wie kann ich den user einer email herausfinden?

[Universe]

Hallo Allerseits,

ich habe SUSE 10.0 mit Plesk 8.0

Die letzten Tage wurde mir sehr geholfen meine email Queue wieder in den Griff zu bekommen, vielen Dank.

Nachdem ich qmHandle einigermassen verstehe, bemerke ich daß viele emails (sehr wahrscheinlich Spam) wieder anfangen die Queue zu füllen. Wenn ich in Plesk die Queue anschaue sehe ich nur emails mit Asiatischen Schriftzeichen. Auf dem Server habe ich zwei user aus Asien, die ich auf Verdacht suspendiert habe, aber die Queue füllt sich immer noch mit den asiatischen emails.

Received: (qmail 2541 invoked from network); 16 Jun 2007 19:30:53 +0200
Received: from unknown (HELO SERVER251) (211.144.105.5)
  by h1051577.serverkompetenz.net with SMTP; 16 Jun 2007 19:30:52 +0200
From: "Ddxz" <>
To: "ws" <[email protected]>
Subject: =?GB2312?B?yrLDtMrHS1BJo6zI57rO17zIt7XYwO294jg3MzQz?=
Date: Sun, 17 Jun 2007 01:30:17 +0800
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

hier habe ich eine der asiatischen emails aufgeführt, aber ich werde nicht schlau daraus. Wie kann ich den user dieser email herausfinden ?

Bin wie immer sehr dankbar für jegliche Unterstützung

Grüße
Frank

 

[flyingoffice]

Hallo!

Die SMTP Anmeldungen der User werden doch ebenfalls ins Log geschrieben. Bei meinem Plesk 7.5 finden sie sich in /var/log/messages

Jun 16 00:04:23 h123456 smtp_auth: SMTP connect from [email protected] [217.238.72.192]
Jun 16 00:04:23 h123456 smtp_auth: smtp_auth: SMTP user hostmaster : /var/qmail/mailnames/meinedomain.tld/hostmaster logged in from [email protected] [217.238.72.192]

Jetzt muß man nur noch nach dem betreffenden Zeitstempel suchen und die Logs vergleichen, schon hast Du den befreffenden User identifiziert.

Gruß flyingoffice

 

[Universe]

Hi,

danke für die rasche Antwort

also, hier die logfile messages mit entsprechendem Zeitstempel

Jun 16 19:30:47 h1051577 pop3d: IMAP connect from @ [217.233.145.136]INFO: LOGIN, user=infonews, ip=[217.233.145.136]
Jun 16 19:30:50 h1051577 pop3d:
Jun 16 19:30:50 h1051577 relaylock: /var/qmail/bin/relaylock: mail from 211.144.105.5:2059 (not defined)
Jun 16 19:30:50 h1051577 pop3d: IMAP connect from @ [66.183.92.65]INFO: LOGIN, user=richard, ip=[66.183.92.65]
Jun 16 19:30:52 h1051577 smtp_auth: SMTP connect from unknown@ [211.144.105.5]
Jun 16 19:30:52 h1051577 smtp_auth: smtp_auth: SMTP user test : [B]/var/qmail/mailnames/123456.net/test [/B]logged in from unknown@ [211.144.105.5]
Jun 16 19:30:53 h1051577 qmail-queue[2539]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Jun 16 19:30:53 h1051577 qmail-queue[2539]: scan: the message(drweb.tmp.9DyBDL) sent by  to [email protected] should be passed without checks, because contains uncheckable addresses

gehe ich recht in der Annahme, daß die email von der domain 123456.net (Name geändert) ausgeht ?

Vielen Dank im Voraus

Frank

 

[flyingoffice]

Hallo!

Ja, denn Zeitstempel und IP Adresse sind Deckungsgleich.

Gruß flyingoffice

 

[Universe]

Hallo flyingoffice,

vielen Dank für Deine Hilfe

Habe den account jetzt vorerst suspendiert

Grüße
Frank