Hi, hoffentlich nicht zu OT hier: Ich habe einen Server auf dem Postfix 2.1.5-9 läuft. Das Ding ist so konfiguriert, dass man entweder nur an lokale Empfänger senden darf oder sich per Benutzername/Passwort verifizieren muss. Das funktioniert auch - wenn ich es ohne Passwort versuche, bekomme ich ein relaying denied. Nun habe ich allerdings seit (vor)gestern einige tausend Mails in der Queue, die so wie die unten stehende aussehen. Weder Empfänger noch Absender (sowieso) sind lokale Benutzer. Wie ist das möglich, dass die Mails in meiner Queue hängen? Zusätzlich dazu gingen noch einige tausend Mails an lokale Benutzer... Die Postfix-Konfiguration hängt auch dran. Danke. Viele Grüße, David # Mailinfo: sent: Tue Nov 22 23:19:34 from: p.s*****@cgnews.de to: philipps*****@gmx.de size: 836 b status: host mx0.gmx.de[213.165.64.100] said: 450 4.3.2 {mx005} Too many mails (mail bomb), try again in 3 hour(s) 43 minute(s) and see ( http://www.gmx.net/serverrules ) (in reply to RCPT TO command) # Detail: *Received:* from km20342.keymachine.de (unknown [84.19.176.35]) by t148.greatnet.de (Postfix) with ESMTP id 0E4CFD5BDE for
David Geiger wrote:
Hi,
hoffentlich nicht zu OT hier: Ich habe einen Server auf dem Postfix 2.1.5-9 läuft. Das Ding ist so konfiguriert, dass man entweder nur an lokale Empfänger senden darf oder sich per Benutzername/Passwort verifizieren muss. Das funktioniert auch - wenn ich es ohne Passwort versuche, bekomme ich ein relaying denied.
Nun habe ich allerdings seit (vor)gestern einige tausend Mails in der Queue, die so wie die unten stehende aussehen.
Weder Empfänger noch Absender (sowieso) sind lokale Benutzer. Wie ist das möglich, dass die Mails in meiner Queue hängen? Zusätzlich dazu gingen noch einige tausend Mails an lokale Benutzer...
Die wahrscheinlichste Ursache ist ein Script auf einer Webseite, die auf dem gleichen Server gehostet ist, denn localhost 127.0.0.0/8 darf den Server als Relay benutzen laut deiner Config. Du kannst das im Log von Postfix wahrscheinlich sehen, denn diese lokal eingespeisten mails werden von dem Pickup-Daemon in die Queue genommen. Du müsstest also viele Einträge haben die Aussehen wie: Nov 24 17:57:35 japantest postfix/pickup[9936]: AFB491DF22: uid=0 from=<wwwrun> Nov 24 17:57:35 japantest postfix/cleanup[10349]: AFB491DF22: message-id=<4385F0FF.mail7ZE1MLN60@japantest.homelinux.com> Prüfe das Log deines Webservers, ob dort auffällig oft manch Scripte aufgerufen werden und suche dort mal nach den Emailadressen, die du in deiner Queue findest.
Die Postfix-Konfiguration hängt auch dran.
"postconf -n" ist kürzer und übersichtlicher. Zeige auch mal entsprechende Logdateien von Mail- und Webserver. Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Hat sich erledigt, war doch ein eingetragener User - wurde nur inzwischen gelöscht. Ich verstehe nur nicht, warum plötzlich tausende identische Spammails an ein paar meiner Benutzer geschickt werden?! David Geiger wrote:
Hi,
hoffentlich nicht zu OT hier: Ich habe einen Server auf dem Postfix 2.1.5-9 läuft. Das Ding ist so konfiguriert, dass man entweder nur an lokale Empfänger senden darf oder sich per Benutzername/Passwort verifizieren muss. Das funktioniert auch - wenn ich es ohne Passwort versuche, bekomme ich ein relaying denied.
Nun habe ich allerdings seit (vor)gestern einige tausend Mails in der Queue, die so wie die unten stehende aussehen.
Weder Empfänger noch Absender (sowieso) sind lokale Benutzer. Wie ist das möglich, dass die Mails in meiner Queue hängen? Zusätzlich dazu gingen noch einige tausend Mails an lokale Benutzer...
Die Postfix-Konfiguration hängt auch dran.
Danke. Viele Grüße, David
David Geiger wrote:
Hat sich erledigt, war doch ein eingetragener User - wurde nur inzwischen gelöscht. Ich verstehe nur nicht, warum plötzlich tausende identische Spammails an ein paar meiner Benutzer geschickt werden?!
