Emails werden verschickt - wo kommen die her?
Hallo,
habe einen Server bei Strato
(SUSE 9.0)
Bekomme seit heute abend viele Mails
This is the Postfix program at host serverkompetenz.net. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <marinhof@elogica.com.br>: host mx.br.inter.net[200.142.77.19] said: 550 5.1.1 <marinhof@elogica.com.br>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command)
Absender: Sexy [GabrielaMonteiro@sexy.com.br]
Habe es probiert es sind keine Relays möglich.
Wie werden die Mails verschickt?
Danke
habe einen Server bei Strato
(SUSE 9.0)
Bekomme seit heute abend viele Mails
This is the Postfix program at host serverkompetenz.net. I'm sorry to have to inform you that the message returned below could not be delivered to one or more destinations. For further assistance, please send mail to <postmaster> If you do so, please include this problem report. You can delete your own text from the message returned below. The Postfix program <marinhof@elogica.com.br>: host mx.br.inter.net[200.142.77.19] said: 550 5.1.1 <marinhof@elogica.com.br>: Recipient address rejected: User unknown in virtual mailbox table (in reply to RCPT TO command)
Absender: Sexy [GabrielaMonteiro@sexy.com.br]
Habe es probiert es sind keine Relays möglich.
Wie werden die Mails verschickt?
Danke
Please also mark the comments that contributed to the solution of the article
Content-Key: 62884
Url: https://administrator.de/contentid/62884
Printed on: April 25, 2024 at 09:04 o'clock
8 Comments
Latest comment
Bei der gebouncten Nachricht wird ja eine Kopie der gesendeten Mail mitgeschickt.
Dann steht da ja sowas wie
--- Below this line is a copy of the message.
Return-Path: <xx@yy.zz>
Received: (qmail 5425 invoked from network); 1 Jul 2007 18:17:00 +0200
Received: from HOSTNAMEDERABSENDERADRESSE (HELO HOSTDESABSENDERMAILSERVERS) (IPDESABSENDERS)
by DOMAINNAME.de with SMTP; 1 Jul 2007 18:17:00 +0200
Message-ID: <546546798765165798@yy.zz>
Date: Sun, 01 Jul 2007 18:17:19 +0200
From: ABSENDERNAME <xx@yy.zz>
User-Agent: Thunderbird 2.0.0.4 (Windows/20070604)
MIME-Version: 1.0
To: EMPFÄNGERADRESSE
Subject: BETREFF
Falls dort statt "invoked from network" Beispielsweise "invoked by uid ..." steht, wurden die Sachen über den Server selbst, sprich ohne den Gebrauch des SMTP-Servers verschickt (PHP-Script, PERL-Script etc...).
Sollte bei "HELO Host..." nicht deine eigene Serveradresse auftauchen, hat jemand einfach nur E-Mails unter Benutzung deiner E-Mail-Adresse gesendet, die sind aber nicht über deinen Server gegangen.
Sollte bei "IPDESABSENDERS" eine IP-Adresse von dir bzw. aus dem IP-Pool deines Providers und deiner Region auftauchen wirst du wohl einen Wurm auf dem Rechner haben, der massenhaft Mails über deinen Rechner versendet.
Auf jeden Fall solltest du die Datei "messages" mal kontrollieren (in /var/log liegend), da stehen bei den Suse-Distributionen von Strato alle Anmeldungen am SMTP-Server drin.
Falls du dort einen Eintrag wie diesen findest zusammen mit einer IP-Adresse aus China oder Russland würde ich mein Kennwort ändern
Jul 2 18:55:08 h83xxx smtp_auth: SMTP connect from unknown@pool.provider.de [85.85.85.85]
Jul 2 18:55:08 h83xxx smtp_auth: smtp_auth: SMTP user benutzer : /var/qmail/mailnames/domainname.de/benutzer logged in from unknown@pool.provider.de [85.85.85.85]
Dann steht da ja sowas wie
--- Below this line is a copy of the message.
