Spam von meinem Server

druckgott

New Member
Hallo, ich hätte eine Frage und zwar bekomme ich bei einer meiner E-mail adressen immer wieder solche mails:

Auf dem Server habe ich Ubuntu 10.04.4 LTS laufen.
Alles it aktuell.

mein Server:
hccccccc.stratoserver.net
Meine E-Mail adresse:
meineemail@mydomain.com
diese zwei daten hab ich abgeändert.

Ist das jetzt von meiner Server aus gesendet. Ich finde keine Script oder sowas was läuft?!

Ich würde mich freuen wenn mir jemand helfen kann.

HTML:
Von: MAILER-DAEMON@hccccccc.stratoserver.net
Betreff: failure notice
Datum: 29. September 2014 08:47:39 MESZ
An: meineemail@mydomain.com

Hi. This is the qmail-send program at hccccccc.stratoserver.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<jayhill57@hotmail.com>:
65.55.37.104 does not like recipient.
Remote host said: 550 Requested action not taken: mailbox unavailable
Giving up on 65.55.37.104.

<talktous@gcalink.com>:
207.99.26.8 failed after I sent the message.
Remote host said: 554 rejected due to spam content

<bill.evans@mindteck.com>:
216.82.253.99 does not like recipient.
Remote host said: 550 Invalid recipient <bill.evans@mindteck.com> (#5.1.1)
Giving up on 216.82.253.99.

<lorie@dataconcepts-inc.com>:
74.208.5.3 does not like recipient.
Remote host said: 552-Requested mail action aborted: exceeded storage allocation
552-Quota exceeded.
552 For explanation visit http://postmaster.1and1.com/en/error-messages?ip=%1s
Giving up on 74.208.5.3.

<rglowacki@gcalink.com>:
207.99.26.8 does not like recipient.
Remote host said: 550 cuda_nsu 5.1.1 sorry, no mailbox here by that name (chkuser)
Giving up on 207.99.26.8.

<ssukumar@e2zintegral.com>:
162.144.48.17 does not like recipient.
Remote host said: 550 No Such User Here"
Giving up on 162.144.48.17.

<cceraso@accoy.com>:
38.107.149.19 does not like recipient.
Remote host said: 550 No such user (cceraso@accoy.com)
Giving up on 38.107.149.19.

<jeffrey.curry@pnc.com>:
216.82.253.163 failed after I sent the message.
Remote host said: 553-Message filtered. Refer to the Troubleshooting page at
553-http://www.symanteccloud.com/troubleshooting for more
553 information. (#5.7.1)

<bleich@kellyservices.com>:
207.46.163.170 does not like recipient.
Remote host said: 550 5.7.1 Service unavailable; Client host [85.214.40.64] blocked using FBLW15; To request removal from this list please forward this message to delist@messaging.microsoft.com
Giving up on 207.46.163.170.

<resumes@bssnj.com>:
207.46.163.247 does not like recipient.
Remote host said: 550 5.7.1 Service unavailable; Client host [85.214.40.64] blocked using FBLW15; To request removal from this list please forward this message to delist@messaging.microsoft.com
Giving up on 207.46.163.247.

<hhill@mtiinc.com>:
207.46.163.247 does not like recipient.
Remote host said: 550 5.7.1 Service unavailable; Client host [85.214.40.64] blocked using FBLW15; To request removal from this list please forward this message to delist@messaging.microsoft.com
Giving up on 207.46.163.247.

<cschessl@teksystems.com>:
207.46.163.215 does not like recipient.
Remote host said: 550 5.7.1 Service unavailable; Client host [85.214.40.64] blocked using FBLW15; To request removal from this list please forward this message to delist@messaging.microsoft.com
Giving up on 207.46.163.215.

<bobbi.hicks@mdttechnical.com>:
207.46.163.215 does not like recipient.
Remote host said: 550 5.7.1 Service unavailable; Client host [85.214.40.64] blocked using FBLW15; To request removal from this list please forward this message to delist@messaging.microsoft.com
Giving up on 207.46.163.215.

--- Below this line is a copy of the message.

