wenn man in der Firewall den SMTP- (Mailversand-) Server mit der IP der Domain belegt ?

Welchen Server willst du denn da blockieren? Die Mails sind doch bei dir lokal auf dem Server durch den User mit der ID 33 (vermutlich der Apache-User) ins Mailsystem eingeschleust worden.

 

[The_Nero]

Du hast eine kaputte WebApp auf Deiner Kiste.

Wie erkennst du an dieser Meldung, dass ein 'WebApp' defekt sein soll?

Die Zeile sagt nur aus, dass Qmail die Mail empfangen hat, eine Message-Id Zugeordnet hat und das Qmail von der UID 033 angefordert wurde.

Zum Thema: Schau mal in deine Maillog-Datei von welchem Benutzer oder von welcher Anwendung die Mails versendet werden.

Gruß
The_Nero

EDIT: Danke danton, man lernt nie aus

 

[Joe User]

Wie erkennst du an dieser Meldung, dass ein 'WebApp' defekt sein soll?

Die Zeile sagt nur aus, dass Qmail die Mail empfangen hat, eine Message-Id Zugeordnet hat und das Qmail von der UID 033 angefordert wurde.

UID 33 ist in diesem Fall Apache und in der MID und dem Recived steht die gleiche PID, somit stammt die Mail sicher von einer WebApp auf seinem System.
UIDs der SMTPd wandern in aller Regel nicht in die Header...