Spammails über qmail

weissnix · Mar 7, 2007

Hallo

Ich bekam gestern ein Email:
auf Ihrem VPS wurde soeben ein LOAD von über 16.xx festgestellt.

Der QMAIL-SMTPD Prozess. Bitte prüfen Sie, ob in Ihrer Konfiguration KEIN BOUNCE Mail steht bei nicht

Vorhandenen Email Adressen, sondern REJECT.
Es scheint so, als würde Ihr VPS als Bounce Spam Missbraucht werden.
Leeren Sie MAIL QUEUE bitte.

------------
okay das hatte ich schon das letzte mal getan.

Code:

mysql -uadmin -p`cat /etc/psa/.psa.shadow` psa -e 'update Parameters set value="reject" where parameter="nonexist_mail" and value="bounce";'

nun hab ich mal in die /var/log/mail /var/log/mail.err /var/log/mail.info /var/log/mail.warn
mail 3 Einträge scheint mir nichts außergewöhnliches
mail.err 4 Einträge
mail.info hunderte Eintrage
und in der mail.warn sind dann die ganzen relaylock meldungen.

könnt Ihr mir bitte helfen was kann ich tun oder wo kann ich nachschauen?
Bitte Server für dummyies Variante

Suse 10.0 Plesk 8.1 qmail

Huschi · Mar 8, 2007

Ohne ein paar Auszügen aus Deinem Logfile kommen wir da nicht weit.

Aber schon mal zum nachschauen:
Qmail: Mail-Queue verwalten
Prüfe mit qmHandle wieviele Mails Du in der Queue hast und schau Dir die eine oder andere mal an.

huschi.

weissnix · Mar 8, 2007

erstmal vielen Dank für deine Antwort.
Ich wollte das mit qmHandle mal ausprobieren und das gibt er mir aus.

xxxxx:/usr/local/src/qmhandle # cp qmHandle /usr/qmail/bin/.
cp: cannot create regular file `/usr/qmail/bin/.': No such file or directory

Also in Plesk kann ich auch in den Mail Queue schauen, dieser ist da aber leer.

Welche log files brauchst du genau! Entschuldige!
Hab meinen Namen durchaus selbstkritisch gewählt.

Huschi · Mar 8, 2007

Oh, sorry. Irrtum meinerseits. Es muß natürlich überall /var/qmail/bin/ heißen.

Was die Logfiles angeht: Natürlich die, die Inhalt haben. Du hast doch oben Deine Logfiles aufgezählt.

huschi.

weissnix · Mar 8, 2007

okay dann hier die logs.
Ich hab mal die letzten 15 Minuten vor der Abschaltung genommen.
Ich hoffe es ist jetzt nicht zu viel.

/var/log/mail

Code:

Feb 26 11:34:46 mein12345 sendmail[16264]: gethostbyaddr(xx.xx.xx.xx) failed: 1
Feb 26 11:34:46 mein12345 sendmail[17467]: starting daemon (8.13.4): SMTP+queueing@00:30:00
Feb 26 11:34:47 mein12345 sendmail-client[17602]: starting daemon (8.13.4): persistent-queueing@00:01:00

/var/log/mail.err

Code:

Feb 26 11:45:02 mein12345 spamd[11877]: spamd: already running on /tmp/spamd_full.sock, exiting
Mar  2 16:34:03 mein12345 qmail: 1172849643.329876 alert: cannot start: qmail-send is already running
Mar  6 18:48:50 mein12345 qmail: 1173203330.874625 alert: cannot start: qmail-send is already running
Mar  6 20:36:51 mein12345 qmail: 1173209811.775233 alert: cannot start: qmail-send is already running

/var/log/mail.info

Code:

