Webserver Problem...

Christian Westendorf

22 Jan 2006 22 Jan '06

13:47

Hallo, ich wollte mal fragen woran es liegen kann, das jemand über diese adresse: nameyx@server01.meinedomain.de Mails verschickt? Ich habe das jetzt schon zum dritten Mal und hätte gerne einen Tipp wo ich anfangen kann zu suchen um das abzustellen. Vielen Dank schon mal... Christian

Show replies by date

René Falk

22 Jan 22 Jan

15:41

Am Sonntag, 22. Januar 2006 14:47 schrieb Christian Westendorf:

...

Hallo,

ich wollte mal fragen woran es liegen kann, das jemand über diese adresse:

nameyx@server01.meinedomain.de Mails verschickt?

Ich habe das jetzt schon zum dritten Mal und hätte gerne einen Tipp wo ich anfangen kann zu suchen um das abzustellen.

Man kann Dir schlecht helfen, wenn Du keine Details lieferst. Woran merkst Du das? Grüße René

Christian Westendorf

16:09

René Falk schrieb:

...

Am Sonntag, 22. Januar 2006 14:47 schrieb Christian Westendorf:

...
Hallo,

ich wollte mal fragen woran es liegen kann, das jemand über diese adresse:

nameyx@server01.meinedomain.de Mails verschickt?

Ich habe das jetzt schon zum dritten Mal und hätte gerne einen Tipp wo ich anfangen kann zu suchen um das abzustellen.

Man kann Dir schlecht helfen, wenn Du keine Details lieferst. Woran merkst Du das?

Grüße

René

Sorry! Das merke ich daran, dass ich ab und zu mal so eine Mail bei mir im Postfach habe. in dieser Mail ist definitiv Spam enthalten. Denn vom Inhalt her sind es Mails die ich vor geraumer Zeit selbst bekommen habe. Was für Details werden noch benötigt? Gruß Christian

René Falk

16:35

Am Sonntag, 22. Januar 2006 17:09 schrieb Christian Westendorf:

...

Sorry! Das merke ich daran, dass ich ab und zu mal so eine Mail bei mir im Postfach habe. in dieser Mail ist definitiv Spam enthalten. Denn vom Inhalt her sind es Mails die ich vor geraumer Zeit selbst bekommen habe. Was für Details werden noch benötigt?

Der Header so einer Mail wäre interessant, um Anhaltspunkte für der Transportweg zu bekommen. Übrigens reicht es an die Mailingliste zu antworten. Eine zusätzliche Mail per PM ist absolut überflüssig. Was soll man mit doppelten Mails? Grüße René

Christian Westendorf

16:38

René Falk schrieb:

...

Am Sonntag, 22. Januar 2006 17:09 schrieb Christian Westendorf:

Der Header so einer Mail wäre interessant, um Anhaltspunkte für der Transportweg zu bekommen.

Übrigens reicht es an die Mailingliste zu antworten. Eine zusätzliche Mail per PM ist absolut überflüssig. Was soll man mit doppelten Mails?

Grüße

René

So sieht der Header zum Beispiel aus... Betreff: Re: this relates to your web site Von: Vicki@server01.deronlineshop.de, Hyde@server01.deronlineshop.de Datum: Thu, 22 Dec 2005 09:54:58 +0100 (CET) An: accounting@4r4.de X-Account-Key: account3 Return-Path: X-Original-To: accounting@4r4.de Delivered-To: web3p10@server01.deronlineshop.de Received: from 81.169.179.149 (unknown [218.11.202.115]) by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22 Dec 2005 09:54:58 +0100 (CET) X-Message-Info: 14jTKxawRF67VUMw695lcoFwqmNUQ3VKR014wbfNGHbSFB017 Received: from dns324imagelink.com.br (96.20.96.121) by l83-g2.adv.es with Microsoft SMTPSVC(5.0.2195.6824); Thu, 22 Dec 2005 22:50:09 -0200 Received: from lcs.com.hk (127.0.0.1) by dnswella.at (SMTPD32-7.12 ) id MAU0CR702; Thu, 22 Dec 2005 20:54:09 -0400 Nachricht-ID: <524739580.Q837@crstudio.it > Content-Type: multipart/alternative; boundary="--2977639497178879" Wobei Thema und Return-Path wchseln. Gruß Christian

Sandy Drobic

16:46

Christian Westendorf wrote:

...

