Was sind das für Mails?

[tobi4]

Hallo,

habe die letzten Tage wieder so komische Spammails an sämtliche meiner Domains erhalten - nun sehe ich in der Plesk Email-Warteschlange das hier:
Betreff: Undelivered Mail Returned to Sender
Absender: MAILER-DAEMON@*.onlinehome-server.info (Mail Delivery System) (also mein Server)
Empfänger: newsletter@homepage-baukasten-mail.de

mit dem Inhalt

Received: by *.onlinehome-server.info (Postfix)
id 1F097509527; Tue, 29 Nov 2011 23:27:07 +0100 (CET)
Date: Tue, 29 Nov 2011 23:27:07 +0100 (CET)
From: MAILER-DAEMON@*.onlinehome-server.info (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: newsletter@homepage-baukasten-mail.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="02B08509525.1322605627/*.onlinehome-server.info"
Message-Id: <20111129222707.1F097509527@*.onlinehome-server.info>

Und was heißt das jetzt genau? Woher kommt diese Mail, was hat sie mit mir zu tun?

An eine meiner Mailadressen habe ich kürzlich auch so komische Mails erhalten:
Betreff: "Postfix SMTP server: errors from 210.136.168.217-rev.hti.pl[217.168.136.210]"
An: "postmaster@*.onlinehome-server.info"

Transcript of session follows.

Out: 220 *.onlinehome-server.info ESMTP Postfix
In: EHLO comp-data.info
Out: 250-*.onlinehome-server.info
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM:<info@comp-data.info>
Out: 250 2.1.0 Ok
In: RCPT TO:<*@*.me>
Out: 250 2.1.5 Ok
In: DATA
Out: 354 End data with <CR><LF>.<CR><LF>
Out: 451 4.3.0 Error: queue file write error
In: quit
Out: 221 2.0.0 Bye

Ich hoffe ja nicht, dass das Teil für irgendwelche Spammails missbraucht wird. Was hat diese Mail denn zu bedeuten?

Danke & Gruß

 

[Deleted member 11691]

Undelivered Mail Returned to Sender sind Meldungen, welche zeigen, dass Mails, welche von Deinem Server verschickt werden, nicht beim Empfänger ankommen bzw. angekommen sind. Hast Du eventuell eine Website, auf der sich Leute mit einer Email-Adresse registrieren können (egal ob Newsletter, Forum, etc.)?

 

[Lord Gurke]

Dieser Teil aus der zweiten Mail

 Out: 451 4.3.0 Error: queue file write error

ist eine Postmaster-Notification und deutet darauf hin, dass DEIN Server nicht in der Lage war, eine eingehende E-Mail anzunehmen, weil er diese nicht in die Queue legen konnte.
Das kann z.B. passieren wenn während eines Backups bestimmte Verzeichnisse schreibgeschützt werden oder die Festplatte kurzzeitig volläuft.

 

[tobi4]

Hey,

danke für eure Antworten.

@PCFreund
Ich hoste auf diesem Server mehrere Webseiten, die alle mindestens einen öffentlichen "Mailversand", also Kontaktformular für Nachrichten an mich, Registrierungsformulare mit anschließendem Mailversand via PHP@mail Funktion (ohne SMTP).

Habe schon mal was von gelesen, dass Bots oder auch Menschen das ausnutzen können und irgendwie weitere Empfänger hinzufügen können, wenn ich nicht irgendwas im PHP Code bei der mail-Funktion ausgefiltert habe oder sowas. Kann es daran liegen?

Zudem wird ein vBulletin-Forum seit Anfang des Monats gehostet (diese Mails erhalte ich auch erst seit einigen Tagen). Aber ich denke doch dass vBulletin 3.8.5 in dieser Hinsicht nicht die Ursache sein kann.

Wenn jemand (was auch häufig vorkommt) bei der Registrierung auf einer meiner Seiten eine nicht vorhandene Mailadresse angibt kommt meine Autorespondernachricht auch gleich zurück - aber die sieht anders aus und enthält auch meist die Info von dem Provider, an den die Mail zu schicken versucht wurde (sofern der überhaupt existiert).

Aber das was mir in der Plesk Mailserverwarteschlange angezeigt wurde - also From: MAILER-DAEMON@*.onlinehome-server.info (Mail Delivery System) (mein Server) To: newsletter@homepage-baukasten-mail.de - wie soll ich denn das deuten? Woher wohin geht denn welche Mail an newsletter@homepage-baukasten-mail.de? An diese Adresse habe ich noch nie eine Mail verschickt, auch hat sich damit noch niemand auf einen meiner Seiten registriert.