Mar  6 15:52:03 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.157.145.28:59618 (mail8.hsphere.cc)
Mar  6 15:52:04 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 147.32.127.218:38837 (service2.sh.cvut.cz)
Mar  6 15:52:04 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55505 (mx.marketwatchmail.com)
Mar  6 15:52:05 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 200.75.24.244:44228 (mail.atika.cl)
Mar  6 15:52:07 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55509 (mx.marketwatchmail.com)
Mar  6 15:52:07 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.153.205.2:30077 (host-216-153-205-2.buf.choiceone.net)
Mar  6 15:52:08 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 81.223.14.34:32897 (mail.iz.or.at)
Mar  6 15:52:08 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 141.156.112.121:41787 (mail.boell.org)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55513 (mx.marketwatchmail.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55514 (mx.marketwatchmail.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 200.193.118.132:11887 (200-193-118-132.bnut3702.e.brasiltelecom.net.br)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54219 (mail.futren.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54221 (mail.futren.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54220 (mail.futren.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55516 (mx.marketwatchmail.com)
Mar  6 15:52:10 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 148.223.253.50:8267 (customer-148-223-253-50.uninet-ide.com.mx)
Mar  6 15:52:10 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55517 (mx.marketwatchmail.com)
Mar  6 15:52:15 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 212.117.68.90:56464 (mail.carpus.de)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54230 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54232 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54231 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54234 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54233 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:46592 (mx.marketwatchmail.com)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4039 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4040 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4041 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4042 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4043 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4044 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4046 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4047 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4048 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4049 (out2.mail.vuurwerk.net)
Mar  6 15:52:18 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:46594 (mx.marketwatchmail.com)
Mar  6 15:52:19 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 68.122.107.196:20582 (mail1.cmwlaw.net)
Mar  6 15:52:25 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.193.232.49:50259 (wpc0525.amenworld.com)
Mar  6 15:52:31 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54245 (mail.futren.com)
Mar  6 15:52:35 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4838 (im.hkapa.edu)
Mar  6 15:52:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 211.123.199.151:48310 (ffilmcc2.fujifilm.co.jp)
Mar  6 15:52:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4839 (im.hkapa.edu)
Mar  6 15:52:41 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4840 (im.hkapa.edu)
Mar  6 15:52:46 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.74.30.11:2955 (g103.secure.ne.jp)
Mar  6 15:52:51 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 148.243.35.38:3831 (webmail.danelly.com.mx)
Mar  6 15:52:52 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 148.243.35.38:3835 (mail.edcmail.com.mx)
Mar  6 15:53:05 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 196.211.182.2:3756 (not defined)
Mar  6 15:53:15 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4873 (im.hkapa.edu)
Mar  6 15:53:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 61.129.102.59:57895 (not defined)
Mar  6 15:53:19 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.33.112.205:47207 (mx02.mitsumi.co.jp)
Mar  6 15:53:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.36.94.17:4484 (mimosaacoustics.com)
Mar  6 15:53:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.36.94.17:4485 (mimosaacoustics.com)
Mar  6 15:53:40 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 194.19.226.106:1733 (not defined)
Mar  6 15:53:47 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 193.137.200.40:60716 (smtp-relay.ci.uc.pt)
Mar  6 15:54:02 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.193.91.26:3369 (not defined)
Mar  6 15:54:05 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.71:45558 (privoutmx001.isp.belgacom.be)
Mar  6 15:54:12 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.37.201.11:2428 (inetmail01.niedersachsen.de)
Mar  6 15:54:26 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 212.35.126.68:55161 (hosted.by.tsc.be)
Mar  6 15:54:28 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 196.200.16.24:50875 (smtpin-24.accesskenya.com)
Mar  6 15:54:36 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 194.7.158.228:2109 (smtpbr.cov.com)
Mar  6 15:55:37 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.159.24.6:54022 (mail.it.bogor.net)
Mar  6 15:55:51 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.72:48443 (privoutmx002.isp.belgacom.be)
Mar  6 15:56:24 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 82.76.77.79:55766 (82-76-77-79.rdsnet.ro)
Mar  6 15:56:56 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.71:48816 (privoutmx001.isp.belgacom.be)
Mar  6 15:57:15 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.254.194.97:55233 (smtp.giantuk.com)
Mar  6 15:57:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 210.235.7.67:37184 (mx.jalinfotec.co.jp)
Mar  6 15:58:28 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 217.58.160.43:4969 (host43-160-static.58-217-b.business.telecomitalia.it)
Mar  6 15:59:59 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.193.232.49:50690 (wpc0525.amenworld.com)
Mar  6 15:59:59 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.254.194.97:55776 (smtp.giantuk.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53231 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.157.145.28:63363 (mail8.hsphere.cc)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53233 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53230 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53234 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53235 (mx.marketwatchmail.com)
Mar  6 16:00:30 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53236 (mx.marketwatchmail.com)
Mar  6 16:00:36 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 200.202.250.162:37842 (not defined)
Mar  6 16:00:42 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.71:53323 (privoutmx001.isp.belgacom.be)
Mar  6 16:00:53 uhweb15056 qmail: 1173193253.759894 status: exiting

/var/log/mail.warn

Code:

