AntiVir & Fetchmail Chaos
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Hallo zusammen,
hier passiert etwas sehr eigenartiges! Der Fechmail-Deamon versucht
Mail über den Account meines ISP zu verschicken!
Ich hab hier Sendmail in Verbindung mit AntiVir laufen. Eigentlich
funktioniert auch alles ohne Probleme. Um nun meinen Virenfilter mit
dem "eicar_com" Testvirus zu testen lasse ich per Fetchmail meine
mail's vom Provider holen. Der Virus wird erkannt und auch
gefiltert! Anschließend wird die Standard e-mail (virus-sender) im
Verzeichnis /usr/lib/AntiVir/templates erzeugt und an den Absender
der Virus verseuchten mail geschickt.
Zusätzlich will aber der Fetchmail-Deamon auch noch eine e-mail
verschicken! Ich erhalte ständig zwei Fehlermeldungen das mein
Provider den User Fetchmail-Deamon nicht kennt und deshalb diese
e-mail nicht weitergeleitet wird. Fällt jemanden dazu was ein? Woran
könnte es liegen? Kommt das jemand bekannt vor?
Hier die entsprechende Meldung
###########################
The original message was received at Sat, 15 Nov 2003 15:26:34 +0100
from localhost [127.0.0.1]
with id hAFEQXk00599
----- The following addresses had permanent fatal errors -----
DATA <<< 550 rejected: cannot route to sender
: response from mx00.schlund.de [212.227.126.163] was 550 Unknown local part FETCHMAIL-DAEMON in 554 5.0.0 <>... Service unavailable 550 5.1.1 ... User unknown
Return-Path:
![](https://seccdn.libravatar.org/avatar/cbd9be20e5f5efaa5869c47abe2a958d.jpg?s=120&d=mm&r=g)
Am Sat, Nov 15, 2003 at 03:28:04PM +0100 schrieb Daniel Lache:
Hallo zusammen,
Hallo,
hier passiert etwas sehr eigenartiges! Der Fechmail-Deamon versucht Mail über den Account meines ISP zu verschicken!
Ich glaube, es ist eher dein MTA, der die Nachricht verschicken möchte, oder? Der Absender könnte der fetchmail-daemon sein. Schau mal nach, ob bei den Virenscanner- Einstellungen irgendwas, wie email alert drin steht. Tibor
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Saturday, November 15, 2003 5:25 PM schrieb Anca Tibor- Attila:
Ich glaube, es ist eher dein MTA, der die Nachricht verschicken möchte, oder? Der Absender könnte der fetchmail-daemon sein.
Ja, so meinte ich es ja auch. Mit ist nicht ganz klar wie der Fetchmail-Deamon dadrauf kommt dem Absender einer e-mail die er gerade vom Provider eingesammlt hat etwas mitteilen zu müssen!? Wenn der Fetchmail-Deamon irgendwas zu melden hat dann doch nur dem root bzw. dem syslog auf dem selben System und nicht einem völlig fremden von dem ich eine email bekommen habe?
Schau mal nach, ob bei den Virenscanner- Einstellungen irgendwas, wie email alert drin steht.
In den Einstellungen des Virenscanners kann man einstellen das bei gefundenen Viren e-mail Benachrichtigungen verschickt werden. Beispielsweise an den Absender und Empfänger der verseuchten mail. Aber auch eine Benachrichtigung an den Admin des Systems kann man dort einrichten. Der Absender dieser Nachrichten sollte dann aber der Virenscanner sein und nicht der Fetchmail-Deamon. Der soll doch nur dafür sorgen das die Post abgeholt wird. Ich werde nochmal nachschauen ob ich irgendwo was übersehen habe! Aber ich kapiere nicht was der Fetchmail-Deamon mit der ganzen Sache zu tun hat!??? Gruß Daniel
![](https://seccdn.libravatar.org/avatar/a3ff056493aff2be178ce8c6a4afa5c9.jpg?s=120&d=mm&r=g)
Hallo Daniel, Daniel Lache schrieb am 15.11.2003 (15:28):
gefiltert! Anschließend wird die Standard e-mail (virus-sender) im Verzeichnis /usr/lib/AntiVir/templates erzeugt und an den Absender der Virus verseuchten mail geschickt.
