Saturday, November 15, 2003 5:25 PM schrieb Anca Tibor- Attila:

Ich glaube, es ist eher dein MTA, der die Nachricht verschicken möchte, oder? Der Absender könnte der fetchmail-daemon sein.

Ja, so meinte ich es ja auch. Mit ist nicht ganz klar wie der Fetchmail-Deamon dadrauf kommt dem Absender einer e-mail die er gerade vom Provider eingesammlt hat etwas mitteilen zu müssen!? Wenn der Fetchmail-Deamon irgendwas zu melden hat dann doch nur dem root bzw. dem syslog auf dem selben System und nicht einem völlig fremden von dem ich eine email bekommen habe?

Schau mal nach, ob bei den Virenscanner- Einstellungen irgendwas, wie email alert drin steht.

In den Einstellungen des Virenscanners kann man einstellen das bei gefundenen Viren e-mail Benachrichtigungen verschickt werden. Beispielsweise an den Absender und Empfänger der verseuchten mail. Aber auch eine Benachrichtigung an den Admin des Systems kann man dort einrichten. Der Absender dieser Nachrichten sollte dann aber der Virenscanner sein und nicht der Fetchmail-Deamon. Der soll doch nur dafür sorgen das die Post abgeholt wird. Ich werde nochmal nachschauen ob ich irgendwo was übersehen habe! Aber ich kapiere nicht was der Fetchmail-Deamon mit der ganzen Sache zu tun hat!??? Gruß Daniel

Antje M. Bendrich schrieb am 16.11.2003 (16:37)

Seit es zur Standardausstattung fast eines jeden Virus gehört, sich per Mail mit gefälschtem Absender zu verschicken, ist es keine gute Idee mehr, Leute zu irritieren, die im Zweifel überhaupt nichts damit zu tun haben.

Hmm..., das mit den gefälschten Absendern wußte ich nicht. Das ist natürlich schlecht! Ich kenne zwar nicht die Funktionsweise solcher Viren und Würmer aber sollten sich die Provider da nicht angesprochen fühlen? Mein Provider erlaubt ja anscheinend nicht das über seinen MTA Mails verschickt werden mit ihm unbekannten Absendern. Meine "Fetchmail-Deamon" Mails sind da ja ein gutes Beispiel. Aber wie gesagt da kenne ich mich nicht gut genug mit aus! Dann werde ich diesen automatischen Benachrichtigungsservice mal deaktivieren. Danke für den Hinweis. Gruß Daniel

Antje M. Bendrich schrieb am 17, 2003 11:10 AM

Die Provider können da gar nichts gegen machen, da die Viren sich nicht über den eingestellten SMTP-Server verschicken, sondern ihren eigenen "eingebaut" haben.

Aha..., so läuft das also! Gut zu Wissen! Ein gezieltes: ipchains -A input -i eth0 -s $LAN -d ! $PROVIDER_SMTP -p tcp --sport 1024:65535 --dport 25 -j DENY sollte diesen Viechern aber dann den Gar ausmachen. :-) Vorausgesetzt man verfügt über einen Packetfilter und das die Programmierer dieser Viren und Würmer sich wenigstens noch an die Standard Ports halten. Aber ich könnte mir vorstellen das die da auch dran gedreht haben! Na, ja ich hoffe das mein Virenfilter greift und sich sowas garnicht erst hier einschleicht! Gruß Daniel