René Falk schrieb:

...
Am Sonntag, 22. Januar 2006 17:09 schrieb Christian Westendorf: Der Header so einer Mail wäre interessant, um Anhaltspunkte für der Transportweg zu bekommen.

Übrigens reicht es an die Mailingliste zu antworten. Eine zusätzliche Mail per PM ist absolut überflüssig. Was soll man mit doppelten Mails?

Grüße

René

So sieht der Header zum Beispiel aus...

Betreff: Re: this relates to your web site Von: Vicki@server01.deronlineshop.de, Hyde@server01.deronlineshop.de Datum: Thu, 22 Dec 2005 09:54:58 +0100 (CET)

An: accounting@4r4.de

X-Account-Key: account3 Return-Path: X-Original-To: accounting@4r4.de Delivered-To: web3p10@server01.deronlineshop.de Received: from 81.169.179.149 (unknown [218.11.202.115]) by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22

Okay, also eine typische Spammail, die von einem trojanisiertem Rechner verschickt wurde. Du kannst Blacklists verwenden, die den Empfang von dynamischen Adressen ablehen, du kannst auch einige andere Restriktionen setzen, die Spamware das Leben schwer macht. Komplett kann man Spams jedoch nicht unterdrücken.

...

Dec 2005 09:54:58 +0100 (CET) X-Message-Info: 14jTKxawRF67VUMw695lcoFwqmNUQ3VKR014wbfNGHbSFB017 Received: from dns324imagelink.com.br (96.20.96.121) by l83-g2.adv.es with Microsoft SMTPSVC(5.0.2195.6824); Thu, 22 Dec 2005 22:50:09 -0200 Received: from lcs.com.hk (127.0.0.1) by dnswella.at (SMTPD32-7.12 ) id MAU0CR702; Thu, 22 Dec 2005 20:54:09 -0400

Gefälschte Headerzeilen, SA gibt für so etwas saftige Punkte und markiert das dann als Spam. Poste doch mal die Ausgabe von "postconf -n", dann kann man schon eher sehen, wie dein Mailserver konfiguriert ist, und was optimiert werden kann. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Christian Westendorf

16:55

Sandy Drobic schrieb:

...

Christian Westendorf wrote:

...
René Falk schrieb:

...
Am Sonntag, 22. Januar 2006 17:09 schrieb Christian Westendorf: Der Header so einer Mail wäre interessant, um Anhaltspunkte für der Transportweg zu bekommen.

Übrigens reicht es an die Mailingliste zu antworten. Eine zusätzliche Mail per PM ist absolut überflüssig. Was soll man mit doppelten Mails?

Grüße

René

So sieht der Header zum Beispiel aus...

Betreff: Re: this relates to your web site Von: Vicki@server01.deronlineshop.de, Hyde@server01.deronlineshop.de Datum: Thu, 22 Dec 2005 09:54:58 +0100 (CET)

An: accounting@4r4.de

X-Account-Key: account3 Return-Path: X-Original-To: accounting@4r4.de Delivered-To: web3p10@server01.deronlineshop.de Received: from 81.169.179.149 (unknown [218.11.202.115]) by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22

Okay, also eine typische Spammail, die von einem trojanisiertem Rechner verschickt wurde. Du kannst Blacklists verwenden, die den Empfang von dynamischen Adressen ablehen, du kannst auch einige andere Restriktionen setzen, die Spamware das Leben schwer macht. Komplett kann man Spams jedoch nicht unterdrücken.

...
Dec 2005 09:54:58 +0100 (CET) X-Message-Info: 14jTKxawRF67VUMw695lcoFwqmNUQ3VKR014wbfNGHbSFB017 Received: from dns324imagelink.com.br (96.20.96.121) by l83-g2.adv.es with Microsoft SMTPSVC(5.0.2195.6824); Thu, 22 Dec 2005 22:50:09 -0200 Received: from lcs.com.hk (127.0.0.1) by dnswella.at (SMTPD32-7.12 ) id MAU0CR702; Thu, 22 Dec 2005 20:54:09 -0400

Gefälschte Headerzeilen, SA gibt für so etwas saftige Punkte und markiert das dann als Spam.

