8
Emails werden verschickt - wo kommen die her?
Hallo,
habe einen Server bei Strato
(SUSE 9.0)
Bekomme seit heute abend viele Mails
This is the Postfix program at host serverkompetenz.net. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <marinhof@elogica.com.br>: host mx.br.inter.net[200.142.77.19] said: 550 5.1.1 <marinhof@elogica.com.br>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command)
Absender: Sexy [GabrielaMonteiro@sexy.com.br]
Habe es probiert es sind keine Relays möglich.
Wie werden die Mails verschickt?
Danke
habe einen Server bei Strato
(SUSE 9.0)
Bekomme seit heute abend viele Mails
This is the Postfix program at host serverkompetenz.net. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <marinhof@elogica.com.br>: host mx.br.inter.net[200.142.77.19] said: 550 5.1.1 <marinhof@elogica.com.br>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command)
Absender: Sexy [GabrielaMonteiro@sexy.com.br]
Habe es probiert es sind keine Relays möglich.
Wie werden die Mails verschickt?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 62884
Url: https://administrator.de/contentid/62884
Printed on: April 16, 2024 at 06:04 o'clock
8 Comments
Latest comment
Hast du eventuell irgendein Formular auf deiner Webseite, über das Mails verschickt werden können?
Sowas wie "Freund empfehlen" oder so?
Sowas wie "Freund empfehlen" oder so?
Hallo,
jab habe ein Empfehlungsformular drauf.
Wie kann ich es prüfen ob es davon kommt?
jab habe ein Empfehlungsformular drauf.
Wie kann ich es prüfen ob es davon kommt?
Habe es deaktiviert, bekomme die Meldungen aber immer noch.
Wie kann ich es prüfen woher es kommt?
DANKE
Wie kann ich es prüfen woher es kommt?
DANKE
Bei der gebouncten Nachricht wird ja eine Kopie der gesendeten Mail mitgeschickt.
Dann steht da ja sowas wie
--- Below this line is a copy of the message.
Return-Path: <xx@yy.zz>
Received: (qmail 5425 invoked from network); 1 Jul 2007 18:17:00 +0200
Received: from HOSTNAMEDERABSENDERADRESSE (HELO HOSTDESABSENDERMAILSERVERS) (IPDESABSENDERS)
by DOMAINNAME.de with SMTP; 1 Jul 2007 18:17:00 +0200
Message-ID: <546546798765165798@yy.zz>
Date: Sun, 01 Jul 2007 18:17:19 +0200
From: ABSENDERNAME <xx@yy.zz>
User-Agent: Thunderbird 2.0.0.4 (Windows/20070604)
MIME-Version: 1.0
To: EMPFÄNGERADRESSE
Subject: BETREFF
Falls dort statt "invoked from network" Beispielsweise "invoked by uid ..." steht, wurden die Sachen über den Server selbst, sprich ohne den Gebrauch des SMTP-Servers verschickt (PHP-Script, PERL-Script etc...).
Sollte bei "HELO Host..." nicht deine eigene Serveradresse auftauchen, hat jemand einfach nur E-Mails unter Benutzung deiner E-Mail-Adresse gesendet, die sind aber nicht über deinen Server gegangen.
Sollte bei "IPDESABSENDERS" eine IP-Adresse von dir bzw. aus dem IP-Pool deines Providers und deiner Region auftauchen wirst du wohl einen Wurm auf dem Rechner haben, der massenhaft Mails über deinen Rechner versendet.
Auf jeden Fall solltest du die Datei "messages" mal kontrollieren (in /var/log liegend), da stehen bei den Suse-Distributionen von Strato alle Anmeldungen am SMTP-Server drin.
Falls du dort einen Eintrag wie diesen findest zusammen mit einer IP-Adresse aus China oder Russland würde ich mein Kennwort ändern
Jul 2 18:55:08 h83xxx smtp_auth: SMTP connect from unknown@pool.provider.de [85.85.85.85]
Jul 2 18:55:08 h83xxx smtp_auth: smtp_auth: SMTP user benutzer : /var/qmail/mailnames/domainname.de/benutzer logged in from unknown@pool.provider.de [85.85.85.85]
Dann steht da ja sowas wie
--- Below this line is a copy of the message.
