Von: Thomas Preissler [mailto:Preissler@internetx.de] Gesendet: Montag, 03. Februar 2003 16:19 [...]

...

Ich erhalte seit gestern hunderte fehlerhafte Mails.

Die Mails werden an irgendeinen unbekannten User meiner Domain "valerie@domain.at" zugestellt und als Fehlerursache wird zB folgendes ausgegeben: [...] Komplette Fehlermeldung bitte.

Gut unten stehen nun alle Informationen einer Mail. Interessant sind speziell die folgenden Einträge (Mail-Adresse warren@domain.at gibt es nicht !) - Reply-To: warren@domain.at - From: schneid@domain.at - To: warren@deadwood.net lg Harald [BEGIN] This message was created automatically by mail delivery software (Exim). A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: shockey@deadwood.net mailbox is full (MTA-imposed quota exceeded while writing to file /home/shockey/Mailbox): retry timeout exceeded val@deadwood.net mailbox is full (MTA-imposed quota exceeded while writing to file /home/val/Mailbox): retry timeout exceeded ------ This is a copy of the message, including all the headers. ------ Return-path: Received: from (domain.at) [218.5.132.95] by mail.mato.com with smtp id 18fkzO-0007ri-00; Mon, 03 Feb 2003 11:06:41 -0700 Message-Id: <4J417I6WR.5DN99LC61MID42FJES40.schneid@domain.at> Reply-To: warren@domain.at From: schneid@domain.at To: warren@deadwood.net Subject: Get a P.O. Box NOW- You'll Need It!! Received: from domain.at by 8RV7GU59.domain.at with SMTP for warren@deadwood.net; Mon, 03 Feb 2003 13:10:22 -0500 Date: Mon, 03 Feb 2003 13:10:22 -0500 Importance: Normal X-Priority: 3 (Normal) X-MSMail-Priority: Normal Content-Type: text/html; charset=iso-8859-1 Content-Transfer-Encoding: quoted-printable [END]

* On Tue, 04 Feb 2003 at 12:37 +0100, Michael Meyer wrote:

DI Harald ARNOLD wrote:

...

Return-path: Received: from (domain.at) [218.5.132.95]

,----[ whois 218.5.132.95 ] | OrgName: Asia Pacific Network Information Centre | OrgID: APNIC | NetRange: 218.0.0.0 - 218.255.255.255 `----|

,----[ telnet 218.5.132.95 25 ] | 220 unspecified.host ESMTP - WinRoute Pro 4.1 `----|

und _es_ relayed.

pepe:~ # grep ^218 /etc/mail/access 218 550 We do not accept mail from you :-) -- Adalbert GPG welcome, request public key: mailto:adalbert+key@lopez.at

hi,

Also, um das hier noch mal klarzustellen: Michael hat gut aufgepasst und die Spam-Source gefunden. Der Harald ist armes Opfer, weil sich der Spammer die Return-Adresse "natalie@domain.at", bzw. wahrscheinlich nur "natalie" ausgedacht hat.

Ein Eintrag in "/etc/mail/access" hilft leider nicht, da die Fehlermeldungen ja beim Spamziel erzeugt werden. (hier: mail.mato.com - zustaendig fuer warren@deadwood.net )

mail.mato.com qualifiziert die kurzen Mailadressen "natalie", "warren", usw. mit der Domain aus dem SMTP-Befehl HELO (domain.at)

sag ich ja schon lange. -- gruss thomas

* Am Mon, 03 Feb 2003 schrieb David Haller:

Hallo,

On Mon, 03 Feb 2003, DI Harald ARNOLD wrote:

...

Ich arbeite mit SuSE V 7.3 mit einer Firewall (ipchains) und erhalte alle Mails direkt über den SMTP-Port zusammen mit sendmail zugestellt. Ich habe eine eigene Domain. [..] 1) Werden die anderen Adressaten einfach als BCC eingetragen ?

Vermutlich.

...

2) Was kann ich tun, damit ich diesen Unfug wieder abschalten kann ?

$EDITOR /etc/mail/access

==== 127 OK ====

Alles andere auskommentieren/loeschen. Dann kann nur noch das (lokal laufende!) fetchmail Mails an deinen sendmail uebergeben.

Sendmail hat doch im Aufruf auch eine Option, mit der man festlegen kann, an welchen Adressen der Daemon lauscht! Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen