Wird mein Mailserver für Spam verwendet?

H

Herr-Vorragend

New Member
Hi,

ich habe seit Jahren einen vServer bei Strato. Vor ein paar Wochen habe ich eine Aktualisierung durchgeführt auf die neueste Ubuntu-Version. Seit wenigen Wochen erhalte ich plötzlich auf meine Standard-eMail-Adresse vor allem am Wochenende am Tag bestimmt 100 Mails, dass eine Mail nicht angekommen ist (Undelivered Mail...). Wird mein Mailserver zum Versand von Spam verwendet? Falls ja, was kann ich dagegen tun?

Viele Grüße
 
Hi,

hier eine typische Mail:
Received: (qmail 9654 invoked from network); 26 Jun 2011 15:59:13 +0200
Received: from ulric.tng.de (HELO mx-2.tng.de) (213.178.64.10)
by michaelholzhauser.de with SMTP; 26 Jun 2011 15:59:13 +0200
Received: by mx-2.tng.de (Postfix)
id 2B0C8105FF; Sun, 26 Jun 2011 15:59:13 +0200 (CEST)
Date: Sun, 26 Jun 2011 15:59:13 +0200 (CEST)
From: MAILER-DAEMON@ulric.tng.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: info@michaelholzhauser.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="AA82A105A1.1309096753/mx-2.tng.de"
Content-Transfer-Encoding: 8bit
Message-Id: <20110626135913.2B0C8105FF@mx-2.tng.de>

This is a MIME-encapsulated message.

--AA82A105A1.1309096753/mx-2.tng.de
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host mx-2.tng.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<ba@baltschug-kempinski.ru>: host mx-1.tng.de[213.178.66.81] said: 554 5.7.1
<ba@baltschug-kempinski.ru>: Relay access denied (in reply to RCPT TO
command)

--AA82A105A1.1309096753/mx-2.tng.de
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; mx-2.tng.de
X-Postfix-Queue-ID: AA82A105A1
X-Postfix-Sender: rfc822; info@michaelholzhauser.de
Arrival-Date: Sun, 26 Jun 2011 15:59:12 +0200 (CEST)

Final-Recipient: rfc822; ba@baltschug-kempinski.ru
Original-Recipient: rfc822;ba@baltschug-kempinski.ru
Action: failed
Status: 5.7.1
Remote-MTA: dns; mx-1.tng.de
Diagnostic-Code: smtp; 554 5.7.1 <ba@baltschug-kempinski.ru>: Relay access
denied

--AA82A105A1.1309096753/mx-2.tng.de
Content-Description: Undelivered Message Headers
Content-Type: text/rfc822-headers
Content-Transfer-Encoding: 8bit

Received: from [190.232.48.177] (unknown [190.232.48.177])
by mx-2.tng.de (Postfix) with ESMTP id AA82A105A1
for <ba@baltschug-kempinski.ru>; Sun, 26 Jun 2011 15:59:12 +0200 (CEST)
From: "ferrell uhn-soon" <info@michaelholzhauser.de>
To: "axel brent" <ba@baltschug-kempinski.ru>
Subject: =?koi8-r?B?7c/Ty9fBICjPwtXexc7JxSk=?=
Date: 26 Jun 2011 05:52:12 -0800
Message-ID: <003401cc3409$035dd62d$e82bbbbb$@michaelholzhauser.de>
MIME-Version: 1.0
Content-Type: text/plain;
charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: Ac74fk5oickdgomm74fk5oickdgomm==
Content-Language: ru
x-cr-hashedpuzzle: 2D4= fk5o ickd gomm 74fk 5oic kdgo mm74 fk5o ickd gomm 74fk 5oic kdgo mm74 fk5o;1;ickdgomm74fk5oickdgomm74fk5oickdgomm74fk5oickdgo;Sosha1_v1;7;{0D2EF2C9-AFD1-1594-B76B-5036488C0D2E};ZQB3AGUAZgfk5oickdgomm74fk5oickdgomm74fk5oickdgo;26 Jun 2011 05:52:12 -0800;mm74fk5oickdgomm
x-cr-puzzleid: {0D2EF2C9-AFD1-1594-B76B-5036488C0D2E}

--AA82A105A1.1309096753/mx-2.tng.de--
Click to expand...