Meine Glaskugel ist trübe, hast du mal einen Putzlappen? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic wrote:
David Geiger wrote:
Hat sich erledigt, war doch ein eingetragener User - wurde nur inzwischen gelöscht. Ich verstehe nur nicht, warum plötzlich tausende identische Spammails an ein paar meiner Benutzer geschickt werden?!
Meine Glaskugel ist trübe, hast du mal einen Putzlappen?
Sandy Sorry, war wohl etwas unverständlich. ;) Postfix hat die Mails durchgelassen, weil der Empfänger ursprünglich mal eingetragener User war - inzwischen nicht mehr (deswegen habe ich ihn auch nicht gefunden). Hier funktioniert also alles korrekt.
Was ich nicht verstehe ist allerdings, warum ein Teil der User überhaupt tausende von (größtenteils identischen) Spammails erhält. Das hatte ich bisher noch nie. Kann mir jemand mit einem Tipp aushelfen, wie ich die Mails (teilweise 150MB) aus den jeweiligen Usermailboxen löschen kann? Z.B. nach Absender, Empfänger oder Subject... David
David Geiger wrote:
Ich verstehe nur nicht, warum plötzlich tausende identische Spammails an ein paar meiner Benutzer geschickt werden?!
Meine Glaskugel ist trübe, hast du mal einen Putzlappen?
Sorry, war wohl etwas unverständlich. ;) Postfix hat die Mails durchgelassen, weil der Empfänger ursprünglich mal eingetragener User war - inzwischen nicht mehr (deswegen habe ich ihn auch nicht gefunden). Hier funktioniert also alles korrekt.
Was ich nicht verstehe ist allerdings, warum ein Teil der User überhaupt tausende von (größtenteils identischen) Spammails erhält. Das hatte ich bisher noch nie.
Es soll tatsächlich Fälle geben, wo sich Spammer als echte Blödhammel entlarvt haben. Hier scheint das ja auch der Fall zu sein. Neulich bei den ersten Sober.Y-Viren war das ähnlich, da fehlte dann der erste Buchstabe der Emailadresse usw.
Kann mir jemand mit einem Tipp aushelfen, wie ich die Mails (teilweise 150MB) aus den jeweiligen Usermailboxen löschen kann? Z.B. nach Absender, Empfänger oder Subject...
Wie sind die Mails den abgelegt, im mbox-Format oder als Maildir? Greifen die Leute per Imap oder php3 oder Webschnittstelle drauf zu? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
Sandy Drobic wrote:
David Geiger wrote:
Was ich nicht verstehe ist allerdings, warum ein Teil der User überhaupt tausende von (größtenteils identischen) Spammails erhält. Das hatte ich bisher noch nie.
Es soll tatsächlich Fälle geben, wo sich Spammer als echte Blödhammel entlarvt haben. Hier scheint das ja auch der Fall zu sein. Neulich bei den ersten Sober.Y-Viren war das ähnlich, da fehlte dann der erste Buchstabe der Emailadresse usw. Ich muss mal schauen, ob ich im Log noch ein paar Hinweise finde. Leider ist das in den letzten Tagen etwas angewachsen. ;)
Kann mir jemand mit einem Tipp aushelfen, wie ich die Mails (teilweise 150MB) aus den jeweiligen Usermailboxen löschen kann? Z.B. nach Absender, Empfänger oder Subject...
Wie sind die Mails den abgelegt, im mbox-Format oder als Maildir? Greifen die Leute per Imap oder php3 oder Webschnittstelle drauf zu? Die liegen ganz normal in /var/mail, Zugriff per POP3. Ich habe jetzt die Queue mit einer postsuper Konstruktion geleert und die Mailboxen von Hand mit mutt. Hab allerdings das Gefühl, dass es auch einfacher gehen muss. ;)
David Geiger wrote:
Kann mir jemand mit einem Tipp aushelfen, wie ich die Mails (teilweise 150MB) aus den jeweiligen Usermailboxen löschen kann? Z.B. nach Absender, Empfänger oder Subject...
Wie sind die Mails den abgelegt, im mbox-Format oder als Maildir? Greifen die Leute per Imap oder php3 oder Webschnittstelle drauf zu?
Die liegen ganz normal in /var/mail, Zugriff per POP3. Ich habe jetzt die Queue mit einer postsuper Konstruktion geleert und die Mailboxen von Hand mit mutt. Hab allerdings das Gefühl, dass es auch einfacher gehen muss. ;)
Sind also im mbox-Format. Da kenne ich aus dem Gedächtnis keine Lösung für. Hast du mal nach entsprechenden Perl-Scripten gesucht? Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com
participants (2)
-
David Geiger
-
Sandy Drobic