Mar  6 15:51:07 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 64.118.83.4:41378 (host25.bwhst.com)
Mar  6 15:51:19 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 212.67.202.75:42861 (selenium.webfusion.co.uk)
Mar  6 15:51:21 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 168.10.64.250:59187 (proxy.cook.k12.ga.us)
Mar  6 15:51:21 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 168.10.64.250:59186 (proxy.cook.k12.ga.us)
Mar  6 15:51:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.129.90.16:35304 (gunner.electric.net)
Mar  6 15:51:31 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 38.112.109.12:64907 (fw.blueprint.org)
Mar  6 15:51:31 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 213.182.224.45:42517 (smtp10.kufnet.at)
Mar  6 15:51:41 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 213.215.96.178:4791 (mail.ctc-group.sk)
Mar  6 15:51:44 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 193.145.138.5:54692 (smtp1.gestion.ulpgc.es)
Mar  6 15:51:45 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 68.111.1.133:44475 (iceman.b2xonline.net)
Mar  6 15:51:50 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 64.254.235.161:54119 (mail2.omnitrans.com)
Mar  6 15:51:59 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 218.224.233.106:45056 (fwsrv1.sem.co.jp)
Mar  6 15:52:00 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 213.138.142.153:51923 (asdgw.edelkey.net)
Mar  6 15:52:02 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 64.34.194.114:2062 (gwinnettworks.com)
Mar  6 15:52:03 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.157.145.28:59618 (mail8.hsphere.cc)
Mar  6 15:52:04 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 147.32.127.218:38837 (service2.sh.cvut.cz)
Mar  6 15:52:04 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55505 (mx.marketwatchmail.com)
Mar  6 15:52:05 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 200.75.24.244:44228 (mail.atika.cl)
Mar  6 15:52:07 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55509 (mx.marketwatchmail.com)
Mar  6 15:52:07 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.153.205.2:30077 (host-216-153-205-2.buf.choiceone.net)
Mar  6 15:52:08 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 81.223.14.34:32897 (mail.iz.or.at)
Mar  6 15:52:08 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 141.156.112.121:41787 (mail.boell.org)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55513 (mx.marketwatchmail.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55514 (mx.marketwatchmail.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 200.193.118.132:11887 (200-193-118-132.bnut3702.e.brasiltelecom.net.br)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54219 (mail.futren.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54221 (mail.futren.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54220 (mail.futren.com)
Mar  6 15:52:09 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55516 (mx.marketwatchmail.com)
Mar  6 15:52:10 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 148.223.253.50:8267 (customer-148-223-253-50.uninet-ide.com.mx)
Mar  6 15:52:10 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:55517 (mx.marketwatchmail.com)
Mar  6 15:52:15 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 212.117.68.90:56464 (mail.carpus.de)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54230 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54232 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54231 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54234 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54233 (mail.futren.com)
Mar  6 15:52:16 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:46592 (mx.marketwatchmail.com)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4039 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4040 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4041 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4042 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4043 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4044 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4046 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4047 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4048 (out2.mail.vuurwerk.net)
Mar  6 15:52:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.250.3.121:4049 (out2.mail.vuurwerk.net)
Mar  6 15:52:18 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:46594 (mx.marketwatchmail.com)
Mar  6 15:52:19 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 68.122.107.196:20582 (mail1.cmwlaw.net)
Mar  6 15:52:25 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.193.232.49:50259 (wpc0525.amenworld.com)
Mar  6 15:52:31 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.16.176.34:54245 (mail.futren.com)
Mar  6 15:52:35 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4838 (im.hkapa.edu)
Mar  6 15:52:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 211.123.199.151:48310 (ffilmcc2.fujifilm.co.jp)
Mar  6 15:52:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4839 (im.hkapa.edu)
Mar  6 15:52:41 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4840 (im.hkapa.edu)
Mar  6 15:52:46 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.74.30.11:2955 (g103.secure.ne.jp)
Mar  6 15:52:51 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 148.243.35.38:3831 (webmail.danelly.com.mx)
Mar  6 15:52:52 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 148.243.35.38:3835 (mail.edcmail.com.mx)
Mar  6 15:53:05 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 196.211.182.2:3756 (not defined)
Mar  6 15:53:15 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.40.151.7:4873 (im.hkapa.edu)
Mar  6 15:53:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 61.129.102.59:57895 (not defined)
Mar  6 15:53:19 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.33.112.205:47207 (mx02.mitsumi.co.jp)
Mar  6 15:53:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.36.94.17:4484 (mimosaacoustics.com)
Mar  6 15:53:38 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 72.36.94.17:4485 (mimosaacoustics.com)
Mar  6 15:53:40 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 194.19.226.106:1733 (not defined)
Mar  6 15:53:47 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 193.137.200.40:60716 (smtp-relay.ci.uc.pt)
Mar  6 15:54:02 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.193.91.26:3369 (not defined)
Mar  6 15:54:05 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.71:45558 (privoutmx001.isp.belgacom.be)
Mar  6 15:54:12 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.37.201.11:2428 (inetmail01.niedersachsen.de)
Mar  6 15:54:26 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 212.35.126.68:55161 (hosted.by.tsc.be)
Mar  6 15:54:28 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 196.200.16.24:50875 (smtpin-24.accesskenya.com)
Mar  6 15:54:36 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 194.7.158.228:2109 (smtpbr.cov.com)
Mar  6 15:55:37 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 202.159.24.6:54022 (mail.it.bogor.net)
Mar  6 15:55:51 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.72:48443 (privoutmx002.isp.belgacom.be)
Mar  6 15:56:24 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 82.76.77.79:55766 (82-76-77-79.rdsnet.ro)
Mar  6 15:56:56 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.71:48816 (privoutmx001.isp.belgacom.be)
Mar  6 15:57:15 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.254.194.97:55233 (smtp.giantuk.com)
Mar  6 15:57:17 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 210.235.7.67:37184 (mx.jalinfotec.co.jp)
Mar  6 15:58:28 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 217.58.160.43:4969 (host43-160-static.58-217-b.business.telecomitalia.it)
Mar  6 15:59:59 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.193.232.49:50690 (wpc0525.amenworld.com)
Mar  6 15:59:59 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 62.254.194.97:55776 (smtp.giantuk.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53231 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 216.157.145.28:63363 (mail8.hsphere.cc)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53233 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53230 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53234 (mx.marketwatchmail.com)
Mar  6 16:00:29 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53235 (mx.marketwatchmail.com)
Mar  6 16:00:30 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 205.203.131.128:53236 (mx.marketwatchmail.com)
Mar  6 16:00:36 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 200.202.250.162:37842 (not defined)
Mar  6 16:00:42 uhweb15056 relaylock: /var/qmail/bin/relaylock: mail from 195.238.6.71:53323 (privoutmx001.isp.belgacom.be)

marneus · Mar 8, 2007

Hast Du schon mal "relaylock" bei Google eingegeben? Ich glaube nicht.

weissnix · Mar 8, 2007

Ja das hab ich doch schon lange.
Ich weiss auch dass dies mails sind die erfolgreich geblockt wurden.