Poste doch mal die Ausgabe von "postconf -n", dann kann man schon eher sehen, wie dein Mailserver konfiguriert ist, und was optimiert werden kann.

Sandy Also definitiv kein Spam der von meinem Server kommt? Ausgabe "postconf -n" :

alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix content_filter = daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no inet_interfaces = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = server01.deronlineshop.de newaliases_path = /usr/bin/newaliases program_directory = /usr/lib/postfix queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = no smtpd_client_restrictions = smtpd_helo_required = no smtpd_helo_restrictions = smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 450 Gruß Christian

Sandy Drobic

18:25

Christian Westendorf wrote:

...

...
Poste doch mal die Ausgabe von "postconf -n", dann kann man schon eher sehen, wie dein Mailserver konfiguriert ist, und was optimiert werden kann.

Sandy

Also definitiv kein Spam der von meinem Server kommt?

Nein, er wurde ZU deinem Server geschickt. Leider ist es so, dass die Adressensammler inzwischen sehr fleissig sind und alle Adressen bespammen, die sie über Web-Archive etc. finden können. Hier mal eine präzise Analyse, die hoffentlich die Verwirrung beendet:

...

Received:from 81.169.179.149

Der sendende Server hat sich selbst als "81.169.179.149" ausgegeben in der HELO-Phase, eine übliche Spammermethode. Dies kannst du unterbinden, siehe unten.

...

(unknown [218.11.202.115])

Postfix hat jedoch festgestellt, dass der Sender mit der IP 218.11.202.115 keinen Reverse-DNS Eintrag hat und bezeichnet ihn deshalb als "unknown".

...

by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22

empfangen von deinem Server mit Queue-ID und Zeit. Deine Konfig ist nach erstem Anschein kein Problem und nicht als Relay missbrauchbar. Es gibt einen Punkt, der da noch vielleicht geklärt werden sollte, und das ist, ob Postfix Mails an nicht existierende Empfänger korrekt ablehnt. katgar:~ # telnet server01.deronlineshop.de 25 Trying 81.169.179.149... Connected to server01.deronlineshop.de. Escape character is '^]'. 220 server01.deronlineshop.de ESMTP Postfix ehlo japantest.homelinux.com 250-server01.deronlineshop.de 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250 8BITMIME mail from: 250 Ok rcpt to: 450 : User unknown in local recipient table quit Okay, fast gut, jetzt muss nur noch der Reject Code auf 550 gesetzt werden. Schöner wäre es auch, wenn erst nach einer verschlüsselten Verbindung Benutzername und Passwort geschickt würden. Ich werde mal einige Verbesserungen hereinschreiben. Bitte bedenke, dass die Änderungen erst nach einem "postfix reload" übernommen werden!

...

Ausgabe "postconf -n" :

alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix content_filter = daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no inet_interfaces = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = server01.deronlineshop.de

Hier würde ich noch einfügen: mynetworks = 81.169.179.149, 127.0.0.0/8 Postfix setzt, wenn der Parameter nicht manuell gesetzt wird, das gesamte Subnetz der IP in mynetworks, eventuell können so benachbarte IPs deinen Server als Relay missbrauchen. Es müssen alle IPs hier drin stehen, denen Postfix als Relay zur Verfügung stehen soll.

...

newaliases_path = /usr/bin/newaliases program_directory = /usr/lib/postfix queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = no

smtp_use_tls = yes Dann sendet Postfix verschlüsselt, wenn der empfangende Server dies anbietet.

...

smtpd_client_restrictions =

smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org reject_rbl_client: drei Blacklists, die konservativ geführt werden und bisher bei mir keine erwünschten Server abgewiesen haben (Ausnahme: list.dsbl.org hatte GMX auf der Blacklist, als GMX vor einiger Zeit Mist gebaut hatte und zum Open Relay wurde. Ich hatte dann auch über GMX ein paar Viren zugeschickt bekommen.)

...

smtpd_helo_required = no

smtpd_helo_required = yes Alle sendenden Clients müssen sich mit HELO melden. Dies ist von RFC 2821 vorgeschrieben.

