Webserver versucht ständig Mails zu verschicken

X

xChr1s

New Member
Hallo,

mir ist gestern und heute in Log Datein ein paar Merkwürdige Einträge aufgefallen.
Ich poste diese mal hier:
Code: 
Jul  4 09:24:54 kmxyz postfix/qmgr[6449]: 1AE933688157: from=<www-data@kmxyz.keymachine.de>, size=1228, nrcpt=1 (queue active)
Jul  4 09:24:54 kmxyz postfix/qmgr[6449]: AF2D93688158: from=<www-data@kmxyz.keymachine.de>, size=1218, nrcpt=1 (queue active)
Jul  4 09:24:54 kmxyz postfix/qmgr[6449]: 660A43688159: from=<www-data@kmxyz.keymachine.de>, size=1214, nrcpt=1 (queue active)
Jul  4 09:24:54 kmxyz postfix/smtp[7373]: AF2D93688158: host mx0.gmx.net[213.165.64.100] said: 451 4.1.8 Cannot resolve your domain {mx075} (in reply to MAIL FROM$
Jul  4 09:24:54 kmxyz postfix/smtp[7373]: AF2D93688158: to=<123@gmx.net>, relay=mx1.gmx.net[213.165.64.102]:25, delay=29877, delays=29877/0.01/0.17/0.07, ds$
Jul  4 09:24:55 kmxyz postfix/smtp[7372]: 1AE933688157: host mx-ha03.web.de[213.165.67.104] said: 451 Requested action aborted: local error in processing (in repl$
Jul  4 09:24:55 kmxyz postfix/smtp[7374]: 660A43688159: host mx-ha03.web.de[213.165.67.104] said: 451 Requested action aborted: local error in processing (in repl$
Jul  4 09:24:56 kmxyz postfix/smtp[7372]: 1AE933688157: to=<234@web.de>, relay=mx-ha02.web.de[213.165.67.120]:25, delay=29879, delays=29877/0.01/1.1/$
Jul  4 09:24:56 kmxyz postfix/smtp[7374]: 660A43688159: to=<345@web.de>, relay=mx-ha02.web.de[213.165.67.120]:25, delay=29879, delays=29877/0.01/1.1/1, dsn=4.0$
Dieses Logfragment tritt auch immer wieder auf und spamt den Log voll.

Wenn ich das richtige verstehe, gibt der Webuser den Befehl eine Mail zu verschicken. Die gehen aber irgendwie nicht raus und hänger in der Postfix queue rum. Wenn ich den Mailserver normal nutze gehen alle Mails normal durch.
Seltsam ist das immer die gleichen 3 Personen als Emailempfänger auftreten. Kann man irgendwie herausfinden wo genau diese Emails herkommen? Auf dem Webserver läuft eigentlich fast gar nichts...
Möchte nur nicht dass mein Server irgendwie zur Spamschleuder wird.

Würde mich über Hilfe sehr freuen.
System ist Debian 6 mit allen Updates und als Administrationssoftware dient Froxlor.

Gruß Chris
 
Als erster Anhaltspunkt dient das Access-Log des Webservers.
Da vergleichst Du die Uhrzeit der Zugriffe mit den Uhrzeiten aus dem Email-Log und bist schon auf einer heissen Spur :-)

beste Grüße,
Nils
 
Hallo remote_mind,

hab mir mal die kompletten Logs vom Webserver angeschaut, access/error, aber leider stehen dort keine Informationen drinnen. In der Access.log taucht zu den Uhrzeiten nur eine internal Dummy connection auf. Un gelegentlich mal ein dfind von w00tw00t...

Gruß Chris
 
Falls es Deine Policy zulässt, hast Du den Inhalt der Emails mal geprüft um'ne Ahnung zu haben ob hier SPAM oder HAM verschickt werden will?
 
Du musst schon die ursprüngliche Einlieferungszeit der Mails als Basis nehmen und nicht die Requeuezeiten.


Bist Du Dir zu 100% sicher, dass Dein System zum Zeitpunkt des ersten Spamversuchs vollständig auf dem aktuellen Stand war und heute noch ist? Nicht irgendein kleines Paket, oder eine WebApp, oder Modul vergessen? Alles sauber konfiguriert?
 
Also ich hab den vServer vor ca. 3 Wochen komplett neu eingerichtet. Bin mir ziemlich sicher, dass dort alles, auch was WebApp's angeht, auf dem neusten Stand war.
Wie genau finde ich denn die Requesttime heraus? Ist das einfach die Zeit - Delay? Wenn es so sein sollte, dann ist dort auch nichts in den Log Dateien.

Hatte gestern schon einmal den Mailqueue gelöscht und heut morgen waren wieder die 3 Mails drin. Sobald sie da sind, werde ich mal ein Blick hineinwerfen.

Gruß Chris
 
Quelle gefunden

bHallo,

ich habe mir heute Morgen mal eine Email angeschaut die auf dem Server lag und mal wieder nicht versandt werden konnte und sie kommt vom phpBB3, in diesem Fall dass eine priv. Nachricht vorliegt.

