Blacklist Probleme

#1
Hallo,
ich lande immer wieder mit meinem Server auf der Blacklist. Bei der Blacklistseite bekomme ich den Hinweis, dass z. B. folgender E-Mailheader das Problem ist.

Code:
Return-Path: <www-data@loft1096.serverloft.de>
X-Original-To: afrikanetto@SPAMTRAP.INVALID
Received: from hosting-hanna.de (loft1096.serverloft.de [85.25.120.187])
    by mx.selfip.biz (Spamtrap) with ESMTP
    for afrikanetto@SPAMTRAP.INVALID; Wed, 08 Oct 2014 14:50:22 +0200 (CEST)
Received: by hosting-hanna.de (Postfix, from userid 33)
    id 020D66B4026; Wed,  8 Oct 2014 14:50:21 +0200 (CEST)
To: afrikanetto@SPAMTRAP.INVALID
Subject: Starbucks Card eGift
From: "Starbucks" <support@motorsport-karriere.de>
X-Mailer: lightbulbruffiansof6
Reply-To: "Starbucks" <support@motorsport-karriere.de>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------14127726215435330DD5F6F"
Message-Id: <20141008125022.020D66B4026@hosting-hanna.de>
Date: Wed,  8 Oct 2014 14:50:21 +0200 (CEST)
Die E-Mailadresse support@ gibt es aber nicht. Wo kann ich das sperren? Ich habe ispConfig Version: 2.2.38 installiert.

Vielen Dank.
 
#2
Verpass dem Server mal einen ordentlichen FQDN. Wenn Du diese ReverseDNS und Hostnamen der Hoster nutzt kommt genau sowas gern dabei raus. Das ist mittlerweile fast so schlimm wie eine Heimleitung als Mailserver zu nutzen ohne feste IP.
Gruß Sven
 
#3
Hallo,
leider alles ohne Erfolg. Ich lande wieder ständig auf irgendwelchen Listen. Der Server wird am 31.01.15 abgeschalten aber bis dahin muss ich noch eine kostengünstige Lösung finden. Wer kann mir helfen?
Gruß Benny
 

Till

Administrator
#4
Man landet an sich nur auf Listen, wenn der Server Spam versendet. Wenn du also einen neuen Server hast dann wird der neue sicher auch dort landen falls Du die Webseiten oder accounts die jetzt für das problem sorgen auf den neuen umziehst.

Schau also mal in die mailqueue um rauszufinden, woher der spam kommt und fixe dann die webseite bzw. sperre das gehackte mailkonto. Absenderadressen kann man beliebig setzen, daher hat es nichst zu bendeuten dass es die adresse nicht gibt.

Der return-path www-data@loft____.serverloft.de deutet ja darauf hin, dass eine website gehacked wurde.
 

Till

Administrator
#8
Ich hatte ja für die Ursache des Problems gesucht dass zu dem damaligen Zeitpunkt auftrat, also nach dem Verursacher der mails die seinerzeit in der mailqueue waren. Es ist ja durchaus denkbar dass eine weitere Seite auf dem Server gehacked ist.
 

Till

Administrator
#12
Du kannst mal in die php.ini sehen, Ich glaube ich hatte da ich ein script eingebaut welches die mit php mail() versendeten mails separat in /tmp/ logged. das hatte ich nach dem debugging deaktiviert. such mal nach sendmail_path in der php.ini und aktivier es wieder, dann starte postfix neu und schau mal was in das Log in /tmp geschrieben wird.
 

Till

Administrator
#14
entferne mal das ; vor der längeren Zeile und starte apache neu. /usr/local/bin/phpsendmail ist ein wrapper script welches das log schreibt bevor es die mail and das sendmail binary weiter reicht.
 

Till

Administrator
#16
Ok, da kein Pfad drin steht konnte das script ihn nicht feststellen. Hast Du noch eine Webseite motorsport-k........de auf dem Server?

Und bitte zensiere mal die Adressen in Deinem Post.
 

Till

Administrator
#18
Geh mal in den web folder und rufe dort auf der shell auf:

grep -r eval *

Die dateien die Du dann angezeigt bekommst solltest Du mal checken, da ist häufig was gehacktes dabei.
 

Werbung

Top