Aber wenn mir mein Provider 2x den Server abschaltet mit der Meldung
--------------------------------
Auf Ihrem VPS wurde soeben ein LOAD von über 16.xx festgestellt.
Der QMAIL-SMTPD Prozess. Bitte prüfen Sie, ob in Ihrer Konfiguration KEIN BOUNCE Mail steht bei nicht

Vorhandenen Email Adressen, sondern REJECT.
Es scheint so, als würde Ihr VPS als Bounce Spam Missbraucht werden.
Leeren Sie MAIL QUEUE bitte.
---------------------------------

weissnix · Mar 8, 2007

Hier noch mal die beiden Meldungen
Mo 5.03.
---------------
ihr VPS erzeugt Spammails und versendet diese ganz fleissig:
Wir erhielten soeben eine ABUSE Meldung von YAHOO.
Bitte prüfen Sie Ihren VPS und stellen Sie dies umgehend ab
--------------
untitled2.jpg

Di 6.03.
---------------
auf Ihrem VPS wurde soeben ein LOAD von über 16.xx festgestellt.
Ursache dafür wie auf dem Bild zu sehen:
Der QMAIL-SMTPD Prozess. Bitte prüfen Sie, ob in Ihrer Konfiguration KEIN BOUNCE Mail steht bei nicht
Vorhandenen Email Adressen, sondern REJECT.
Es scheint so, als würde Ihr VPS als Bounce Spam Missbraucht werden.
Leeren Sie MAIL QUEUE bitte.
Zudem wurde der VPS notgestoppt, um den hohen Prozess herunter zubekommen.
Sie können den VPS erneut starten über die VZPP Konsole.
--------------
untitled.jpg

Huschi · Mar 8, 2007

Nun hast Du qmHandle ja schon am laufen und die ersten Ergebnisse. Nicht wahr?
Und diesen Artikel hast Du bestimmt auch schon gelesen, oder?
Über meinen Server werden Spam's verschickt!

Und nun weißt Du, was für Emails Deine Mailqueue so anfüllen, oder?
Vielleicht teilst Du uns von diesen Ergebnissen ein bisschen mit?

huschi.

weissnix · Mar 9, 2007

okay das gibt er mir aus
Messages in local queue: 0
Messages in remote queue: 0

deinen Artikel hab ich gelesen, werde ich auch ausprobieren.
hab auch in access_log reingeschaut, aber nichts gefunden.
löscht er die Einträge zwischendurch?

Sinepp · Mar 9, 2007

Wenn der Hacker gründlich ist, dann schon ;-) Nur Spass!

Es gibt bei Dir vermutlich einen Cronjob der regelmäßig Deine Logdateien rotiert. Das heißt Du solltest im Normalfall bis zu einem bestimmten Tag alle Daten zur Verfügung haben und dann schlagartig nichts mehr.

Wenn Dein Server allerdings derart unter Beschuß steht ist es unwahrscheinlich, dass sich das in den Logfiles nicht niederschlägt. Ein Angriff mit Script kann (meines Wissens nach) keine lokalen Logdateien editieren...

Grüße
Sinepp

Huschi · Mar 9, 2007

weissnix said:
Messages in local queue: 0
Messages in remote queue: 0

Diese Aussage paßt nicht zu den Screenshoots. Ist den der qmail-smtp immer noch so unter Last?
Schau auch mal in /usr/local/psa/var/log/maillog oder /opt/psa/var/log/maillog rein.

PS: Laß Dich nicht verunsichern von irgendwelchem Hacker-Geschwätz.

Allerdings solltest Du schleunigst mal etwas über Linux-Server lernen. Schau mal in der Bücherecke vorbei:

Buchtipps für Newbies

Da hier schon paar mal nahc Büchern gefragt wurde, und ich halt nur meine Linux-Bücher für Fortgeschrittene kenne und empfehle, will ich an dieser Stelle mal wirklich was für Newbies tun. Die folgenden 2 Bücher sind mir heute bei Amazon aufgefallen. Sie sind noch relativ neu und laut...

serversupportforum.de

Buchshop im SSF

Hallo! Alle bisher empfohlenen Bücher findet ihr ab sofort auch im SSF Buchshop. Wir freuen uns selbstverständlich auch über jede andere Bestellung bei Amazon, die über diese Seite getätigt wird, und somit dieses Forum aktiv unterstützt. https://serversupportforum.de/threads/buchshop-im-ssf.10555/

serversupportforum.de

huschi.

weissnix · Mar 9, 2007

Ich hab nun qmail (smtp) bis zu diesem Zeitpunkt ausgeschaltet und die DNS Mail Einstellungen auf meinen alten Server umgeleitet. Hab diesen dann immer wieder beobachtet aber es tat sich nichts.

