Unbekannte Mails in mailq

Sigix

Member
Hallo,

ich habe seit gestern Mails in der mailq welche mir verdächtig vorkommen!
Ich kenne den Absender sowie den Empfänger nicht!

hier ein kleiner Ausschnitt:

77C35CC281E8 3984 Tue Jan 21 11:05:29 FG@mail2.test.com
(host mx02.htp-tel.de[81.14.243.107] said: 451 4.7.1 Greylisting in action, please come back later (in reply to RCPT TO command))
dr.t.bimmler@htp-tel.de

78195CC281DD 3974 Tue Jan 21 11:02:56 Fiducia@mail2.test.com
(host mail.metaling.com[212.72.100.18] said: 450 4.2.0 <pavel.nemet@netsi.si>: Recipient address rejected: Greylisted, see Postgrey Help (in reply to RCPT TO command))
pavel.nemet@netsi.si

279F3CC281E9 3960 Tue Jan 21 11:05:32 FG@mail2.test.com
(host mxgate02.telemed.de[193.158.110.35] said: 450 4.7.1 <binder@telemed.de>: Recipient address rejected: Greylisted, see Postgrey - Postfix Greylisting Policy Server (in reply to RCPT TO command))
binder@telemed.de

90A4ACC28073 4008 Tue Jan 21 11:02:40 Fiducia@mail2.test.com
(host mailin.ssp-europe.eu[94.16.0.20] refused to talk to me: 554-mail03.ssp-europe.eu 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
montage-5445@ortner-anlagen.at

9BF5ECC281E7 3976 Tue Jan 21 11:05:26 FG@mail2.test.com
(host mail.urologie-syke.de[212.223.165.71] said: 451 Too busy - try again later or see http://www.clustermail.de/fehler.html#9 (in reply to RCPT TO command))
info@urologie-syke.de

3C822CC281E3 3968 Tue Jan 21 11:05:21 FG@mail2.test.com
(host mail.endoc-med.de[85.13.134.133] said: 450 4.2.0 <praxis@endoc-med.de>: Recipient address rejected: Greylisted, see Postgrey Help (in reply to RCPT TO command))
praxis@endoc-med.de

mittlerweile bin ich von BARRACUDA blacklisted worden!

das habe ich im syslog gefunden:
Jan 21 11:13:29 mail2 postfix/smtpd[5741]: connect from localhost[127.0.0.1]
Jan 21 11:13:29 mail2 postfix/smtpd[5741]: 7345BCC2824C: client=localhost[127.0.0.1]
Jan 21 11:13:29 mail2 postfix/cleanup[7213]: 7345BCC2824C: message-id=<01cf1691$Blat.v3.1.1$6e41496d$bd09674490e@test.com>
Jan 21 11:13:29 mail2 postfix/qmgr[3497]: 7345BCC2824C: from=<Volksbank@mail2.test.com>, size=3970, nrcpt=1 (queue active)
Jan 21 11:13:29 mail2 postfix/smtpd[5741]: disconnect from localhost[127.0.0.1]
Jan 21 11:13:29 mail2 amavis[6024]: (06024-18) Passed CLEAN, [217.81.27.166] [217.81.27.166] <Volksbank@mail2.test.com> -> <schulz@lm-anlagen.de>, Message-ID: <01cf1691$Blat.v3.1.1$6e41496d$bd09674490e@test.com>, mail_id: 3JMFSITEmTMq, Hits: 0.102, size: 3520, queued_as: 7345BCC2824C, 103 ms
Jan 21 11:13:29 mail2 postfix/smtp[7214]: 482A9CC28076: to=<schulz@lm-anlagen.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.22, delays=0.12/0/0/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=06024-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7345BCC2824C)
Jan 21 11:13:29 mail2 postfix/qmgr[3497]: 482A9CC28076: removed
Jan 21 11:13:29 mail2 postfix/smtp[7239]: 7345BCC2824C: to=<schulz@lm-anlagen.de>, relay=mail.nacura.de[193.151.32.48]:25, delay=0.49, delays=0.02/0/0.12/0.35, dsn=4.2.0, status=deferred (host mail.nacura.de[193.151.32.48] said: 450 4.2.0 <schulz@lm-anlagen.de>: Recipient address rejected: Greylisted_for_300_seconds_(see_http://isg.ee.ethz.ch/tools/postgrey/help/nacura.de.html) (in reply to RCPT TO command))

Wenn ich das richtig lese kommen die Mails vom localhost, nur wie kann ich herausfinden von wo genau ???????

rkhunter habe ich schon durchlaufen lassen der hat nichts gefunden nur 2 Warnings:
Checking loaded kernel modules [ Warning ]
Checking if SSH root access is allowed [ Warning ]

System checks summary
=====================

File properties checks...
Files checked: 137
Suspect files: 0

Rootkit checks...
Rootkits checked : 247
Possible rootkits: 0

Applications checks...
All checks skipped

The system checks took: 1 minute and 43 seconds


Kann mir hier wer helfen der Ursache auf den Grund zu gehen???
Danke im Voraus!

sigi
 

Sigix

Member
Hi Till

scheint doch nicht ganz die Lösung gewesen zu sein, was ich gemacht habe .... Habe das Kennwort des Emailaccounts geändert welcher im Header als Authenticated-Sender steht,... Emails kommen nach wie vor in die Mailq!