Ich habe das ganze mal mit einem der Online-Tools getestet, was du mir geschickt hast, und die Antwort von meinem Server war immer
553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1)
Click to expand...
oder
553 we don't relay (#5.7.1)
Click to expand...

Das ist soweit gut, oder?
 
Herr-Vorragend said:
Code: 
Received: from [190.232.48.177] (unknown [190.232.48.177])
by mx-2.tng.de (Postfix) with ESMTP id AA82A105A1
for <ba@baltschug-kempinski.ru>; Sun, 26 Jun 2011 15:59:12 +0200 (CEST)
Click to expand...
Ein typischer Fall von Backup-MX ******e konfiguriert.

Irgendjemand hat mit einem Client mit der IP-Adresse 190.232.48.177 bei mx-2.tng.de mit deiner E-Mail-Adresse als Absender eine Spam-Mail an einen nicht-existenten Empfänger abgesetzt. Der MTA hat die Mail angenommen (doof) und erst gebounced, als mx-1.tng.de ihm verraten hat, dass der Empfänger nicht existiert (doppeldoof).

Siehe auch E-Mail-Header lesen und verstehen.
 
Das heißt für dich, dass du dich beim Betreiber von mx-1.tng.de und mx-2.tng.de für sein Setup bedanken darfst, wegen dessen du diese Bounce-Mails erhältst.

Dagegen tun kannst du nicht viel, außer die Bounces zu filtern, wenn sie dich nerven. SPF würde in diesem Fall auch nicht helfen. Ich bezweifle stark, dass mx-2.tng.de irgendeine Art von Validierung durchführt.
 
Nop, der Server kontrolliert wirklich nix :D
220 mx-2.tng.de ESMTP service ready
> ehlo google.com
< 250-mx-2.tng.de
< 250-PIPELINING
< 250-SIZE 62914560
< 250-VRFY
< 250-ETRN
< 250-ENHANCEDSTATUSCODES
< 250-8BITMIME
< 250 DSN
> mail from:<steve.jobs@apple.com>
< 250 2.1.0 Ok
> rcpt to:<ba@baltschug-kempinski.ru>
< 250 2.1.5 Ok
> data
< 354 End data with <CR><LF>.<CR><LF>
> Subject: Spam Bounce
> this is a spam bounce
> .
< 250 2.0.0 Ok: queued as E73A172F77
> quit
Click to expand...
 
Entweder sind die bei tng verdammt schnell oder die haben einen der Admins hier im Forum rumschwirren, nu gehts komischerweise ;D

Code: 
220 mx-2.tng.de ESMTP service ready
ehlo google.com
250-mx-2.tng.de
250-PIPELINING
250-SIZE 62914560
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
mail from:<steve.jobs@apple.com>
501 5.1.7 Bad sender address syntax
 
Variante 3: Du hast dich vertippt und die Meldung des MTA sagt dir das auch.

Code: 
220 mx-2.tng.de ESMTP service ready
ehlo there
250-mx-2.tng.de
250-PIPELINING
250-SIZE 62914560
250-VRFY
250-ETRN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN                                                                          
mail from:<steve.jobs@apple.com>      
250 2.1.0 Ok
quit
221 2.0.0 Bye
 
Ich hab exakt das selbe Problem, nur glaube ich rauszulesen dass hier die Nachrichten tatsächlich von meinem Server kommen.
Wie kann das sein?

Alle Nachrichten kommen von meinem Postfix ....

From - Sat Oct 13 18:14:26 2012
X-Account-Key: account4
X-UIDL: UID7088-1328794072
X-Mozilla-Status: 0000
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <MAILER-DAEMON>
X-Original-To: spam@ind3x.de
Delivered-To: spam@ind3x.de
Received: by ********.server4you.de (Postfix)
id 065FD32A403; Sat, 13 Oct 2012 12:41:56 +0200 (CEST)
Date: Sat, 13 Oct 2012 12:41:56 +0200 (CEST)
From: MAILER-DAEMON@********.server4you.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: spam@ind3x.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="BB94E32A402.1350124916/********.server4you.de"
Message-Id: <20121013104156.065FD32A403@********.server4you.de>

This is a MIME-encapsulated message.