In der /usr/local/psa/var/log/maillog war nichts ausser mails vom root die er nicht verschicken konnte, da qmail (smtp) down.

Bin noch etwas ratlos. Buch Tipp ist super, aber nicht gleich alle, was wäre für mich zu empfehlen. Linux Suse 10 Plesk 8 usw.

weissnix · Mar 10, 2007

So Ich hab jetzt alles was Email betrifft wieder auf Provider 2 umgestellt
und siehe da ca. 10.30 Uhr geht's wieder los.

mail.info

Code:

Mar 10 10:40:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 72.52.72.66:48756 (h66.n72.civicactions.net)
Mar 10 10:40:36 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 68.178.90.219:29412 (cpironport.zerust.com)
Mar 10 10:40:37 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 212.166.67.35:36699 (www.zonade.com)
Mar 10 10:40:45 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 203.125.153.137:2363 (not defined)
Mar 10 10:40:46 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 203.125.153.137:1499 (not defined)
Mar 10 10:40:48 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 195.229.185.228:34317 (mail.toshiba-tgfz.co.ae)
Mar 10 10:40:49 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.204.108.131:37008 (static-209-204-108-131.sniparpa.net)
Mar 10 10:40:49 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 136.142.11.139:1814 (mb1i1.ns.pitt.edu)
Mar 10 10:40:50 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.30.18.5:49560 (smtp3.sarenet.es)
Mar 10 10:40:51 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.152.188.15:38214 (mail-01.simplewebsite.com)
Mar 10 10:40:51 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.152.188.15:38213 (mail-01.simplewebsite.com)
Mar 10 10:40:52 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.25.242.123:59833 (mforward.dtag.de)
Mar 10 10:40:52 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 212.204.192.250:43372 ()
Mar 10 10:41:00 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.181.132.72:59090 (mail6.udomain.com.hk)
Mar 10 10:41:00 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.181.132.72:59091 (mail6.udomain.com.hk)
Mar 10 10:41:00 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 219.166.252.194:18899 (ns1.autobacs.co.jp)
Mar 10 10:41:04 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 69.57.177.221:45142 (panda.creasurf.net)
Mar 10 10:41:11 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.153.104.75:2789 (not defined)
Mar 10 10:41:20 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 212.9.65.13:47034 (mx2.datagrama.net)
Mar 10 10:41:21 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 61.121.247.70:54387 (pine.fruitmail.net)
Mar 10 10:41:34 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.247.64.133:35904 (relay.scotland.net)
Mar 10 10:41:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 80.235.84.66:16533 (kdlx.kodulux.ee)
Mar 10 10:41:36 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 206.126.168.53:59855 (cdcmu02.sendyourfeedback.com)
Mar 10 10:41:38 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 199.239.138.135:35695 (ms3.lga2.nytimes.com)
Mar 10 10:41:39 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 193.111.201.76:34085 (lon-mail-relay-3.gradwell.net)
Mar 10 10:41:43 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 195.137.128.31:49379 (zagor.tzm.net)
Mar 10 10:41:48 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 61.135.145.21:24620 (not defined)
Mar 10 10:41:48 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 196.30.132.105:51281 (mailfirewall.voffice.co.za)
Mar 10 10:41:53 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 80.67.70.13:51691 (exrelay2.akamai.com)
Mar 10 10:41:59 vpsxxxxxxx pop3d: 1173519719.239223 LOGOUT, user=weissnix, ip=[89.59.104.142], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/meinDomain.com/weissnix/Maildir
Mar 10 10:42:01 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 81.174.59.106:20281 (81-174-59-106.f5.ngi.it)
Mar 10 10:42:06 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 208.5.23.98:20964 (mail.trussway.com)
Mar 10 10:42:33 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.226.128.9:62042 (mail.nursat.net)
Mar 10 10:42:37 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 69.17.117.52:51886 (mx2-1.speakeasy.net)
Mar 10 10:42:38 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.76.204.6:2259 (psr-dns01.psr.edu)
Mar 10 10:42:42 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.212.106.64:4385 (mailgw2.city.sapporo.jp)
Mar 10 10:43:02 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 200.44.123.66:2907 (mail.bolivar.com)
Mar 10 10:43:03 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 204.187.100.140:40138 (204-187-100-140.amanah.com)
Mar 10 10:43:19 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 65.19.179.11:1864 (mail10.worldispnetwork.com)
Mar 10 10:43:20 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 203.89.172.188:1376 (static-ip-203-89-172-188.watchdog.net.nz)
Mar 10 10:43:31 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.89.50.56:36153 (smtp.watchdog.net.nz)
Mar 10 10:43:47 vpsxxxxxxx pop3d: 1173519827.92271 LOGOUT, user=weissnix, ip=[89.59.104.142], top=0, retr=0, time=1, rcvd=12, sent=39, maildir=/var/qmail/mailnames/meinDomain.com/weissnix/Maildir
Mar 10 10:44:14 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 127.0.0.1:34203 (localhost)
Mar 10 10:44:27 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 61.155.13.211:36768 (pip35.ptt.js.cn)
Mar 10 10:45:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: Unable to connect to the mysql database, relay will work in closed mode & white list will not work
Mar 10 10:45:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 66.135.32.99:42473 (server1.grafilab.com)
Mar 10 10:45:38 vpsxxxxxxx qmail: 1173519938.129297 status: local 0/10 remote 0/20
Mar 10 10:45:43 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 59.11.104.250:14121 (not defined)
Mar 10 10:45:48 vpsxxxxxxx spamd[17462]: logger: removing stderr method
Mar 10 10:45:49 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 193.111.201.76:34559 (lon-mail-relay-3.gradwell.net)
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: spamd: server started on UNIX domain socket /tmp/spamd_full.sock (running version 3.1.3)
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: spamd: server pid: 17467
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: spamd: server successfully spawned child process, pid 17518
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: prefork: child states: I
Mar 10 10:45:53 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 210.166.217.61:60425 (ns.janic.org)
Mar 10 10:46:07 vpsxxxxxxx qmail: 1173519967.431119 alert: cannot start: qmail-send is already running
Mar 10 10:46:17 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 127.0.0.1:32776 (localhost)
Mar 10 10:46:24 vpsxxxxxxx qmail: 1173519984.743236 status: exiting
Mar 10 10:46:27 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 210.148.18.47:35322 (tkgw1.sumitomocorp.co.jp)
Mar 10 10:48:50 vpsxxxxxxx pop3d: 1173520130.833353 LOGOUT, user=weissnix, ip=[89.59.104.142], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/meinDomain.com/weissnix/Maildir