Return-Path: <meineemail@mydomain.com>
Received: (qmail 3495 invoked from network); 23 Sep 2014 16:40:53 +0200
Received: from dsl-189-226-239-120-dyn.prod-infinitum.com.mx (HELO coolpixx.de) (189.226.239.120)
 by hccccccc.stratoserver.net with ESMTPA; 23 Sep 2014 16:40:52 +0200
Message-ID: <0370dc64dd4f$098f09a2$74a323c0$@coolpixx.de>
From: Terrence Lennon <meineemail@mydomain.com>
To: "hhill" <hhill@mtiinc.com>, "karen harrison" <karen.harrison@virginiadot.org>, "duanejackson" <duanejackson@bww.com>, "jayhill57" <jayhill57@hotmail.com>, "paqrtners" <paqrtners@vtechpartners.com>, "ssukumar" <ssukumar@e2zintegral.com>, "rglowacki" <rglowacki@gcalink.com>, "Lorie" <Lorie@dataconcepts-inc.com>, "talktous" <talktous@gcalink.com>, "resumes" <resumes@bssnj.com>, "Careers" <Careers@SunTrust.com>, "bleich" <bleich@kellyservices.com>, "AGeiser" <AGeiser@ciber.com>, "akhan" <akhan@charterglobal.com>, "bill evans" <bill.evans@mindteck.com>, "bobbi hicks" <bobbi.hicks@mdttechnical.com>, "CCeraso" <CCeraso@accoy.com>, "cschessl" <cschessl@teksystems.com>, "Jeff Curry" <jeffrey.curry@pnc.com>, "CWhite" <CWhite@judge.com>
Subject: from Terrence Lennon
Date: Mon, 23 Sep 2014 03:40:33 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_00E8_070B76D4.5E349BA4"
X-Mailer: iPad Mail (11D257)

This is a multi-part message in MIME format.

------=_NextPart_000_00E8_070B76D4.5E349BA4
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit

How are you? http://mysyk.kz/dg/being.php

Terrence Lennon

------=_NextPart_000_00E8_070B76D4.5E349BA4
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<html>
<head></head>
<body>
How are you? <a href=3D"http://mysyk.kz/dg/being.php">http://mysyk.kz/dg/being.php</a><br>
<br>
Terrence Lennon<br>
</body>
</html>

------=_NextPart_000_00E8_070B76D4.5E349BA4--
Thread-Index: AUnwzit4ujdhcnVucHJ4ejhtdGl0Mw==
 
Last edited by a moderator:
Ist das jetzt von meiner Server aus gesendet. Ich finde keine Script oder sowas was läuft?!

Code:
Received: (qmail 3495 invoked from network); 23 Sep 2014 16:40:53 +0200
Received: from dsl-189-226-239-120-dyn.prod-infinitum.com.mx (HELO coolpixx.de) (189.226.239.120)
 by hccccccc.stratoserver.net with ESMTPA; 23 Sep 2014 16:40:52 +0200
Kann es sein, dass du ein offenes Relay betreibst?
Wenn du den Servernamen nicht wegzensiert hättest, könnte dir das schon jemand diagnostizieren. Wieso in aller Welt müssen alle immer die interessanten Informationen wegzensieren?!
 
Kann es sein, dass du ein offenes Relay betreibst?
Wenn du den Servernamen nicht wegzensiert hättest, könnte dir das schon jemand diagnostizieren. Wieso in aller Welt müssen alle immer die interessanten Informationen wegzensieren?!

Nja, die Domain steht ja dran. ;)
Laut der IP wäre es dann folgender Server: h2045173.stratoserver.net

SMTP Open Relay Check: Not an open relay.
 
Laut Received-Header kommt die Mail aber nicht originär von seinem Server sondern von einem DSL-Anschluss in Mexico (dsl-189-226-239-120-dyn.prod-infinitum.com.mx)
Sein Server hat die anscheinend aus irgendeinem Grund angenommen. Der TE sollte das in seinen Mail-Logs nachforschen.
 
Könnte Backscatter sein.
Die Nachricht wurde über seinen Server relayed [1] und wurde unter anderem abgelehnt, weil seine IP [2] schon auf einer Blacklist [3] gelandet ist.

[1]: Received-Header (received by ist sein Server)
[2]: coolpixx.de => 85.214.40.64 => h2045173.stratoserver.net
[3]: "Client host [85.214.40.64] blocked using FBLW15"

Sieht nicht nach Backscatter aus. Irgendwie ist sein Server offen für Relaying von Spam. Evtl. ist der Spammer im Besitz gültiger SMTP-Auth-Credentials. Aber um das zu ermitteln, muss der TE in die Logs schauen.
 
Hallo, danke schonmal. Ich habe relay in plesk aktiv hab ich gestern extra nochmal geprüfte.

Heute Nachmittag schaue ich mal in den logs nach was soll ich den genau suchen?
 
Heute Nachmittag schaue ich mal in den logs nach was soll ich den genau suchen?

Grep nach der Message-ID aus dem Header der Spam-Mail. Darüber solltest du die Queue-ID finden. Mit der grepst du dann weiter um die Log-Zeilen zu der Mail zu finden. Da muss auch dabei sein, wie die in dein System gelangt ist. Das ist dann der interessante Part.
 
hallo, anscheinend War das relaiy nicht richtig gespeichert, ich habe es einmal in plesk deaktiviert und wieder aktiviert, seit dem geht es einwandfrei.

danke für die hilfe
 
Back
Top