@Lord Gurke
Das ist für mich nicht nachvollziehbar. Da steht ja dass die Mail angeblich von "info@comp-data.info" an mich geschickt wurde (vermute dass das nur eine einfach so eingegebene Mailadresse mit Spamhintergrund ist). Wenn ich Backups mache sind alle Domains inkl. Maildienste durchgehend verfügbar, auch war und ist permanent genügend Speicherplatz vorhanden.

Ich kann mir auch in diesem Fall nicht erklären, wie diese Mails zustande kommen.


Auch heute morgen/Nacht habe ich wieder 3 dieser Mails mit dem folgenden Inhalt an postmaster@mein-server-hostname.de:

Transcript of session follows.

Out: 220 ***onlinehome-server.info ESMTP Postfix
In: EHLO top-mdate.com
Out: 250-***.onlinehome-server.info
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM:<info@top-mdate.com>
Out: 250 2.1.0 Ok
In: RCPT TO:<info@meine-domain.de>
Out: 451 4.3.0 Error: queue file write error

Session aborted, reason: lost connection

Vielleicht sind die Header dieser Spammails von "info@top-mdate.com" usw. fehlerhaft und der Plesk Mailserver kann damit nichts anfangen? Werde dieses *@top-mdate.com nun einfach mal in den Spamfiltereinstellungen auf die Blacklist setzen wie die anderen ganzen Fakemailadressen der Spammer auch.

Komisch ist, dass z.B. eine der heutigen Mails mit
" In: quit
Out: 221 2.0.0 Bye" endet und die andere mit
"Out: 451 4.3.0 Error: queue file write error
Session aborted, reason: lost connection"

Ich kanns mir nicht erklären...

 

[its]

Vielleicht sind die Header dieser Spammails von "info@top-mdate.com" usw. fehlerhaft und der Plesk Mailserver kann damit nichts anfangen?

Könntest du einen vollständigen Mailheader mal veröffentlichen, dann kann man sich das mal genauer ansehen?

 

[tobi4]

Wovon genau? Von dieser komischen "Postfix SMTP server: errors from 210.136.168.217-rev.hti.pl[217.168.136.210]" mit dem Inhalt:

Transcript of session follows.

Out: 220 ***.onlinehome-server.info ESMTP Postfix
In: EHLO comp-data.info
Out: 250-***.onlinehome-server.info
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL FROM:<info@comp-data.info>
Out: 250 2.1.0 Ok
In: RCPT TO:<***@***.me>
Out: 250 2.1.5 Ok
In: DATA
Out: 354 End data with <CR><LF>.<CR><LF>
Out: 451 4.3.0 Error: queue file write error
In: quit
Out: 221 2.0.0 Bye

? Da steht leider nicht viel (siehe Screen1).
Alle radierten Stellen sind meine Domains.

Alle eingehenden E-Mails auf meine Domains die auf dem onlinehome-server.info gehostet sind werden an eine Mailadresse die auf dem evanzo server sitzt weitergeleitet - deswegen taucht auch der da wohl auf.


Hier habe ich übrigens gerade noch eine Spammail gefunden, an eine Mailadresse einer Domain auf dem onlinehome-server.info. In dem Mailheader ist ja die gleiche IP drin wie in dieser "Postfix SMTP server: errors...". Also wurde diese Benachrichtigung über Fehler durch diese Spammail erzeugt? Nur wieso? Warum kriege ich diese komische Benachrichtigung...
Siehe Screen2.

 

[its]

Deiner Grafik 2 zu urteilen sieht es so aus, als ob die Mails von

(210.136.168.217-rev.hti.pl [217.168.136.210])

gesendet worden sind. Das "comp-data.info" ist nur das HELO from "spammenden" Mailserver.

Das sind reine Spam E-Mails, welche nicht von deinem Server ausgehen.

Was deine Grafik 1 aussagt, ist wohl das Weiterleiten von dem onlinehome Server auf deinen Evanzo Server.

Da du wohl QMAIL im Einsatz hast, solltest du aber bitte mal deinen Mailserver auf eventuelles Backscattering testen. Das war vor Monaten ein großes Thema.

 

[wstuermer]

Wieso nimmt dein Server überhaupt Mails für Adressen an, die nicht existieren?
Das kannst du in deinem Plesk konfigurieren und du solltest die einfach ablehnen. Dann ist's Aufgabe des einliefernden Mailservers sich darum weiter zu kümmern.