mail.warn

Code:

Mar 10 10:40:48 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 195.229.185.228:34317 (mail.toshiba-tgfz.co.ae)
Mar 10 10:40:49 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.204.108.131:37008 (static-209-204-108-131.sniparpa.net)
Mar 10 10:40:49 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 136.142.11.139:1814 (mb1i1.ns.pitt.edu)
Mar 10 10:40:50 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.30.18.5:49560 (smtp3.sarenet.es)
Mar 10 10:40:51 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.152.188.15:38214 (mail-01.simplewebsite.com)
Mar 10 10:40:51 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.152.188.15:38213 (mail-01.simplewebsite.com)
Mar 10 10:40:52 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.25.242.123:59833 (mforward.dtag.de)
Mar 10 10:40:52 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 212.204.192.250:43372 ()
Mar 10 10:41:00 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.181.132.72:59090 (mail6.udomain.com.hk)
Mar 10 10:41:00 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.181.132.72:59091 (mail6.udomain.com.hk)
Mar 10 10:41:00 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 219.166.252.194:18899 (ns1.autobacs.co.jp)
Mar 10 10:41:04 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 69.57.177.221:45142 (panda.creasurf.net)
Mar 10 10:41:11 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.153.104.75:2789 (not defined)
Mar 10 10:41:20 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 212.9.65.13:47034 (mx2.datagrama.net)
Mar 10 10:41:21 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 61.121.247.70:54387 (pine.fruitmail.net)
Mar 10 10:41:34 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.247.64.133:35904 (relay.scotland.net)
Mar 10 10:41:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 80.235.84.66:16533 (kdlx.kodulux.ee)
Mar 10 10:41:36 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 206.126.168.53:59855 (cdcmu02.sendyourfeedback.com)
Mar 10 10:41:38 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 199.239.138.135:35695 (ms3.lga2.nytimes.com)
Mar 10 10:41:39 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 193.111.201.76:34085 (lon-mail-relay-3.gradwell.net)
Mar 10 10:41:43 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 195.137.128.31:49379 (zagor.tzm.net)
Mar 10 10:41:48 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 61.135.145.21:24620 (not defined)
Mar 10 10:41:48 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 196.30.132.105:51281 (mailfirewall.voffice.co.za)
Mar 10 10:41:53 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 80.67.70.13:51691 (exrelay2.akamai.com)
Mar 10 10:41:59 vpsxxxxxxx pop3d: 1173519719.239223 LOGOUT, user=weissnix, ip=[89.59.104.142], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/meinDomain.com/weissnix/Maildir
Mar 10 10:42:01 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 81.174.59.106:20281 (81-174-59-106.f5.ngi.it)
Mar 10 10:42:06 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 208.5.23.98:20964 (mail.trussway.com)
Mar 10 10:42:33 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 194.226.128.9:62042 (mail.nursat.net)
Mar 10 10:42:37 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 69.17.117.52:51886 (mx2-1.speakeasy.net)
Mar 10 10:42:38 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 209.76.204.6:2259 (psr-dns01.psr.edu)
Mar 10 10:42:42 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.212.106.64:4385 (mailgw2.city.sapporo.jp)
Mar 10 10:43:02 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 200.44.123.66:2907 (mail.bolivar.com)
Mar 10 10:43:03 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 204.187.100.140:40138 (204-187-100-140.amanah.com)
Mar 10 10:43:19 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 65.19.179.11:1864 (mail10.worldispnetwork.com)
Mar 10 10:43:20 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 203.89.172.188:1376 (static-ip-203-89-172-188.watchdog.net.nz)
Mar 10 10:43:31 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 202.89.50.56:36153 (smtp.watchdog.net.nz)
Mar 10 10:43:47 vpsxxxxxxx pop3d: 1173519827.92271 LOGOUT, user=weissnix, ip=[89.59.104.142], top=0, retr=0, time=1, rcvd=12, sent=39, maildir=/var/qmail/mailnames/meinDomain.com/weissnix/Maildir
Mar 10 10:44:14 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 127.0.0.1:34203 (localhost)
Mar 10 10:44:27 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 61.155.13.211:36768 (pip35.ptt.js.cn)
Mar 10 10:45:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: Unable to connect to the mysql database, relay will work in closed mode & white list will not work
Mar 10 10:45:35 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 66.135.32.99:42473 (server1.grafilab.com)
Mar 10 10:45:38 vpsxxxxxxx qmail: 1173519938.129297 status: local 0/10 remote 0/20
Mar 10 10:45:43 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 59.11.104.250:14121 (not defined)
Mar 10 10:45:48 vpsxxxxxxx spamd[17462]: logger: removing stderr method
Mar 10 10:45:49 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 193.111.201.76:34559 (lon-mail-relay-3.gradwell.net)
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: spamd: server started on UNIX domain socket /tmp/spamd_full.sock (running version 3.1.3)
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: spamd: server pid: 17467
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: spamd: server successfully spawned child process, pid 17518
Mar 10 10:45:50 vpsxxxxxxx spamd[17467]: prefork: child states: I
Mar 10 10:45:53 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 210.166.217.61:60425 (ns.janic.org)
Mar 10 10:46:07 vpsxxxxxxx qmail: 1173519967.431119 alert: cannot start: qmail-send is already running
Mar 10 10:46:17 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 127.0.0.1:32776 (localhost)
Mar 10 10:46:24 vpsxxxxxxx qmail: 1173519984.743236 status: exiting
Mar 10 10:46:27 vpsxxxxxxx relaylock: /var/qmail/bin/relaylock: mail from 210.148.18.47:35322 (tkgw1.sumitomocorp.co.jp)
Mar 10 10:48:50 vpsxxxxxxx pop3d: 1173520130.833353 LOGOUT, user=weissnix, ip=[89.59.104.142], top=0, retr=0, time=0, rcvd=12, sent=39, maildir=/var/qmail/mailnames/meinDomain.com/weissnix/Maildir