Return-Path: <xx@yy.zz>
Received: (qmail 5425 invoked from network); 1 Jul 2007 18:17:00 +0200
Received: from HOSTNAMEDERABSENDERADRESSE (HELO HOSTDESABSENDERMAILSERVERS) (IPDESABSENDERS)
by DOMAINNAME.de with SMTP; 1 Jul 2007 18:17:00 +0200
Message-ID: <546546798765165798@yy.zz>
Date: Sun, 01 Jul 2007 18:17:19 +0200
From: ABSENDERNAME <xx@yy.zz>
User-Agent: Thunderbird 2.0.0.4 (Windows/20070604)
MIME-Version: 1.0
To: EMPFÄNGERADRESSE
Subject: BETREFF
Falls dort statt "invoked from network" Beispielsweise "invoked by uid ..." steht, wurden die Sachen über den Server selbst, sprich ohne den Gebrauch des SMTP-Servers verschickt (PHP-Script, PERL-Script etc...).
Sollte bei "HELO Host..." nicht deine eigene Serveradresse auftauchen, hat jemand einfach nur E-Mails unter Benutzung deiner E-Mail-Adresse gesendet, die sind aber nicht über deinen Server gegangen.
Sollte bei "IPDESABSENDERS" eine IP-Adresse von dir bzw. aus dem IP-Pool deines Providers und deiner Region auftauchen wirst du wohl einen Wurm auf dem Rechner haben, der massenhaft Mails über deinen Rechner versendet.
Auf jeden Fall solltest du die Datei "messages" mal kontrollieren (in /var/log liegend), da stehen bei den Suse-Distributionen von Strato alle Anmeldungen am SMTP-Server drin.
Falls du dort einen Eintrag wie diesen findest zusammen mit einer IP-Adresse aus China oder Russland würde ich mein Kennwort ändern
Jul 2 18:55:08 h83xxx smtp_auth: SMTP connect from unknown@pool.provider.de [85.85.85.85]
Jul 2 18:55:08 h83xxx smtp_auth: smtp_auth: SMTP user benutzer : /var/qmail/mailnames/domainname.de/benutzer logged in from unknown@pool.provider.de [85.85.85.85]
Mir fällt grad auf die schnelle kein Befehl ein, mit dem man die UID in den Login-Namen übersetzen könnte, aber da du ja Suse hast, kannst du über Yast die Benutzerverwaltung aufrufen und dort den Filter auf "System Users" umstellen.
Bei mir gehört die UID 30 aber zum Benutzer wwwrun, unter dem ja der Apache läuft.
Von daher gehe ich mal stark davon aus, dass die Mails über ein PHP-Script versendet werden, möglicherweise ist ja dein FTP-Zugang geknackt worden und da liegt jetzt eine Datei von der du nichts weißt.
Je nach verwendeten FTP-Server kannst du auch in der messages nachgucken, wann eine FTP-Verbindung unter deinem Benutzernamen aufgebaut wurde.
grep BENUTZERNAME /var/log/messages
Dein Auszug aus dem Log zeigt nur die Angriffe auf den SSH-Daemon
Der SMTP-Server scheint aber gar nicht genutzt worden zu sein, da dir ja angezeigt wird, dass die Mails von UID 30 geschickt wurden. Außerdem steht noch im Quelltext in der Zeile "X-Mailer", dass die Mailfunktionen von PHP 4.3.3 genutzt wurden - kurz, die werden über ein PHP-Script gesendet.
Bei mir gehört die UID 30 aber zum Benutzer wwwrun, unter dem ja der Apache läuft.
Von daher gehe ich mal stark davon aus, dass die Mails über ein PHP-Script versendet werden, möglicherweise ist ja dein FTP-Zugang geknackt worden und da liegt jetzt eine Datei von der du nichts weißt.
Je nach verwendeten FTP-Server kannst du auch in der messages nachgucken, wann eine FTP-Verbindung unter deinem Benutzernamen aufgebaut wurde.
grep BENUTZERNAME /var/log/messages
Dein Auszug aus dem Log zeigt nur die Angriffe auf den SSH-Daemon
Der SMTP-Server scheint aber gar nicht genutzt worden zu sein, da dir ja angezeigt wird, dass die Mails von UID 30 geschickt wurden. Außerdem steht noch im Quelltext in der Zeile "X-Mailer", dass die Mailfunktionen von PHP 4.3.3 genutzt wurden - kurz, die werden über ein PHP-Script gesendet.