Return-Path: <xx@yy.zz>
Received: (qmail 5425 invoked from network); 1 Jul 2007 18:17:00 +0200
Received: from HOSTNAMEDERABSENDERADRESSE (HELO HOSTDESABSENDERMAILSERVERS) (IPDESABSENDERS)
by DOMAINNAME.de with SMTP; 1 Jul 2007 18:17:00 +0200
Message-ID: <546546798765165798@yy.zz>
Date: Sun, 01 Jul 2007 18:17:19 +0200
From: ABSENDERNAME <xx@yy.zz>
User-Agent: Thunderbird 2.0.0.4 (Windows/20070604)
MIME-Version: 1.0
To: EMPFÄNGERADRESSE
Subject: BETREFF
Falls dort statt "invoked from network" Beispielsweise "invoked by uid ..." steht, wurden die Sachen über den Server selbst, sprich ohne den Gebrauch des SMTP-Servers verschickt (PHP-Script, PERL-Script etc...).
Sollte bei "HELO Host..." nicht deine eigene Serveradresse auftauchen, hat jemand einfach nur E-Mails unter Benutzung deiner E-Mail-Adresse gesendet, die sind aber nicht über deinen Server gegangen.
Sollte bei "IPDESABSENDERS" eine IP-Adresse von dir bzw. aus dem IP-Pool deines Providers und deiner Region auftauchen wirst du wohl einen Wurm auf dem Rechner haben, der massenhaft Mails über deinen Rechner versendet.
Auf jeden Fall solltest du die Datei "messages" mal kontrollieren (in /var/log liegend), da stehen bei den Suse-Distributionen von Strato alle Anmeldungen am SMTP-Server drin.
Falls du dort einen Eintrag wie diesen findest zusammen mit einer IP-Adresse aus China oder Russland würde ich mein Kennwort ändern
Jul 2 18:55:08 h83xxx smtp_auth: SMTP connect from unknown@pool.provider.de [85.85.85.85]
Jul 2 18:55:08 h83xxx smtp_auth: smtp_auth: SMTP user benutzer : /var/qmail/mailnames/domainname.de/benutzer logged in from unknown@pool.provider.de [85.85.85.85]
Hallo,
danke für die genaue Info komme aber nicht ganz klar.
Hab mal nachgeschaut, hier der Header
Received: by serverkompetenz.net (Postfix, from userid 30)
id 83C8D5B525C; Mon, 2 Jul 2007 22:57:41 +0200 (CEST)
To: marina@e-net.com.br
Subject: Sexy de Julho Gabriela Monteiro Panicat
From: Sexy <GabrielaMonteiro@sexy.com.br>
Reply-To: Sexy <>
Message-ID: < TheSystem@www.Domain.de>
X-Mailer: PHP v4.3.3
Content-Type: text/html; charset=iso-8859-1
Date: Mon, 2 Jul 2007 22:57:41 +0200 (CEST)
Content-Transfer-Encoding: quoted-printable
Wie finde ich heraus wer UserID 30 ist.
---
In der messages Datei finde ich z.B. folgenden Eintrag:
Jul 1 21:14:22 h1880 sshd[28094]: Illegal user roma from ::ffff:62.141.50.159
Jul 1 21:14:22 h1880 sshd[28094]: input_userauth_request: illegal user roma
Jul 1 21:14:22 h1880 sshd[28094]: Failed password for illegal user roma from ::ffff:62.141.50.159 port 51682 ssh2
Jul 1 21:14:22 h1880 sshd[28094]: Received disconnect from ::ffff:62.141.50.159: 11: Bye Bye
Das verstehe ich aber so das die Mail abgewiesen wird.
danke für die genaue Info komme aber nicht ganz klar.