Also für mich sieht dass so aus. Ich werde mit Emails bombardiert. Diese werden aber nicht verschickt sondern nur geblockt. Durch die Masse an Mails ist der Server natürlich überlastet.

Warum hatte ich das nicht bei Provider 1. Hab ich es da nicht bemerkt oder wurden solche Massen schon vom Provider 1 unterbunden?

Huschi · Mar 10, 2007

Da hier niemand außer Dir weiß, wer oder was "Provider 1" ist, und was auf dem Server läuft, wäre hier alles andere nur Spekulation.

Was aber "relaylock" ist weißt Du ja inzwischen.
Wichtig ist eben, daß dieser keine Bounces schickt. Wenn er dies nicht tut, sollte alles andere kein Problem mehr darstellen.

Wie hast Du denn den Qmail neu gestartet?

huschi.

weissnix · Mar 10, 2007

Ist ja auch nur hypothetisch Frage.
Ist es möglich?

Mit VPS hab ich den Not Stop reingelegt, dann wieder neu durchgestartet.
Danach mit Plesk qmail (smtp) gestopt.

Was aber "relaylock" ist weißt Du ja inzwischen.

nö

Huschi · Mar 10, 2007

Manchmal fühle ich mich so müde......

Warum schreibst Du es denn hier, wenn Du es doch nicht weißt?

weissnix said:
Ich weiss auch dass dies mails sind die erfolgreich geblockt wurden.

Ist es möglich?

Alles ist möglich. Auch das ich im Schlaf wandle und Gegenfragen stelle. Die Beantwortung ist aber absolut überflüssig, weil es war ja im Halbschlaf...

Du hast zwar versucht eine Antwort zu liefern, aber es gibt viele Wege Qmail zu stoppen und zu starten. Die Frage war klar darauf gerichtet welchen dieser vielen Wege Du nutzt.

Fazit:
Dein Beitrag war reines Blabla.
Und ohne Fakten gibts keine zufriedenstellende Auskunft.

huschi.

weissnix · Mar 10, 2007

Du willst Fakten?

Außer Blabla hab ich von dir auch nichts gehört.
Du hast mich gefragt was seht in den Logs hab ich dir gezeigt.
Was ist passiert, hab ich versucht zu schildern, mit Wort uns Bild!

Was aber "relaylock" ist weißt Du ja inzwischen.
Wichtig ist eben, dass dieser keine Bounces schickt. Wenn er dies nicht tut, sollte alles andere kein Problem mehr darstellen.

Wenn hunderte Mails gleichzeitig kommen und den Server lahmlegen ist das durchaus ein Problem und dein Provider den Notstop reinhaut, noch mehr.