...

smtpd_helo_restrictions =

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname reject_invalid_hostname: Weise alle Clients ab, die sich mit einem ungültigem HELO-Namen vorstellen. Dazu zählen auch die Clients, die sich mit deiner eigenen IP-Adresse vorstellen wie in der von dir zitierten Mail.

...

smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_non_fqdn_sender, reject_non_fqdn_recipient, Lehne Mails ab, die nicht deine Domain enthalten.

...

smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 450

Setze dies auf 550, ansonsten versuchen sendende Server immer wieder, eine falsch getippte Mail zuzustellen, denn 450 ist der Returncode für einen temporären Fehler. Es gibt noch vieles mehr, was man machen kann, aber die genannten Maßnahmen sollten Spam bereits um vieles reduzieren mit sehr wenig Aufwand und keinem Pflegebedarf. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Christian Westendorf

18:38

Sandy Drobic schrieb:

...

Christian Westendorf wrote:

...
...
Poste doch mal die Ausgabe von "postconf -n", dann kann man schon eher sehen, wie dein Mailserver konfiguriert ist, und was optimiert werden kann.

Sandy

Also definitiv kein Spam der von meinem Server kommt?

Nein, er wurde ZU deinem Server geschickt. Leider ist es so, dass die Adressensammler inzwischen sehr fleissig sind und alle Adressen bespammen, die sie über Web-Archive etc. finden können.

Hier mal eine präzise Analyse, die hoffentlich die Verwirrung beendet:

...
Received:from 81.169.179.149

Der sendende Server hat sich selbst als "81.169.179.149" ausgegeben in der HELO-Phase, eine übliche Spammermethode. Dies kannst du unterbinden, siehe unten.

...
(unknown [218.11.202.115])

Postfix hat jedoch festgestellt, dass der Sender mit der IP 218.11.202.115 keinen Reverse-DNS Eintrag hat und bezeichnet ihn deshalb als "unknown".

...
by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22

empfangen von deinem Server mit Queue-ID und Zeit.

Deine Konfig ist nach erstem Anschein kein Problem und nicht als Relay missbrauchbar. Es gibt einen Punkt, der da noch vielleicht geklärt werden sollte, und das ist, ob Postfix Mails an nicht existierende Empfänger korrekt ablehnt.

katgar:~ # telnet server01.deronlineshop.de 25 Trying 81.169.179.149... Connected to server01.deronlineshop.de. Escape character is '^]'. 220 server01.deronlineshop.de ESMTP Postfix ehlo japantest.homelinux.com 250-server01.deronlineshop.de 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250 8BITMIME mail from: 250 Ok rcpt to: 450 : User unknown in local recipient table quit

Okay, fast gut, jetzt muss nur noch der Reject Code auf 550 gesetzt werden.

Schöner wäre es auch, wenn erst nach einer verschlüsselten Verbindung Benutzername und Passwort geschickt würden.

Ich werde mal einige Verbesserungen hereinschreiben. Bitte bedenke, dass die Änderungen erst nach einem "postfix reload" übernommen werden!

...
Ausgabe "postconf -n" :

alias_maps = hash:/etc/aliases broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix content_filter = daemon_directory = /usr/lib/postfix debug_peer_level = 2 defer_transports = disable_dns_lookups = no inet_interfaces = all mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mydestination = $myhostname, localhost.$mydomain myhostname = server01.deronlineshop.de

Hier würde ich noch einfügen:

mynetworks = 81.169.179.149, 127.0.0.0/8

Postfix setzt, wenn der Parameter nicht manuell gesetzt wird, das gesamte Subnetz der IP in mynetworks, eventuell können so benachbarte IPs deinen Server als Relay missbrauchen. Es müssen alle IPs hier drin stehen, denen Postfix als Relay zur Verfügung stehen soll.

...
newaliases_path = /usr/bin/newaliases program_directory = /usr/lib/postfix queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = hash:/etc/postfix/sender_canonical sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = no

smtp_use_tls = yes Dann sendet Postfix verschlüsselt, wenn der empfangende Server dies anbietet.

