Spammails von meinem Server?

  • Thread starter Thread starter Deleted member 2251
  • Start date Start date
D

Deleted member 2251

Guest
Hallo,

ich erhalte neuerdings immer wieder, ca. 20 - 40 Stück / Tag, Bounce - Mails.

Leider kann ich mir nicht wirklich einen Reim draus machen, ob es nun Spammails von meinem Server sind.

Header:
Code: 
X-MSK: CML=0.212000
Received: (qmail 32573 invoked by alias); 7 Jul 2011 10:32:56 +0200
Delivered-To: postmaster@***meine***.serverkompetenz.net
Received: (qmail 32567 invoked for bounce); 7 Jul 2011 10:32:56 +0200
Date: 7 Jul 2011 10:32:56 +0200
From: MAILER-DAEMON@***meine***.serverkompetenz.net
To: postmaster@***meine***.serverkompetenz.net
Subject: failure notice
X-Spam-Checker-Version: SpamAssassin 3.0.2 (2004-11-16) on 
	***meine***.serverkompetenz.net
X-Spam-Level: 
X-Spam-Status: No, score=-5.0 required=7.0 tests=ALL_TRUSTED,AWL,BAYES_00,
	NO_REAL_NAME,URIBL_AB_SURBL autolearn=disabled version=3.0.2

Mail:
Code: 
Hi. This is the qmail-send program at ***meine***.serverkompetenz.net.
I tried to deliver a bounce message to this address, but the bounce bounced!

<rosa@darfil.com>:
77.232.76.20 does not like recipient.
Remote host said: 554 5.7.1 <rosa@darfil.com>: Recipient address rejected: "USER UNKNOWN"
Giving up on 77.232.76.20.

--- Below this line is the original bounce.

Return-Path: <>
Received: (qmail 32563 invoked for bounce); 7 Jul 2011 10:32:55 +0200
Date: 7 Jul 2011 10:32:55 +0200
From: MAILER-DAEMON@***meine***.serverkompetenz.net
To: rosa@darfil.com
Subject: failure notice

Hi. This is the qmail-send program at ***meine***.serverkompetenz.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<info@***meine***.de>:
This address no longer accepts mail.

--- Below this line is a copy of the message.

Return-Path: <rosa@darfil.com>
Received: (qmail 32558 invoked from network); 7 Jul 2011 10:32:55 +0200
Received-SPF: pass (***meine***: domain of darfil.com designates 92.86.52.183 as permitted sender) client-ip=92.86.52.183; envelope-from=rosa@darfil.com; helo=adsl92-86-52-183.romtelecom.net;
Received: from adsl92-86-52-183.romtelecom.net (92.86.52.183)
  by ***meine***.de with SMTP; 7 Jul 2011 10:32:54 +0200
From: "Une nouvelle vie sexuelle" <Rosa@darfil.com>
To: info@***meine***.de
Subject: La réponse sexuelle.
Date: Thu, 07 Jul 2011 04:32:54 -0500
MIME-Version: 1.0
Content-Type: text/plain;
 charset="iso-8859-1"
Content-Transfer-Encoding: 7Bit
Message-ID: <modusgw-556522wjginr.060297@cosechanic.com>

Mille acheteurs utilisent de'ja` notre me'thode sexuelle, cette variante est efficace et fiable.
Notre Secret tres simple.700 000 acheteurs ont eprouve deja notre methode.

Tu commandes 4 emballages aujourd'hui et tu reçois encore 2 GRATUITEMENT http://safepix.net/SZUCIC

Log (mail.warn):
Code: 
Jul  7 10:32:27 ***meine*** /var/qmail/bin/relaylock[32541]: /var/qmail/bin/relaylock: mail from 81.190.205.161:4836 (host-81-190-205-161.gorzow.mm.pl)
Jul  7 10:32:53 ***meine*** /var/qmail/bin/relaylock[32551]: /var/qmail/bin/relaylock: mail from 92.86.52.183:4820 (adsl92-86-52-183.romtelecom.net)
Jul  7 10:35:10 ***meine*** /var/qmail/bin/relaylock[1997]: /var/qmail/bin/relaylock: mail from 120.61.47.125:15317 (triband-mum-120.61.47.125.mtnl.net.in)
Jul  7 10:36:40 ***meine*** /var/qmail/bin/relaylock[3461]: /var/qmail/bin/relaylock: mail from 64.57.183.77:56028 (verify.abuse.net)

Sind dies nun Spammails oder einfach nur Bounce - Spam - Mails von einem anderen Server.

Einen Open-Relay-Test habe ich bereits gemacht (http://www.antispam-ufrj.pads.ufrj.br/test-relay.html), welcher "positiv" ausgefallen ist, keine offenen Relays.

Ach ja, natürlich kann ich die Bounce auch unterdrücken (http://www.huschi.net/5_224_de.html), dies ist aber nicht sinn der Sache oder?

Auf dem System ist Plesk sowie Qmail.

Gruß
Daniel
 
sind vermutlich wirklich nur bounces (von bounces) von mails die mit falschem from: gesendet wurden - ich sage hier vermutlich weil ich da maximal 3 oder so am tag von krieg, keine 20-40 jeden tag.
solang dein qmail aber mit smtp-auth gepatched ist solltest du auf der sicheren seite sein.
beim thema sicherheit möchte ich dich aber darauf hinweisen dass der spamassassin 3.0.2 "(2004-11-16)"! ungepatched doch die ein oder andere DoS vulnerability und in verbindung zu vpopmail sogar ne remote command execution vulnerability hat, evtl mal über ein update nachdenken ;)
 
MOD: Fullquote entfernt.

Hallo,

ja, danke. Habe in Qmail die "Doppelbounce" deaktiviert.

Spamassasin werden ich mir genauer anschauen.

Gruß
Daniel
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top