Seit es zur Standardausstattung fast eines jeden Virus gehört, sich per Mail mit gefälschtem Absender zu verschicken, ist es keine gute Idee mehr, Leute zu irritieren, die im Zweifel überhaupt nichts damit zu tun haben. Gruß, Antje -- Calvin: Sometimes when I'm talking, my words can't keep up with my thoughts. I wonder why we think faster than we speak. Hobbes: Probably so we can think twice. [Calvin & Hobbes]
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Antje M. Bendrich schrieb am 16.11.2003 (16:37)
Seit es zur Standardausstattung fast eines jeden Virus gehört, sich per Mail mit gefälschtem Absender zu verschicken, ist es keine gute Idee mehr, Leute zu irritieren, die im Zweifel überhaupt nichts damit zu tun haben.
Hmm..., das mit den gefälschten Absendern wußte ich nicht. Das ist natürlich schlecht! Ich kenne zwar nicht die Funktionsweise solcher Viren und Würmer aber sollten sich die Provider da nicht angesprochen fühlen? Mein Provider erlaubt ja anscheinend nicht das über seinen MTA Mails verschickt werden mit ihm unbekannten Absendern. Meine "Fetchmail-Deamon" Mails sind da ja ein gutes Beispiel. Aber wie gesagt da kenne ich mich nicht gut genug mit aus! Dann werde ich diesen automatischen Benachrichtigungsservice mal deaktivieren. Danke für den Hinweis. Gruß Daniel
![](https://seccdn.libravatar.org/avatar/a3ff056493aff2be178ce8c6a4afa5c9.jpg?s=120&d=mm&r=g)
Hallo Daniel, Daniel Lache schrieb am 17.11.2003 (10:20):
Antje M. Bendrich schrieb am 16.11.2003 (16:37)
Seit es zur Standardausstattung fast eines jeden Virus gehört, sich per Mail mit gefälschtem Absender zu verschicken, ist es keine gute Idee mehr, Leute zu irritieren, die im Zweifel überhaupt nichts damit zu tun haben.
Hmm..., das mit den gefälschten Absendern wußte ich nicht. Das ist natürlich schlecht! Ich kenne zwar nicht die Funktionsweise solcher Viren und Würmer aber sollten sich die Provider da nicht angesprochen fühlen? Mein Provider erlaubt ja anscheinend nicht das über seinen MTA Mails verschickt werden mit ihm unbekannten Absendern. Meine "Fetchmail-Deamon" Mails sind da ja ein gutes Beispiel. Aber wie gesagt da kenne ich mich nicht gut genug mit aus! Dann werde ich diesen automatischen Benachrichtigungsservice mal deaktivieren.
Die Provider können da gar nichts gegen machen, da die Viren sich nicht über den eingestellten SMTP-Server verschicken, sondern ihren eigenen "eingebaut" haben. Im Gegenteil, viele Provider lehnen es ab, Mails anzunehmen, die von einem Rechner mit Einwahl-IP direkt (also nicht über einen "offiziellen" Rechner mit öffentlicher IP-Adresse) verschickt worden sind. Das betrifft dann größtenteils Spammer, Viren und direktausliefernde Linuxbenutzer :-(
Danke für den Hinweis.
Aber gerne doch :-) Gute Fragen machen schlau. Gruß, Antje -- Press any key to continue or any other key to quit...
![](https://seccdn.libravatar.org/avatar/e0e4f08b1da86196634e7b0548f0f252.jpg?s=120&d=mm&r=g)
Antje M. Bendrich schrieb am 17, 2003 11:10 AM
Die Provider können da gar nichts gegen machen, da die Viren sich nicht über den eingestellten SMTP-Server verschicken, sondern ihren eigenen "eingebaut" haben.
Aha..., so läuft das also! Gut zu Wissen! Ein gezieltes: ipchains -A input -i eth0 -s $LAN -d ! $PROVIDER_SMTP -p tcp --sport 1024:65535 --dport 25 -j DENY sollte diesen Viechern aber dann den Gar ausmachen. :-) Vorausgesetzt man verfügt über einen Packetfilter und das die Programmierer dieser Viren und Würmer sich wenigstens noch an die Standard Ports halten. Aber ich könnte mir vorstellen das die da auch dran gedreht haben! Na, ja ich hoffe das mein Virenfilter greift und sich sowas garnicht erst hier einschleicht! Gruß Daniel
participants (3)
-
Anca Tibor- Attila
-
Antje M. Bendrich
-
Daniel Lache