...
smtpd_client_restrictions =

smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org

reject_rbl_client: drei Blacklists, die konservativ geführt werden und bisher bei mir keine erwünschten Server abgewiesen haben (Ausnahme: list.dsbl.org hatte GMX auf der Blacklist, als GMX vor einiger Zeit Mist gebaut hatte und zum Open Relay wurde. Ich hatte dann auch über GMX ein paar Viren zugeschickt bekommen.)

...
smtpd_helo_required = no

smtpd_helo_required = yes

Alle sendenden Clients müssen sich mit HELO melden. Dies ist von RFC 2821 vorgeschrieben.

...
smtpd_helo_restrictions =

smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname

reject_invalid_hostname: Weise alle Clients ab, die sich mit einem ungültigem HELO-Namen vorstellen. Dazu zählen auch die Clients, die sich mit deiner eigenen IP-Adresse vorstellen wie in der von dir zitierten Mail.

...
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_non_fqdn_sender, reject_non_fqdn_recipient,

Lehne Mails ab, die nicht deine Domain enthalten.

...
smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = hash:/etc/postfix/access smtpd_use_tls = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 450

Setze dies auf 550, ansonsten versuchen sendende Server immer wieder, eine falsch getippte Mail zuzustellen, denn 450 ist der Returncode für einen temporären Fehler.

Es gibt noch vieles mehr, was man machen kann, aber die genannten Maßnahmen sollten Spam bereits um vieles reduzieren mit sehr wenig Aufwand und keinem Pflegebedarf.

Sandy Vielen herzlichen Dank für diese ausführliche Hilfestellung. Wo kann ich noch mehr darüber erfahren und vorallem für die Zukunft lernen? Damit gar nicht erst eine kleine Panik ausbrechen muss... :-)

Gruß Christian

Sandy Drobic

18:51

Christian Westendorf wrote:

...

Vielen herzlichen Dank für diese ausführliche Hilfestellung. Wo kann ich noch mehr darüber erfahren und vorallem für die Zukunft lernen? Damit gar nicht erst eine kleine Panik ausbrechen muss... :-)

Schnappe dir mal "Das Postfix-Buch" von Patrick und Ralf, das erklärt recht gut, wie Postfix funktioniert. Nicht billig, aber definitiv das Geld wert. Die Dokumentation auf http://www.postfix.org/documentation.html ist ebenfall sehr gut, aber nicht so strukturiert wie das Lehrbuch, es ist eher als Referenz gedacht (und eben nur in Englisch). Bis man seinen Mailserver wirklich versteht, braucht man schon einige Monate intensiven Lernens, wie für jeden umfangreichen Serverdienst. Apache lernt man auch nicht in zwei Wochen zu verstehen. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

René Falk

17:17

Am Sonntag, 22. Januar 2006 17:38 schrieb Christian Westendorf:

...

So sieht der Header zum Beispiel aus...

Betreff: Re: this relates to your web site Von: Vicki@server01.deronlineshop.de, Hyde@server01.deronlineshop.de Datum: Thu, 22 Dec 2005 09:54:58 +0100 (CET)

An: accounting@4r4.de

X-Account-Key: account3 Return-Path: X-Original-To: accounting@4r4.de Delivered-To: web3p10@server01.deronlineshop.de Received: from 81.169.179.149 (unknown [218.11.202.115]) by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22 Dec 2005 09:54:58 +0100 (CET) X-Message-Info: 14jTKxawRF67VUMw695lcoFwqmNUQ3VKR014wbfNGHbSFB017

deronlineshop.de und 81.169.179.149 werden laut RIPE von Strato gehosted. Die Domain steht "under construction". Könnte sein, das deren Mailserver falsch oder noch nicht fertig konfiguriert ist, und als Relay missbraucht wird. Abuse Contact: abuse@serverkompetenz.de in case of Spam, ... Da könnte man sich mal melden. Allerdings reagieren die Firmen nicht immer bzw. nicht sehr schnell auf so was.

...

