4
Missbrauch meines Mails-Servers zum Spam-Versand? Oder wie ist das zu deuten?
Hallo Zusammen!
Ich habe einen eigenen Webserver, auf dem Suse Linux 9.3 läuft. Das ganze ist ausgestattet mit einen Spamassassin Filter - dieser funktioniert auch. Mein Exchange Server wiederum verbindet sich per POP mit den Webserver und ruft dort die vorgefilterten eMails ab - das funktioniert auch immer problemlos.
Mittlerweile bekomme ich aber folgende Nachrichten von meinem Exchange-Server:
Ihre Nachricht hat keine oder nicht alle Empfänger erreicht.
Betreff: RE: SALE 70% OFF on Pfizer
Gesendet: 21.12.2007 12:58
Folgende(r) Empfänger konnte(n) nicht erreicht werden:
pranee.threekul@bluesideup.nl am 21.12.2007 12:58
Das E-Mail-Konto ist in der Organisation, an die diese Nachricht gesendet wurde, nicht vorhanden. Überprüfen Sie die E-Mail-Adresse, oder setzen Sie sich direkt mit dem Empfänger in Verbindung, um die richtige E-Mail-Adresse herauszufinden.
<terminal-server.paracentrumtexel.local #5.1.1>
Ich kenne ja bereits die eMails, die so tun, als kommen sie von mir - also meinen Absender faken. Nur oben genannte Mail verunsichert mich ein wenig. Kann es sein, dass jemand irgendwie es geschafft hat, über meinen SMTP Nachrichten zu versenden?
Ich kenne mich damit nicht aus und würde mich deshalb freuen, wenn ihr mir sagen könntet, wie ich das zu deuten habe - und wenn ich mit meinen Vermutungen richtig liege, was ich dagegen tun kann.
Gruß
Florian
Ich habe einen eigenen Webserver, auf dem Suse Linux 9.3 läuft. Das ganze ist ausgestattet mit einen Spamassassin Filter - dieser funktioniert auch. Mein Exchange Server wiederum verbindet sich per POP mit den Webserver und ruft dort die vorgefilterten eMails ab - das funktioniert auch immer problemlos.
Mittlerweile bekomme ich aber folgende Nachrichten von meinem Exchange-Server:
Ihre Nachricht hat keine oder nicht alle Empfänger erreicht.
Betreff: RE: SALE 70% OFF on Pfizer
Gesendet: 21.12.2007 12:58
Folgende(r) Empfänger konnte(n) nicht erreicht werden:
pranee.threekul@bluesideup.nl am 21.12.2007 12:58
Das E-Mail-Konto ist in der Organisation, an die diese Nachricht gesendet wurde, nicht vorhanden. Überprüfen Sie die E-Mail-Adresse, oder setzen Sie sich direkt mit dem Empfänger in Verbindung, um die richtige E-Mail-Adresse herauszufinden.
<terminal-server.paracentrumtexel.local #5.1.1>
Ich kenne ja bereits die eMails, die so tun, als kommen sie von mir - also meinen Absender faken. Nur oben genannte Mail verunsichert mich ein wenig. Kann es sein, dass jemand irgendwie es geschafft hat, über meinen SMTP Nachrichten zu versenden?
Ich kenne mich damit nicht aus und würde mich deshalb freuen, wenn ihr mir sagen könntet, wie ich das zu deuten habe - und wenn ich mit meinen Vermutungen richtig liege, was ich dagegen tun kann.
Gruß
Florian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 76477
Url: https://administrator.de/contentid/76477
Printed on: April 20, 2024 at 11:04 o'clock
4 Comments
Latest comment
Kontrollier mal ob der Empfänger die E-mail tatsächlich nicht erhalten hat.
Oder kontrollier mal ob die Festplatte des Servers nicht einfach überfüllt ist oder das Cache-Limit nicht überschritten ist.
Oder kontrollier mal ob die Festplatte des Servers nicht einfach überfüllt ist oder das Cache-Limit nicht überschritten ist.
Also die Festplatten von beiden Servern haben noch genug Platz. Limits hatte ich damals auf unbeschränkt für meinen Account gesetzt gehabt.
"Kontrollier mal ob der Empfänger die E-mail tatsächlich nicht erhalten hat.
" - wie und wo kann ich das kontrollieren? Beim Exchange oder beim eigentlichen Mail-Server?
"Kontrollier mal ob der Empfänger die E-mail tatsächlich nicht erhalten hat.
" - wie und wo kann ich das kontrollieren? Beim Exchange oder beim eigentlichen Mail-Server?
Ich konnte jetzt folgendes in den LOGs von meinem Webserver finden:
Dec 21 12:57:29 postfix/smtpd[19901]: connect from smtp-vbr17.xs4all.nl[194.109.24.37]
Dec 21 12:57:29 postfix/smtpd[19901]: 398707D8027: client=smtp-vbr17.xs4all.nl[194.109.24.37]
Dec 21 12:57:29 postfix/cleanup[20432]: 398707D8027: message-id=<ZbLAX3cf300000696@terminal-server.paracentrumtexel.local>
Dec 21 12:57:29 postfix/qmgr[10133]: 398707D8027: from=<>, size=3104, nrcpt=1 (queue active)
Dec 21 12:57:29 spamd[28173]: connection from localhost [127.0.0.1] at port 3023
Dec 21 12:57:29 spamd[28173]: info: setuid to filter succeeded
Dec 21 12:57:29 spamd[28173]: Creating default_prefs [/var/spool/filter/.spamassassin/user_prefs]
Dec 21 12:57:29 spamd[28173]: Cannot write to /var/spool/filter/.spamassassin/user_prefs: Permission denied
Dec 21 12:57:29 spamd[28173]: Couldn't create readable default_prefs for [/var/spool/filter/.spamassassin/user_prefs]
Dec 21 12:57:29 postfix/smtpd[19901]: disconnect from smtp-vbr17.xs4all.nl[194.109.24.37]
Dec 21 12:57:29 spamd[28173]: processing message <ZbLAX3cf300000696@terminal-server.paracentrumtexel.local> for filter:1002.