Hab mal nachgeschaut, hier der Header
Received: by serverkompetenz.net (Postfix, from userid 30)
id 83C8D5B525C; Mon, 2 Jul 2007 22:57:41 +0200 (CEST)
To: marina@e-net.com.br
Subject: Sexy de Julho Gabriela Monteiro Panicat
From: Sexy <GabrielaMonteiro@sexy.com.br>
Reply-To: Sexy <>
Message-ID: < TheSystem@www.Domain.de>
X-Mailer: PHP v4.3.3
Content-Type: text/html; charset=iso-8859-1
Date: Mon, 2 Jul 2007 22:57:41 +0200 (CEST)
Content-Transfer-Encoding: quoted-printable
Wie finde ich heraus wer UserID 30 ist.
---
In der messages Datei finde ich z.B. folgenden Eintrag:
Jul 1 21:14:22 h1880 sshd[28094]: Illegal user roma from ::ffff:62.141.50.159
Jul 1 21:14:22 h1880 sshd[28094]: input_userauth_request: illegal user roma
Jul 1 21:14:22 h1880 sshd[28094]: Failed password for illegal user roma from ::ffff:62.141.50.159 port 51682 ssh2
Jul 1 21:14:22 h1880 sshd[28094]: Received disconnect from ::ffff:62.141.50.159: 11: Bye Bye
Das verstehe ich aber so das die Mail abgewiesen wird.
Mir fällt grad auf die schnelle kein Befehl ein, mit dem man die UID in den Login-Namen übersetzen könnte, aber da du ja Suse hast, kannst du über Yast die Benutzerverwaltung aufrufen und dort den Filter auf "System Users" umstellen.
Bei mir gehört die UID 30 aber zum Benutzer wwwrun, unter dem ja der Apache läuft.
Von daher gehe ich mal stark davon aus, dass die Mails über ein PHP-Script versendet werden, möglicherweise ist ja dein FTP-Zugang geknackt worden und da liegt jetzt eine Datei von der du nichts weißt.
Je nach verwendeten FTP-Server kannst du auch in der messages nachgucken, wann eine FTP-Verbindung unter deinem Benutzernamen aufgebaut wurde.
grep BENUTZERNAME /var/log/messages
Dein Auszug aus dem Log zeigt nur die Angriffe auf den SSH-Daemon
Der SMTP-Server scheint aber gar nicht genutzt worden zu sein, da dir ja angezeigt wird, dass die Mails von UID 30 geschickt wurden. Außerdem steht noch im Quelltext in der Zeile "X-Mailer", dass die Mailfunktionen von PHP 4.3.3 genutzt wurden - kurz, die werden über ein PHP-Script gesendet.
Bei mir gehört die UID 30 aber zum Benutzer wwwrun, unter dem ja der Apache läuft.
Von daher gehe ich mal stark davon aus, dass die Mails über ein PHP-Script versendet werden, möglicherweise ist ja dein FTP-Zugang geknackt worden und da liegt jetzt eine Datei von der du nichts weißt.
Je nach verwendeten FTP-Server kannst du auch in der messages nachgucken, wann eine FTP-Verbindung unter deinem Benutzernamen aufgebaut wurde.
grep BENUTZERNAME /var/log/messages
Dein Auszug aus dem Log zeigt nur die Angriffe auf den SSH-Daemon
Der SMTP-Server scheint aber gar nicht genutzt worden zu sein, da dir ja angezeigt wird, dass die Mails von UID 30 geschickt wurden. Außerdem steht noch im Quelltext in der Zeile "X-Mailer", dass die Mailfunktionen von PHP 4.3.3 genutzt wurden - kurz, die werden über ein PHP-Script gesendet.
Danke - kannst du mir sagen wie ich rausfinden kann welches php Script verwendet wird?
Könnte etwas schwierig werden, aber du kannst ja im Access-Log vom Apache-Server nachgucken, welche Datei abgerufen wurde, als die E-Mails gesendet wurden. Etwas anderes fällt mir gerade leider nicht ein.