Received: from dns324imagelink.com.br (96.20.96.121) by l83-g2.adv.es with Microsoft SMTPSVC(5.0.2195.6824); Thu, 22 Dec 2005 22:50:09 -0200 Received: from lcs.com.hk (127.0.0.1) by dnswella.at (SMTPD32-7.12 ) id MAU0CR702; Thu, 22 Dec 2005 20:54:09 -0400 Nachricht-ID: <524739580.Q837@crstudio.it >

Die Mail kommt ziemlich weit rum, vermutlich haben sich ein paar Server einen Spambot eingefangen. Grüße René

Christian Westendorf

17:25

René Falk schrieb:

...

Am Sonntag, 22. Januar 2006 17:38 schrieb Christian Westendorf:

...
So sieht der Header zum Beispiel aus...

Betreff: Re: this relates to your web site Von: Vicki@server01.deronlineshop.de, Hyde@server01.deronlineshop.de Datum: Thu, 22 Dec 2005 09:54:58 +0100 (CET)

An: accounting@4r4.de

X-Account-Key: account3 Return-Path: X-Original-To: accounting@4r4.de Delivered-To: web3p10@server01.deronlineshop.de Received: from 81.169.179.149 (unknown [218.11.202.115]) by server01.deronlineshop.de (Postfix) with SMTP id 0752F510008; Thu, 22 Dec 2005 09:54:58 +0100 (CET) X-Message-Info: 14jTKxawRF67VUMw695lcoFwqmNUQ3VKR014wbfNGHbSFB017

deronlineshop.de und 81.169.179.149 werden laut RIPE von Strato gehosted. Die Domain steht "under construction". Könnte sein, das deren Mailserver falsch oder noch nicht fertig konfiguriert ist, und als Relay missbraucht wird. Abuse Contact: abuse@serverkompetenz.de in case of Spam, ... Da könnte man sich mal melden. Allerdings reagieren die Firmen nicht immer bzw. nicht sehr schnell auf so was.

...
Received: from dns324imagelink.com.br (96.20.96.121) by l83-g2.adv.es with Microsoft SMTPSVC(5.0.2195.6824); Thu, 22 Dec 2005 22:50:09 -0200 Received: from lcs.com.hk (127.0.0.1) by dnswella.at (SMTPD32-7.12 ) id MAU0CR702; Thu, 22 Dec 2005 20:54:09 -0400 Nachricht-ID: <524739580.Q837@crstudio.it >

Die Mail kommt ziemlich weit rum, vermutlich haben sich ein paar Server einen Spambot eingefangen.

Grüße

René

Genau das habe ich befürchtet... nur das der Server deronlineshop.de meiner ist. :-( was kann ich tun um das abzustellen? Gruß Christian

René Falk

17:50

Am Sonntag, 22. Januar 2006 18:25 schrieb Christian Westendorf:

...

René Falk schrieb:

...

...
deronlineshop.de und 81.169.179.149 werden laut RIPE von Strato gehosted. Die Domain steht "under construction". Könnte sein, das deren Mailserver falsch oder noch nicht fertig konfiguriert ist, und als Relay missbraucht wird. Abuse Contact: abuse@serverkompetenz.de in case of Spam, ... Da könnte man sich mal melden. Allerdings reagieren die Firmen nicht immer bzw. nicht sehr schnell auf so was.

...

Genau das habe ich befürchtet... nur das der Server deronlineshop.de meiner ist.

War schon klar. Mit "deren Mailserver" meinte ich auch eigentlich Strato.

...

was kann ich tun um das abzustellen?

Falls Dir niemand hier weiterhelfen kann, würde ich mit Strato Kontakt aufnehmen. Ich weiß ja nicht, wie dein Vertrag betreffs Support mit denen aussieht, aber fragen kostet (meistens) nichts. Kann ja auch sein, das Strato irgendwo was falsch gemacht hat. Mein ISP hat mir mal einen halben Tag lang alle Mails ins Nirwana geschickt, weil jemand bei "Wartungsarbeiten" geschlampt hat. Menschen machen halt Fehler. Kann halt sein, das die Antwort von Strato ein bischen auf sich warten lässt. Grüße René

Christian Westendorf

17:54

René Falk schrieb:

...

