Undefinierbare Mails im Queue

S

sesselmi

Registered User
Ich habe immer wieder Mal einige Mails in meiner Queue die dann wie folgt aussehen:

Code: 
 --------------
MESSAGE NUMBER 17646219
 --------------
Received: (qmail 30020 invoked from network); 4 Jun 2007 16:12:50 +0200
Received: from 125-225-149-242.dynamic.hinet.net (HELO goldftp.net.tw) (125.225.149.242)
  by meinserver.de with (DES-CBC3-MD5 encrypted) SMTP; 4 Jun 2007 16:12:49 +0200
Message-ID: <20070606221241302515@goldftp.net.tw>
Return-Path: <winniebook@yahoo.com.tw>
Date: Wed, 6 Jun 2007 22:12:41 +0800
From: =?big5?B?oXWmYq5hpHWnQKF2tuqnQbPQt36kp7nafg==?= <>
To: <cindy5851638@yahoo.com.tw>,
        <0928580004@yahoo.com.tw>,
        <wuyulien556@yahoo.com.tw>,
        <h7025018@yahoo.com.tw>,
        <rachel321123@yahoo.com.tw>,
        <yeexrong@yahoo.com.tw>,
        <happykhitan@yahoo.com.tw>,
        <oil_mooncake@yahoo.com.tw>,
        <s88220077@yahoo.com.tw>,
        <a3603482@yahoo.com.tw>,
        <dudewhatsup1c@yahoo.com.tw>
Subject: =?big5?B?rLCxerZxqK2ltLfTtUykSMR2qqequqX+t3Olq7P1fru0w1CmYq5hpHWnQA==?=
X-mailer: GNupvahocay 3
Mime-Version: 1.0
Content-Type: multipart/alternative;
        boundary="----=_02BF_01B5CFC1.1DE49590"

This is a multi-part message in MIME format.

------=_02BF_01B5CFC1.1DE49590
Content-Type: text/plain;
        charset="big5"
Content-Transfer-Encoding: base64

V2hlbiBzaGUgc2F3IHRoYXQgc2hlIGNvdWxkIG5vIGxvbmdlciBkcmVzcyBoZXIgaGFpciwgc2hl
IGJlZ2FuIHRvIGhhdGUgZXZlcnkgb25lIGFib3V0IGhlci4gVG8gY2xpbWIgYSB3YWxsLCB0byBi
cmVhayBhIGJyYW5jaCwgdG8gcHVybG9pbiBhcHBsZXMsIGlzIGEgbWlzY2hpZXZvdXMgdHJpY2sg
aW4gYSBjaGlsZDsgZm9yIGEgbWFuIGl0IGlzIGEgbWlzZGVtZWFub3I7IGZvciBhIGNvbnZpY3Qg
aXQgaXMgYSBjcmltZS4gUm9iYmluZyBhbmQgaG91c2VicmVha2luZy0taXQgaXMgYWxsIHRoZXJl
LiA=

------=_02BF_01B5CFC1.1DE49590
Content-Type: text/html;
        charset="big5"
Content-Transfer-Encoding: base64
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------=_02BF_01B5CFC1.1DE49590--

Hat einer von Euch eine Idee woher diese Mail kommt oder besser wie sie in emine Queue kommt.

Auch in den Access-Logs eine s Webs habe ich zu dieser Zeit einen komischen Aufruf gefunden

Code: 
84.146.208.33 - - [04/Jun/2007:14:12:29 +0200] "GET / HTTP/1.1" 200 1120 "http://us.f609.mail.yahoo.com/ym/ShowLetter?MsgId=2549_4365863_243236_4036_1458_0_31249_5507_3459726114&Idx=0&YY=7087&y5bet
a=yes&y5beta=yes&inc=25&order=down&sort=date&pos=0&view=&head=&box=Inbox" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; EmbeddedWB 14,52 from: http://www.bsalsa.com/ EmbeddedWB 14.52; .NET CL
R 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0; .NET CLR 2.0.50727)"

Habe ich irgendwo eine Sicherheitslücke?

Was meint Ihr dazu? Soll ich der Sache weiter nachgehen?

Viele Grüße
 
Last edited by a moderator:
Astreiner Spam.

Jetzt in der Reihenfolge:
- MTA stoppen
- Spam-Schleuder beseitigen
- Mail-Queue leeren
- MTA starten
 
Hi Elias,

kannst Du mir einen Tip geben wie ich die Spamschleuder finden kann?

Schon mal danke für Deine Hilfe
 
Also ich habe jetzt mal alle webs (Sind nur 40) durchforstet und alles vorerst gelöscht bzw. verschoben was irgendwie nach einen Kontaktformular oder ähnlichen ausgesehen hat! Es ist ja auc nicht so dass die Queue irre schnell ansteigen würde es sind pro Viertelstunde 1-2 Mails. Und alle wollen an die yahoo.tw senden.

Ein Relaytest mit telnet relay-test.mail-abuse.org ist auch positiv für mich verlaufen!

Irgendwie macht mich aber noch der komische http-Aufruf stutzig! Der lag in einen Web das eigentlich nur eine Handvoll Personen kennen.
 
Ja schon klar ;-) aber in diesen Web lag nur eine index.html und drei .mp4 Dateien und sonst nichts.

Aber trotzdem danke für Deine Bemühungen

LG Sesselmi
 
Hallo Huschi danke für Deine Hilfe ;-)

In der php.ini ist sendmail_path ausdokumentiert

Ich habe jetzt mal unter PLESK die Option pop4SMTP deaktiviert! Jetzt scheint sich das ganze zu beruhigen.

Ansonsten habe ich wirklich alle Scripte die Mails versenden können in Ordner verschoben auf die man von außen keinen Zugriff hat.

Bin ja mal gespannt ob es das jetzt war.

Viele Grüße
 
You must log in or register to reply here.
Back
Top