Was kann ich weiter machen... hier so eine Mail:

root@mail2:/usr/share# postcat /var/spool/postfix/deferred/3/3AC3ECC28076
*** ENVELOPE RECORDS /var/spool/postfix/deferred/3/3AC3ECC28076 ***
message_size: 2930 638 1 0 2930
message_arrival_time: Tue Jan 21 12:20:04 2014
create_time: Tue Jan 21 12:20:04 2014
named_attribute: rewrite_context=local
sender: Telekom@mail2.test.com
named_attribute: encoding=8bit
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=44979
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=44979
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;spammer@adresse.xyz
original_recipient: spammer@adresse.xyz
recipient: spammer@adresse.xyz
*** MESSAGE CONTENTS /var/spool/postfix/deferred/3/3AC3ECC28076 ***
Received: from localhost (localhost [127.0.0.1])
by mail2.sx-it.com (Postfix) with ESMTP id 3AC3ECC28076
for <s.pollmann@megens-straelen.de>; Tue, 21 Jan 2014 12:20:04 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mail2.test.com
Received: from mail2.test.com ([127.0.0.1])
by localhost (mail2.test.com [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id iU0bxNY3A5Bi for <spammer@adresse.xyz>;
Tue, 21 Jan 2014 12:20:04 +0100 (CET)
Received: from egger-pc (unknown [80.122.146.186])
(Authenticated sender: info@sender.at)
by mail2.sx-it.com (Postfix) with ESMTPA id 0C4E6CC28073
for <spammer@adresse.xyz>; Tue, 21 Jan 2014 12:20:04 +0100 (CET)
Date: Tue, 21 Jan 2014 12:20:02 +0100
From: Telekom Deutschland
<info@sender.at>
To: spammer@adresse.xyz
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer happy mailing : Blat online
Message-ID: <01cf169a$Blat.v3.1.1$bbccfe8e$101854888020@test.com>
Subject: RechnungOnline Monat Januar 2014 Buchungskonto: 9576001742
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
charset="ISO-8859-1"

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 08.01.0240.003">

<TITLE>Telekom Deutschland GmbH.</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->

<img width="600" height="77" title="TELEKOM - ERLEBEN, WAS VERBINDET." style="color: #e20074; font-family: arial; font-size: 12px; border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; display: block;" alt="TELEKOM - ERLEBEN, WAS VERBINDET." src="" border="0"/>

<P><FONT SIZE=2>Sehr geehrte Kundin,<BR>

sehr geehrter Kunde<BR>

<BR>

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat Januar,


<BR>
<BR>
<A HREF=""</A><BR>

<BR>

Mit freundlichen Grüßen,<BR>

Geschäftskundenservice<BR>

<BR>

Telekom Deutschland GmbH<BR>

Aufsichtsrat: Timotheus Höttges Vorsitzender<BR>

Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner<BR>

Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn<BR>

USt-Id.Nr.: DE 989100715531<BR>

WEEE-Reg.-Nr.: 563240639100<BR>

<BR>
---
<BR>
This email was Virus checked by NOD32.

Mail wurde auf Viren geprüft.

</FONT>

</P>




</BODY>

</HTML>
*** HEADER EXTRACTED /var/spool/postfix/deferred/3/3AC3ECC28076 ***
named_attribute: encoding=8bit
*** MESSAGE FILE END /var/spool/postfix/deferred/3/3AC3ECC28076 ***
root@mail2:/usr/share#


Was kann ich noch machen damit ich das in den Griff bekomme ?

Danke im Voraus
 
Zuletzt bearbeitet:

Till

Administrator
Starte mal postfix, sslauthd, courier-authdaemon und dovecot neu (also alles, was davon installiert ist). Dann sollte das aufhören, da es ein kann dass die logins gecached sind.
 

Till

Administrator
p.s. Wegen genau der Email hab ich heute Morgen einen Anruf meines Vaters bekommen ;) Also nicht von Dir verschickt, aber vom selben Spammer. Wenn ihm Emails suspekt sind, ruft er mich an und öffnet sie nicht und ich checke sie dann per webmail. Wenn dass alle technisch nicht so versierten machen würden, könnten die spammer einpacken :D

Löschst Du die email bitte noch aus Deinem Post wieder raus oder machst zumindest die email adressen und links darin unkenntlich?
 

Sigix

Member
p.s. Wegen genau der Email hab ich heute Morgen einen Anruf meines Vaters bekommen ;) Also nicht von Dir verschickt, aber vom selben Spammer. Wenn ihm Emails suspekt sind, ruft er mich an und öffnet sie nicht und ich checke sie dann per webmail. Wenn dass alle technisch nicht so versierten machen würden, könnten die spammer einpacken :D

Löschst Du die email bitte noch aus Deinem Post wieder raus oder machst zumindest die email adressen und links darin unkenntlich?

Ja genau das wäre die Lösung..... kein Klick auf die Files/Anhänge --> keine SPAM-Flut!

Weiters würde es uns als Mailbox-Hoster viel ärger ersparen!!

Links und Emailadressen habe ich entfernt.....

Danke nochmals für deine Hilfe !!!

Nach einem kompletten Reboot scheint wieder alles okay zu sein!

Lg Sigi
 

Werbung

Top