Was mich nun wundert ist, warum der Server die Email nicht ausliefern kann. Das Problem tritt anscheinend auf wenn die Mail über den Webserver in Auftrag gegeben wird und zwar an Web.de und Gmx. Ich habe vorhin an eine Dummymail Adresse von mir bei Web.de eine Mail über ein festes Konto geschickt und es ging ohne Probleme. Die vom Board generierten Emails landen auch auf meiner persönlichen Emailadresse, wenn ich z.B. eine neue Nachricht habe.

Ich poste mal hier nochmal das Logfragment:
Code: 
Jul  4 23:31:24 kmxyz postfix/qmgr[6449]: DC76F3688157: from=<www-data@kmxyz.keymachine.de>, size=1259, nrcpt=1 (queue active)
Jul  4 23:31:25 kmxyz postfix/smtp[9064]: DC76F3688157: host mx-ha02.web.de[213.165.67.120] said: 451 Requested action aborted: local error in processing (in reply to MAIL FROM command)
Jul  4 23:31:26 kmxyz postfix/smtp[9064]: DC76F3688157: to=<abc@web.de>, relay=mx-ha03.web.de[213.165.67.104]:25, delay=2.4, delays=0.19/0.01/1.1/1, dsn=4.0.0,$
Jul  4 23:39:54 kmxyz postfix/qmgr[6449]: DC76F3688157: from=<www-data@kmxyz.keymachine.de>, size=1259, nrcpt=1 (queue active)

Ich verstehe einfach nicht warum der Mailserver hier sagt: local error in processing (in reply to MAIL FROM command) wo es auch bei anderen Emailadressen geht...

Freue mich über jede Hilfe.

Gruß Chris
 
Prüfe mal mit welcher Absendeadresse (Body-From aber vor allem auch Envelope-From) deine vom Webserver generierten Mail rausgehen. GMX und Web.de sind hier (zu recht IMHO) etwas pingelig.

Ebenfalls solltest Du kontrollieren, ob dein EHLO richtig gesetzt und auflösbar ist.

"Requested action aborted: local error in processing (in reply to MAIL FROM command)"
deutet aber darauf hin dass dein Envelope-From das Problem sein könnte.

beste Grüße,
Nils
 
Wie genau kann ich das denn nachschauen mit dem Body-From?
Der EHLO sieht eigentlich ordentlich aus, bin aber was Mailserver angeht auch kein Experte, da ich ihn auch meist nicht viel nutze.
Code: 
220 kmxyz.keymachine.de ESMTP Postfix (Debian/GNU)
EHLO mydomain.tld
250 kmxyz.keymachine.de
250-PIPELINING
250-SIZE 52428800
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Hab mal in eine der Mails nochmal reingeschaut und es sieht so aus (hoffe das Hilft weiter):

Code: 
*** ENVELOPE RECORDS deferred/7/7655A368815C ***
message_size:            1211             194               1               0            1211
message_arrival_time: Thu Jul  5 09:55:37 2012
create_time: Thu Jul  5 09:55:37 2012
named_attribute: rewrite_context=local
sender_fullname: www-data
sender: www-data@kmxyz.keymachine.de
*** MESSAGE CONTENTS deferred/7/7655A368815C ***
Received: by kmxyz.keymachine.de (Postfix, from userid 33)
        id 7655A368815C; Thu,  5 Jul 2012 09:55:37 +0200 (CEST)
To: =?UTF-8?B?Rm9ybGFz?= <xyz@web.de>
Subject: =?UTF-8?B?QmVudXR6ZXJrb250byBha3RpdmllcmVu?=
X-PHP-Originating-Script: 10000:functions_messenger.php
From: <admin@mydomain.tld>
Reply-To: <admin@mydomain.tld>
Sender: <admin@mydomain.tld>
MIME-Version: 1.0
Message-ID: <69e454abd90926d9daaf73bac8062a98@www.mydomain.tld>
Date: Thu, 05 Jul 2012 09:55:37 +0200
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: phpBB3
X-MimeOLE: phpBB3
X-phpBB-Origin: phpbb://forum.mydomain.tld

EMAIL TEXT

*** HEADER EXTRACTED deferred/7/7655A368815C ***
named_attribute: encoding=8bit
original_recipient: xyz@web.de
recipient: xyz@web.de
*** MESSAGE FILE END deferred/7/7655A368815C ***
 
Last edited by a moderator:
Wenn Du dir schon den SMTP-Dialog anschaust, schau doch mal was bei den betreffenden Mail bei MAIL FROM: <...> steht.

Das ist dann dein Envelope From, mit dem es (scheinbar) Probleme gibt.

schöne Grüße,
Nils
 
Steht das nicht oben drin das:

From: <admin@mydomain.tld>

Eigentlich sollte er da nicht meckern. Hab das Problem jetzt erstmal gelöst, dass das phpBB3 direkt über den SMTP schickt und nicht über phpmail.
Da kommen direkt die Emails an ohne Probleme...

Die Frage die ich mir stelle ist, was ist sicherer, wenn die Email über das PHP-Skript weitergereicht wird oder wenn sich der Webserver direkt am SMTP anmeldet.

Gruß Chris
 
kleiner tipp

es lohnt sich immer in die vhost konfiguration einen php mailforce parameter einzubauen,
der das lästige www-data@localhost überschreibt:

php_admin_value mail.force_extra_parameters "-f www-data@<domain>"


so lässt sich relativ leicht rausfinden, wer der verursacher ist ;)

LG
Patrick
 
You must log in or register to reply here.
Back
Top