Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Emails werden verschickt - wo kommen die her?

Frage Internet Server

Mitglied: rw72

rw72 (Level 1) - Jetzt verbinden

03.07.2007, aktualisiert 05.07.2007, 6351 Aufrufe, 8 Kommentare

Hallo,

habe einen Server bei Strato
(SUSE 9.0)

Bekomme seit heute abend viele Mails
This is the Postfix program at host serverkompetenz.net. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <marinhof@elogica.com.br>: host mx.br.inter.net[200.142.77.19] said: 550 5.1.1 <marinhof@elogica.com.br>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command)

Absender: Sexy [GabrielaMonteiro@sexy.com.br]

Habe es probiert es sind keine Relays möglich.
Wie werden die Mails verschickt?

Danke
Mitglied: LordGurke
03.07.2007 um 01:34 Uhr
Hast du eventuell irgendein Formular auf deiner Webseite, über das Mails verschickt werden können?
Sowas wie "Freund empfehlen" oder so?
Bitte warten ..
Mitglied: rw72
03.07.2007 um 07:37 Uhr
Hallo,
jab habe ein Empfehlungsformular drauf.
Wie kann ich es prüfen ob es davon kommt?
Bitte warten ..
Mitglied: rw72
03.07.2007 um 12:08 Uhr
Habe es deaktiviert, bekomme die Meldungen aber immer noch.
Wie kann ich es prüfen woher es kommt?

DANKE
Bitte warten ..
Mitglied: LordGurke
03.07.2007 um 12:32 Uhr
Bei der gebouncten Nachricht wird ja eine Kopie der gesendeten Mail mitgeschickt.
Dann steht da ja sowas wie

--- Below this line is a copy of the message.

Return-Path: <xx@yy.zz>
Received: (qmail 5425 invoked from network); 1 Jul 2007 18:17:00 +0200
Received: from HOSTNAMEDERABSENDERADRESSE (HELO HOSTDESABSENDERMAILSERVERS) (IPDESABSENDERS)
by DOMAINNAME.de with SMTP; 1 Jul 2007 18:17:00 +0200
Message-ID: <546546798765165798@yy.zz>
Date: Sun, 01 Jul 2007 18:17:19 +0200
From: ABSENDERNAME <xx@yy.zz>
User-Agent: Thunderbird 2.0.0.4 (Windows/20070604)
MIME-Version: 1.0
To: EMPFÄNGERADRESSE
Subject: BETREFF

Falls dort statt "invoked from network" Beispielsweise "invoked by uid ..." steht, wurden die Sachen über den Server selbst, sprich ohne den Gebrauch des SMTP-Servers verschickt (PHP-Script, PERL-Script etc...).
Sollte bei "HELO Host..." nicht deine eigene Serveradresse auftauchen, hat jemand einfach nur E-Mails unter Benutzung deiner E-Mail-Adresse gesendet, die sind aber nicht über deinen Server gegangen.
Sollte bei "IPDESABSENDERS" eine IP-Adresse von dir bzw. aus dem IP-Pool deines Providers und deiner Region auftauchen wirst du wohl einen Wurm auf dem Rechner haben, der massenhaft Mails über deinen Rechner versendet.

Auf jeden Fall solltest du die Datei "messages" mal kontrollieren (in /var/log liegend), da stehen bei den Suse-Distributionen von Strato alle Anmeldungen am SMTP-Server drin.

Falls du dort einen Eintrag wie diesen findest zusammen mit einer IP-Adresse aus China oder Russland würde ich mein Kennwort ändern

Jul 2 18:55:08 h83xxx smtp_auth: SMTP connect from unknown@pool.provider.de [85.85.85.85]
Jul 2 18:55:08 h83xxx smtp_auth: smtp_auth: SMTP user benutzer : /var/qmail/mailnames/domainname.de/benutzer logged in from unknown@pool.provider.de [85.85.85.85]
Bitte warten ..
Mitglied: rw72
03.07.2007 um 17:40 Uhr
Hallo,

danke für die genaue Info komme aber nicht ganz klar.