 

[tobi4]

Das kann man im Plesk Panel einstellen? Also ich kann dort keine entsprechende Einstellung finden (10.3.1). Wie geht das?

Danke & Gruß

 

[virtual2]

Das kann man im Plesk Panel einstellen? Also ich kann dort keine entsprechende Einstellung finden (10.3.1). Wie geht das?

Das geht direkt auch der Bash deines Servers in der jeweiligen config des eingesetzten MTA`s.

 

[tobi4]

Jetzt weiß ich's genau. Danke. Link zu einer Erklärung hätte auch geholfen.

 

[tobi4]

Hallo,

heute wieder was, was ich nicht verstehen kann:

Mail von "Postfix SMTP server: errors from mail-qw0-f71.google.com[209.85.216.71]"

mit dem Inhalt:

Transcript of session follows.

Out: 220 ***.onlinehome-server.info ESMTP Postfix
In: EHLO mail-qw0-f71.google.com
Out: 250-***.onlinehome-server.info
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: STARTTLS
Out: 220 2.0.0 Ready to start TLS
In: EHLO mail-qw0-f71.google.com
Out: 250-***.onlinehome-server.info
Out: 250-PIPELINING
Out: 250-SIZE 10240000
Out: 250-ETRN
Out: 250-AUTH DIGEST-MD5 CRAM-MD5 PLAIN LOGIN
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN
In: MAIL
FROM:<3utriTgcLA3cijmZkgttjpopWZ.Xjho_x@youtube.bounces.google.com>
Out: 250 2.1.0 Ok
In: RCPT TO:<meine@domain.com>
Out: 451 4.3.0 Error: queue file write error
In: QUIT
Out: 221 2.0.0 Bye

Also - die Mail bei "In: RCPT TO:" kann nur Youtube bekannt sein, da ich diese ausschließlich dafür verwende. Und in dieser Benachrichtigung steht ja auch, dass die Mail von Youtube/Google kommt. Nur wodurch wurde sie erzeugt? Gibt's da Logfiles in denen mehr stehen könnte?

Im Wiki steht ja irgendwas von Catchall, und mit einer solchen Mailaddy die nicht existiert sondern einfach weiterleitet an die info@domain.com (welche nen Autoresponder hat), bin ich auch im Youtube angemeldet. Kann das damit was zu tun haben?

Gruß

 

[Roger Wilco]

In = eingehend (d. h. vom anderen MTA an deinen MTA), Out = ausgehend (d. h. von deinem MTA an den anderen MTA).

Out: 451 4.3.0 Error: queue file write error

Dem solltest du in deinen Mail Logs nachgehen. Die findest du i. d. R. im Verzeichnis /var/log/ auf deinem System.

 

[virtual2]

Jetzt weiß ich's genau. Danke. Link zu einer Erklärung hätte auch geholfen.

Plesk ist keine Alternative zur bash!

Daher: Erstmal Zuhause lernen bevor man sich im RZ einen Spambot an vollen 100Mbit aufbaut...

 

[tobi4]

Ich brauche das Teil und habe leider keine Zeit und Lust zum "Erstmal Zuhause lernen". Dass Plesk nur zur Domainverwaltung da ist, weiß ich auch. Root-Zugriff habe ich bei dem Teil deaktiviert und ansonsten sicheres Kennwort für den SSH Zugriff.

Anfang 2011 habe ich ihn bestellt und nun fast ein Jahr später kommen solche komischen Mails, die ja eigentlich völlig uninteressant sind und welche ich eigentlich gleich löschen könnte. Aber interessiert mich halt wodurch sie verursacht werden. Ist aber auch Wurscht, das Teil läuft und das ist gut.

@Roger Wilco
Werde mal das Logfile suchen und schauen...

Danke & Gruß

 

[486er]

Ich brauche das Teil und habe leider keine Zeit und Lust zum "Erstmal Zuhause lernen".

Danke auch, dass dein Server in nicht allzu ferner Zukunft wahrscheinlich unsere Server mit DDoS/Spam-Attacken beglückt.

 

[virtual2]

Och, wofür gibts HW Firewalls und 10Gbit Anbindung?

 

[Joe User]

Ich brauche das Teil und habe leider keine Zeit und Lust zum "Erstmal Zuhause lernen".

Du bist hier seit 08.2009 registriert, was vermuten lässt, dass Du mindestens ebenso lange einen Server betreibst, und hattest seit damals keine Zeit zum Lernen?
Sorry, aber soviel Lernresistenz verdient einfach nur ein schlichtes:

RTFM!

 

[486er]

Protip an den TE:

shutdown -h now