--BB94E32A402.1350124916/********.server4you.de
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host ********.server4you.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<ben-66@freenet.de>: host mx.freenet.de[195.4.92.211] said: 550 spam message
rejected by 7.mx.freenet.de (in reply to end of DATA command)

--BB94E32A402.1350124916/********.server4you.de
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; ********.server4you.de
X-Postfix-Queue-ID: BB94E32A402
X-Postfix-Sender: rfc822; spam@ind3x.de
Arrival-Date: Sat, 13 Oct 2012 12:41:54 +0200 (CEST)

Final-Recipient: rfc822; ben-66@freenet.de
Original-Recipient: rfc822;ben-66@freenet.de
Action: failed
Status: 5.0.0
Remote-MTA: dns; mx.freenet.de
Diagnostic-Code: smtp; 550 spam message rejected by 7.mx.freenet.de

--BB94E32A402.1350124916/********.server4you.de
Content-Description: Undelivered Message
Content-Type: message/rfc822

Return-Path: <spam@ind3x.de>
Received: from ********.server4you.de (localhost.localdomain [127.0.0.1])
by ********.server4you.de (Postfix) with ESMTP id BB94E32A402
for <ben-66@freenet.de>; Sat, 13 Oct 2012 12:41:54 +0200 (CEST)
Received: from UETW-98187QW (unknown [178.172.222.105])
by ********.server4you.de (Postfix) with ESMTPSA
for <ben-66@freenet.de>; Sat, 13 Oct 2012 12:41:54 +0200 (CEST)
From: "BJ's Wholesale Club" <spam@ind3x.de>
Subject: Hi, Please take a look Your spambox! Just check for my mail!
To: ben-66@freenet.de
Content-Type: text/html
Reply-To: "BJ's Wholesale Club" <spam@ind3x.de>
Date: Sat, 13 Oct 2012 11:41:53 +0100

<html>HI!
If there is to many mails..<BR>
Request your own spam filter from your mail client! ctrl C Ctrl V <BR>
<BR> <BR> <BR> <BR> <BR> <BR> <BR>
<a href="http://www.alimentoparamascotas.cl/855101">http://www.youtube.com/watch?v=9CcrdTNmRd8&feature=g-vrec&feature=g-vrec</a><BR><BR>

BJ s Wholesale Club
</html>


--BB94E32A402.1350124916/********.server4you.de--
Click to expand...

Relay test hab ich gemacht mit
http://www.mailradar.com/openrelay/
All tested completed! No relays accepted by remote host!
Click to expand...

Sind die Nachrichten von meinem Server, oder von einem anderen?

In meinem Email-Postfach landen jetzt tausende (ca 15000) Emails mit "Mail delivery failed" u.ä.
 
Last edited by a moderator:
Der Spam wurde von
Code: 
 Received: from UETW-98187QW (unknown [178.172.222.105])
eingeliefert. Wieso, weshalb und warum verraten Dir Deine Logs.

EDIT:
Der Spammer hat gültige Zugangsdaten für SMTP-AUTH:
Code: 
 by ********.server4you.de (Postfix) with ESMTPSA
 
Last edited by a moderator:
Wenn da jemand es schon mal geschafft hat an gültige Zugangsdaten zu kommen wird das bestimmt wieder gelingen. Ich würde jetzt des weiteren nach der Lücke im System suchen über welche er es geschafft hat.
 
Das werde ich auch, aber erst wenn ich wieder daheim bin.
Das ist mir unterwegs vom Laptop aus zu stressig.

Wenn ich ihn mal zeitweise ausgesperrt hab bis Montag solls mir erstmal recht sein.
 
Wenn Du der einzige User bist, dann solltest Du mal ganz dringend Deine Clients (Laptop, Desktop, Smartphone, etc.) auf Malware abklopfen. Da bringt ein neues Passwort nämlich gar nichts.

Oder etwa über ein privates (W)LAN (Hotel, Bar, etc.) online gewesen, womöglich noch im Ausland (genauer: Weissrussland)?
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top