Code:

Wie hast Du denn den Qmail neu gestartet?

Ich habe in Plesk unter Server - Dienste-Verwaltung
E-Mail - SMTP-Server (QMail) straten

ISSchuster · Mar 10, 2007

weissnix said:
Wenn hunderte Mails gleichzeitig kommen und den Server lahmlegen ist das durchaus ein Problem und dein Provider den Notstop reinhaut, noch mehr.

Also laut den Logfile-Auszügen sind das nur ein paar Mails (unter 50) in knapp 10 Minuten.... Wenn der Server bei den paar Mails schon in die Knie geht, liegt der Fehler mit Sicherheit auch noch woanders... Denn die paar Mails schafft sogar noch ein 486er oder sich groß anzustrengen....

Was bringt denn ein "ps axu" oder sowas?

Mfg

Stefan Schuster

weissnix · Mar 10, 2007

Vielen Dank ein neuer Ansatz!

Code:

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0    616   256 ?        Ss   10:45   0:00 init [3]
root     15927  0.0  0.0   1484   596 ?        Ss   10:45   0:00 /sbin/syslogd -
root     15933  0.0  0.0   4008   804 ?        Ss   10:45   0:00 /usr/sbin/sasla
root     15934  0.0  0.0   4008   476 ?        S    10:45   0:00 /usr/sbin/sasla
root     15977  0.0  0.0   4632  1232 ?        Ss   10:45   0:00 /usr/sbin/sshd
named    16118  0.0  0.0  36256  2680 ?        Ssl  10:45   0:00 /usr/sbin/named
root     16133  0.0  0.0   2416  1204 ?        S    10:45   0:00 /bin/sh /usr/bi
mysql    16195  0.0  0.3 104760 14080 ?        Sl   10:45   0:00 /usr/sbin/mysql
postgres 16368  0.0  0.0  17316  3244 ?        S    10:45   0:00 /usr/bin/postma
postgres 16374  0.0  0.0  17316  1196 ?        S    10:45   0:00 postgres: write
postgres 16375  0.0  0.0   8232   980 ?        S    10:45   0:00 postgres: stats
postgres 16376  0.0  0.0   7408  1132 ?        S    10:45   0:00 postgres: stats
root     17467  0.0  0.6  27936 25572 ?        Ss   10:45   0:00 /usr/sbin/spamd
popuser  17518  0.0  0.6  29024 26544 ?        S    10:45   0:00 spamd child
root     17606  0.0  0.3  31492 13752 ?        Ss   10:45   0:00 /usr/sbin/httpd
root     17672  0.0  0.1  30216  5640 ?        S    10:45   0:00 /usr/sbin/httpd
wwwrun   17707  0.0  0.1  31456  6560 ?        S    10:45   0:00 /usr/sbin/httpd
wwwrun   17708  0.0  0.2  32560 11400 ?        S    10:45   0:00 /usr/sbin/httpd
wwwrun   17709  0.0  0.2  32520 11360 ?        S    10:45   0:00 /usr/sbin/httpd
root     17836  0.0  0.1  35516  5224 ?        Ss   10:46   0:00 /usr/local/psa/
psaadm   17848  0.0  0.7  43332 30400 ?        S    10:46   0:03 /usr/local/psa/
psaadm   17860  0.0  0.6  41868 28460 ?        S    10:46   0:02 /usr/local/psa/
root     17956  0.0  0.0   1700   672 ?        Ss   10:46   0:00 /usr/sbin/cron
drweb    18003  0.0  0.3  16304 13580 ?        Ss   10:46   0:03 /opt/drweb/drwe
wwwrun    3194  0.0  0.2  32556 11380 ?        S    11:30   0:00 /usr/sbin/httpd
psaadm   11686  0.0  0.6  41184 24816 ?        S    11:36   0:01 /usr/local/psa/
wwwrun   21768  0.0  0.2  32044 10948 ?        S    12:12   0:00 /usr/sbin/httpd
wwwrun   21776  0.0  0.2  32532 11388 ?        S    12:12   0:00 /usr/sbin/httpd
root     16354  0.0  0.0   9336  2944 ?        Ss   12:40   0:00 sshd: root@pts/
root     17420  0.0  0.0   2764  1752 pts/0    Ss   12:40   0:00 -bash
root     17472  0.1  0.0   2040  1080 pts/0    S+   12:40   0:10 top
root      3453  0.0  0.0   2140   872 ?        Ss   13:06   0:00 /usr/sbin/xinet
root     26021  0.1  0.0   9192  2912 ?        Ss   15:23   0:00 sshd: root@pts/
root     26093  0.2  0.0   2764  1752 pts/1    Ss   15:24   0:00 -bash
root     26149  0.0  0.0   2408   844 pts/1    R+   15:24   0:00 ps axu

Ich muss dazu sagen SMTP-Server (QMail) hab ich gestoppt.

Spammails über qmail

New Member

Moderator

New Member

Moderator

New Member

Registered User

New Member

New Member

Attachments

Moderator

New Member

Registered User

Moderator

New Member

New Member

Moderator

New Member

Moderator

New Member

Registered User

New Member

We value your privacy