Am Sonntag, 22. Januar 2006 18:25 schrieb Christian Westendorf:

...
René Falk schrieb:

...
...
deronlineshop.de und 81.169.179.149 werden laut RIPE von Strato gehosted. Die Domain steht "under construction". Könnte sein, das deren Mailserver falsch oder noch nicht fertig konfiguriert ist, und als Relay missbraucht wird. Abuse Contact: abuse@serverkompetenz.de in case of Spam, ... Da könnte man sich mal melden. Allerdings reagieren die Firmen nicht immer bzw. nicht sehr schnell auf so was.

...
Genau das habe ich befürchtet... nur das der Server deronlineshop.de meiner ist.

War schon klar. Mit "deren Mailserver" meinte ich auch eigentlich Strato.

...
was kann ich tun um das abzustellen?

Falls Dir niemand hier weiterhelfen kann, würde ich mit Strato Kontakt aufnehmen. Ich weiß ja nicht, wie dein Vertrag betreffs Support mit denen aussieht, aber fragen kostet (meistens) nichts. Kann ja auch sein, das Strato irgendwo was falsch gemacht hat. Mein ISP hat mir mal einen halben Tag lang alle Mails ins Nirwana geschickt, weil jemand bei "Wartungsarbeiten" geschlampt hat. Menschen machen halt Fehler. Kann halt sein, das die Antwort von Strato ein bischen auf sich warten lässt.

Grüße

René

Vielen Dank schon mal an Dich, kennst Du vielleicht ein tool, mit dem man nach dem Ursprung dieses Problems suchen kann? Gruß Christian

René Falk

18:09

Am Sonntag, 22. Januar 2006 18:54 schrieb Christian Westendorf:

...

Vielen Dank schon mal an Dich, kennst Du vielleicht ein tool, mit dem man nach dem Ursprung dieses Problems suchen kann?

Leider nicht. Ich kenn mich mit Postfix nicht aus. Kann das Teil nicht Log-Files generieren? Grüße René

Sandy Drobic

18:26

René Falk wrote:

...

Am Sonntag, 22. Januar 2006 18:54 schrieb Christian Westendorf:

...
Vielen Dank schon mal an Dich, kennst Du vielleicht ein tool, mit dem man nach dem Ursprung dieses Problems suchen kann?

Leider nicht. Ich kenn mich mit Postfix nicht aus. Kann das Teil nicht Log-Files generieren?

Logs befinden sich in /var/log/mail, Postfix loggt eigentlich vorbildlich. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

Sandy Drobic

16:37

Christian Westendorf wrote:

...

René Falk schrieb:

...
Am Sonntag, 22. Januar 2006 14:47 schrieb Christian Westendorf:

...
Hallo,

ich wollte mal fragen woran es liegen kann, das jemand über diese adresse:

nameyx@server01.meinedomain.de Mails verschickt?

Was heisst "über diese Adresse"? Mit dieser Adresse als Absender? Sind die Mails über deinen Server verschickt worden?

...

...
Man kann Dir schlecht helfen, wenn Du keine Details lieferst. Woran merkst Du das?

Sorry! Das merke ich daran, dass ich ab und zu mal so eine Mail bei mir im Postfach habe. in dieser Mail ist definitiv Spam enthalten. Denn vom Inhalt her sind es Mails die ich vor geraumer Zeit selbst bekommen habe. Was für Details werden noch benötigt?

Grins! Überlege mal, was für Details du überhaupt angegeben hast! Praktisch nichts, was weiterhilft. Ich habe bisher noch nicht einmal feststellen können, was genau dein Problem ist!! Bitte mal eine präzise Beschreibung: - was vorgefallen ist, - wie du festgestellt hast, dass es passiert ist - was du ändern möchtest. Eine Antwort in der Art: - ich habe eine Spammail bekommen - sie kam gestern in mein Postfach - ich möchte sie nicht mehr empfangen ist genau das was wir nicht brauchen können. (^-^) Zeige den Header der Spammail Zeige Logs vom Mailserver/Webserver, aus denen das Problem deutlich wird. Zeige, wie der Webserver/mailserver im Augenblick konfiguriert ist Was für Optionen laufen (php scripte, Foren etc.) Betriebssystem, Version der beteiligten Software etc. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com

6675

Age (days ago)

6675

Last active (days ago)

List overview

Download

16 comments

3 participants

participants (3)

Christian Westendorf
René Falk
Sandy Drobic