Dec 21 12:57:29 spamd[28173]: clean message (3.8/3.9) for filter:1002 in 0.1 seconds, 3087 bytes.
Dec 21 12:57:29 spamd[28173]: result: . 3 - DRUGS_ERECTILE,DRUGS_ERECTILE_OBFU,HTML_90_100,HTML_MESSAGE,NO_REAL_NAME scantime=0.1,size=30
Dec 21 12:57:29 postfix/pickup[19515]: 66A2C7D8029: uid=1002 from=<MAILER-DAEMON@meinserver.de>
Dec 21 12:57:29 postfix/cleanup[20430]: 66A2C7D8029: message-id=<ZbLAX3cf300000696@terminal-server.paracentrumtexel.local>
Dec 21 12:57:29 postfix/qmgr[10133]: 66A2C7D8029: from=<>, size=3489, nrcpt=1 (queue active)
Dec 21 12:57:29 postfix/local[20371]: 66A2C7D8029: to=<web6p1@meinserver.de>, relay=local, delay=0, status=sent (delivered to m
Dec 21 12:57:29 postfix/qmgr[10133]: 66A2C7D8029: removed
Dec 21 12:57:29 postfix/pipe[20456]: 398707D8027: to=<web6p1@meinserver.de>, orig_to=<meine@email.com>, relay=spamfilter, delay=
Dec 21 12:57:29 postfix/qmgr[10133]: 398707D8027: removed
Da kommt also die eMail tatsächlich an. Nur so richtig deuten kann ich das nicht.
Wie gesagt - ich weiss wo ich die Logs finde etc. aber mehr auch nicht. Bin also für jeden Rat bzw. Hinweis dankbar.
Danke und Gruß
Florian
Dec 21 12:57:29 postfix/smtpd[19901]: connect from smtp-vbr17.xs4all.nl[194.109.24.37]
Dec 21 12:57:29 postfix/smtpd[19901]: 398707D8027: client=smtp-vbr17.xs4all.nl[194.109.24.37]
Dec 21 12:57:29 postfix/cleanup[20432]: 398707D8027: message-id=<ZbLAX3cf300000696@terminal-server.paracentrumtexel.local>
Dec 21 12:57:29 postfix/qmgr[10133]: 398707D8027: from=<>, size=3104, nrcpt=1 (queue active)
Dec 21 12:57:29 spamd[28173]: connection from localhost [127.0.0.1] at port 3023
Dec 21 12:57:29 spamd[28173]: info: setuid to filter succeeded
Dec 21 12:57:29 spamd[28173]: Creating default_prefs [/var/spool/filter/.spamassassin/user_prefs]
Dec 21 12:57:29 spamd[28173]: Cannot write to /var/spool/filter/.spamassassin/user_prefs: Permission denied
Dec 21 12:57:29 spamd[28173]: Couldn't create readable default_prefs for [/var/spool/filter/.spamassassin/user_prefs]
Dec 21 12:57:29 postfix/smtpd[19901]: disconnect from smtp-vbr17.xs4all.nl[194.109.24.37]
Dec 21 12:57:29 spamd[28173]: processing message <ZbLAX3cf300000696@terminal-server.paracentrumtexel.local> for filter:1002.
Dec 21 12:57:29 spamd[28173]: clean message (3.8/3.9) for filter:1002 in 0.1 seconds, 3087 bytes.
Dec 21 12:57:29 spamd[28173]: result: . 3 - DRUGS_ERECTILE,DRUGS_ERECTILE_OBFU,HTML_90_100,HTML_MESSAGE,NO_REAL_NAME scantime=0.1,size=30
Dec 21 12:57:29 postfix/pickup[19515]: 66A2C7D8029: uid=1002 from=<MAILER-DAEMON@meinserver.de>
Dec 21 12:57:29 postfix/cleanup[20430]: 66A2C7D8029: message-id=<ZbLAX3cf300000696@terminal-server.paracentrumtexel.local>
Dec 21 12:57:29 postfix/qmgr[10133]: 66A2C7D8029: from=<>, size=3489, nrcpt=1 (queue active)
Dec 21 12:57:29 postfix/local[20371]: 66A2C7D8029: to=<web6p1@meinserver.de>, relay=local, delay=0, status=sent (delivered to m
Dec 21 12:57:29 postfix/qmgr[10133]: 66A2C7D8029: removed
Dec 21 12:57:29 postfix/pipe[20456]: 398707D8027: to=<web6p1@meinserver.de>, orig_to=<meine@email.com>, relay=spamfilter, delay=
Dec 21 12:57:29 postfix/qmgr[10133]: 398707D8027: removed
Da kommt also die eMail tatsächlich an. Nur so richtig deuten kann ich das nicht.
Wie gesagt - ich weiss wo ich die Logs finde etc. aber mehr auch nicht. Bin also für jeden Rat bzw. Hinweis dankbar.
Danke und Gruß
Florian
Na du shcicks eine Mail, dann bekommst du ja die Meldung dass der Empfänger die Mail nicht erhalten hat, ruf diesen oder wenn es intern ist geh zu ihm und kontrolliere es, so was in der Art
