Spam über meinen Server oder nicht?

[Flow]

Ich habe einen vServer, der unter PLESK läuft. Da ich über den Server keine Mails versenden will und zugegebenermassen auch keine Ahnung von diesem Bereich habe, habe ich qmail auf dem Server deaktiviert und dachte, dadurch sei alles gut. Nun erhalte ich aber seit einiger Zeit Bounce- Mails an buchstabensalat@mainedomain.de aufgrunde einer Catch- All- Einstellung bei united- domains.

Kann es sein, dass der Spam über meinen Server versendet wird? Oder verwendet einfach jemand meine Domain als Absender? Stutzig macht mich das:

Auszug aus Bounce- Mail:

Hi. This is the qmail-send program at paus.pesat.net.id.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<somaitime-return-4234@pesat.net.id>:
ezmlm-return: fatal: Invalid bounce or receipt address format (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <kpljf@meinedomain.de>
Received: (qmail 26449 invoked by uid 509); 17 Jan 2007 08:06:51 +0700
Received: from 202.78.113.71 by paus.pesat.net.id (envelope-from <meinedomain.de>, uid 508) with qmail-scanner-1.25-st-qms
(uvscan: v5.1.00/v4940. spamassassin: 3.1.7. perlscan: 1.25-st-qms.
Clear:RC:0(202.78.113.71):SA:0(4.9/5.0):.
Processed in 4.673544 secs); 17 Jan 2007 01:06:51 -0000
X-Spam-Status: No, hits=4.9 required=5.0
X-Spam-Level: ++++
X-Spam-Report: SA TESTS
0.0 DK_POLICY_SIGNSOME Domain Keys: policy says domain signs some mails
0.0 HTML_MESSAGE BODY: HTML included in message
3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 1.0000]
1.4 HTML_10_20 BODY: Message is 10% to 20% HTML
0.0 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
X-Antivirus-PAUS-JKT-Mail-From: kpljf@meinedomain.de via paus.pesat.net.id
X-Antivirus-PAUS-JKT: 1.25-st-qms (Clear:RC:0(202.78.113.71):SA:0(4.9/5.0):. Processed in 4.673544 secs Process 26413)
Received: from unknown (HELO pekki) (202.78.113.71)
by paus.pesat.net.id with SMTP; 17 Jan 2007 08:06:47 +0700
Received: (qmail 14521 invoked from network); Wed, 17 Jan 2007 08:14:04 -0800
Received: from unknown (HELO qdpbpk) (76.52.183.57)
by pekki with SMTP; Wed, 17 Jan 2007 08:14:04 -0800
Message-ID: <45AE4B4C.5030009@meinedomain.de>
Date: Wed, 17 Jan 2007 08:14:04 -0800
From: West <kpljf@kmeinedomain.de>
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
MIME-Version: 1.0
To: somaitime-return-4234@pesat.net.id
Subject: disapprovingly thresh
Content-Type: multipart/related;
boundary="------------070700080608070005020403"

Darin kommt zwar mein Domainnamen vor, nicht aber die IP meines Servers. Kann es sein, dass der Spam trotzdem von meiner Maschine kommt?

Wenn ja: Wie kille ich radikal jeglichen Mailversand über meinen Server?

 

[Roger Wilco]

Eingeliefert wurde die Mail laut Header von 76.52.183.57, allerdings lassen sich die beliebig fälschen bzw. hinzufügen.

Prinzipiell ist es wohl einfach ein Joe-Job. Mittlerweile ist das üblich und ein guter Grund, keine Catch-All E-Mail-Konten mehr zu nutzen.

 

[Flow]

Thx für die schnelle Antwort.

Eingeliefert wurde die Mail laut Header von 76.52.183.57, allerdings lassen sich die beliebig fälschen bzw. hinzufügen.

Hm, stimmt das? Der Header stammt ja vom Mail- Anbieter der Empfängers, der mir mitteilt, dass das Mail nicht angekommtn ist... Er sollte also keinen Grund haben, ihn zu fälschen. Zudem sollte ein Spammer keine Möglichkeit haben, auf diesen Teil des Bounce- Mails Einfluss zu nehmen. Falsch?

 

[Roger Wilco]

Der jeweilige MTA fügt nur seinen eigenen Recieved-Header ein. Alles was davor drinsteht, kann gefälscht sein, z. B. um den Eindruck zu erwecken, die Mail wäre ursprünglich über einen vertrauenswürdigen MTA eingeliefert worden.

 

[Flow]

OK, aber nach der Zeitangabe ist die letzte Station vor dem Empfänger 76.52.183.57. Diese Info müsste also vom Dienst des Empfängers/Dem Sender des Bounce- Mails eingefügt worden sein, dem man wohl trauen kann. Die IP 202.78.113.71 könnte falsch sein.

So oder so ist sicher, dass der Spam nicht direkt von meiner Maschine kommt. Oder sehe ich das falsch???

 

[Roger Wilco]

OK, aber nach der Zeitangabe ist die letzte Station vor dem Empfänger 76.52.183.57.

Nein, die letzte Station vor dem Empfänger ist paus.pesat.net.id.
Die Mail wurde ursprünglich durch 76.52.183.57 eingeliefert.

So oder so ist sicher, dass der Spam nicht direkt von meiner Maschine kommt. Oder sehe ich das falsch???

Zumindest diese Mail kam nicht von deinem Server. Du wurdest lediglich als Absender eingetragen.