Hab mal nachgeschaut, hier der Header
Received: by serverkompetenz.net (Postfix, from userid 30)
id 83C8D5B525C; Mon, 2 Jul 2007 22:57:41 +0200 (CEST)
To: marina@e-net.com.br
Subject: Sexy de Julho Gabriela Monteiro Panicat
From: Sexy <GabrielaMonteiro@sexy.com.br>
Reply-To: Sexy <>
Message-ID: < TheSystem@www.Domain.de>
X-Mailer: PHP v4.3.3
Content-Type: text/html; charset=iso-8859-1
Date: Mon, 2 Jul 2007 22:57:41 +0200 (CEST)
Content-Transfer-Encoding: quoted-printable

Wie finde ich heraus wer UserID 30 ist.
---
In der messages Datei finde ich z.B. folgenden Eintrag:
Jul 1 21:14:22 h1880 sshd[28094]: Illegal user roma from ::ffff:62.141.50.159
Jul 1 21:14:22 h1880 sshd[28094]: input_userauth_request: illegal user roma
Jul 1 21:14:22 h1880 sshd[28094]: Failed password for illegal user roma from ::ffff:62.141.50.159 port 51682 ssh2
Jul 1 21:14:22 h1880 sshd[28094]: Received disconnect from ::ffff:62.141.50.159: 11: Bye Bye

Das verstehe ich aber so das die Mail abgewiesen wird.
Bitte warten ..
Mitglied: LordGurke
03.07.2007 um 18:33 Uhr
Mir fällt grad auf die schnelle kein Befehl ein, mit dem man die UID in den Login-Namen übersetzen könnte, aber da du ja Suse hast, kannst du über Yast die Benutzerverwaltung aufrufen und dort den Filter auf "System Users" umstellen.
Bei mir gehört die UID 30 aber zum Benutzer wwwrun, unter dem ja der Apache läuft.
Von daher gehe ich mal stark davon aus, dass die Mails über ein PHP-Script versendet werden, möglicherweise ist ja dein FTP-Zugang geknackt worden und da liegt jetzt eine Datei von der du nichts weißt.
Je nach verwendeten FTP-Server kannst du auch in der messages nachgucken, wann eine FTP-Verbindung unter deinem Benutzernamen aufgebaut wurde.

grep BENUTZERNAME /var/log/messages

Dein Auszug aus dem Log zeigt nur die Angriffe auf den SSH-Daemon
Der SMTP-Server scheint aber gar nicht genutzt worden zu sein, da dir ja angezeigt wird, dass die Mails von UID 30 geschickt wurden. Außerdem steht noch im Quelltext in der Zeile "X-Mailer", dass die Mailfunktionen von PHP 4.3.3 genutzt wurden - kurz, die werden über ein PHP-Script gesendet.
Bitte warten ..
Mitglied: rw72
05.07.2007 um 10:51 Uhr
Danke - kannst du mir sagen wie ich rausfinden kann welches php Script verwendet wird?
Bitte warten ..
Mitglied: LordGurke
05.07.2007 um 13:08 Uhr
Könnte etwas schwierig werden, aber du kannst ja im Access-Log vom Apache-Server nachgucken, welche Datei abgerufen wurde, als die E-Mails gesendet wurden. Etwas anderes fällt mir gerade leider nicht ein.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Outlook & Mail
gelöst Emails werden ohne Signatur und Text versendet - Outlook 2010 (11)

Frage von IT-com zum Thema Outlook & Mail ...

Verschlüsselung & Zertifikate
gelöst Symantec PGP Desktop - Emails unverschlüsselt speichern (3)

Frage von SirTobi27 zum Thema Verschlüsselung & Zertifikate ...

E-Mail
gelöst Tobit David fx: emails mit base64 Kodierung darstellen (1)

Frage von MichiBLNN zum Thema E-Mail ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...