[Mailqueue] Was passiert hier - kommische Mailabsender

[juser]

Hallo,

hat von Euch jemand eine Erklärung was gerade auf meinem Mailserver passiert?
Ich habe im Mailqueue Mailadressen in der Form
luckyz_luckyz@meinedomain.de
tony.sainsbury@meinedomain.de
kellieaddison@meinedomain.de
caroline.sale01@meinedomain.de
roqvalle@meinedomain.de
wobei alle Adressen definitiv nicht meine sind, z.Zt. befinden sich davon 85 im Queue.

Hab ich mir einen Trojahner eingefangen oder ist mein Server Teil eines Botnetzes?
Ich habe bisher nichts Verdächtiges gefunden, nicht mit rkhunter oder ispProtect noch hat mein Virenscanner angeschlagen. Meine Domain ist auch nicht in irgendeiner Blacklist gelandet.

 

[Till]

Schau Dir den Inhalt der mails die in der queue sind an, insbesondere den mail header. Das geht mit:

postcat -q QUEUEID

wobei Du QUEUEID mit der ID der Mail ersetzen musst.

 

[juser]

Danke @Till für die schnelle Antwort.

Leider sind momentan keine von den Mails mehr im Queue. Ich werde das aber weiter beobachten.

 

[juser]

Hallo,

heute Nacht haben sich wieder diese merkwürdigen Mails im Queue gesammelt. Ich habe mir mal den Header angesehen, bis auf das im x-Mailer iPhone Mail als Mailprogramm angegeben wird ist mir nichts weiter aufgefallen.
Da ich kein iPhone besitze kann ich mir momentan nicht vorstellen warum jemand über das iPhone in meinem Namen Mails versendet. ich hab auch nochmal nchgesehen ob mein Server in Blacklisten geführt wird. Negativ.

Kann sich den Header mal jemand ansehen, vielleicht entdeckt er ja etwas was ich über sehen habe.


Received from localhost (localhost [127.0.0.1]) by meine-server-domain.de (Postfix) with ESMTP id 22367504FCF for <gcierpil@adelphia.net>; Tue, 2 May 2017 11:09:35 +0200 (CEST)
DKIM-Signature v=1; a=rsa-sha256; c=relaxed/simple; d=meinedomain.de; h= x-mailer:date:date:message-id:subject:subject:mime-version :content-transfer-encoding:content-type:content-type:from:from; s=default; t=1493716173; x=1495530574; bh=rfpui851dq8LE17CV9415 Zval3TY9WFmJxubReXUBuQ=; b=VRbu26Kl5PuZMLgbCwPDiqYpR2tKdQ0CS6KHF KWKQ2RP66qzO/2DqakFPtaylHYLGGDvLi5XlgQmLAecw4/fekSe5tTe3aTLL22SR 83xcZWUA1r5NLhr5EhNAtWexetwNjJIYM+eNumvoqN9fiwFBPQzGHp7aoQ5tJ+TK eUHJeI=
X-Virus-Scanned Debian amavisd-new at meine-server-domain.de
Received from meine-server-domain.de ([127.0.0.1]) by localhost (meine-server-domain.de [127.0.0.1]) (amavisd-new, port 10026) with ESMTP id kfFiDkyng9Py for <gcierpil@adelphia.net>; Tue, 2 May 2017 11:09:33 +0200 (CEST)
Received from meinedomain.de (unknown [46.187.51.165]) (Authenticated sender: meinname@meinedomain.de) by meine-server-domain.de (Postfix) with ESMTPA id E6E72505021 for <gcierpil@adelphia.net>; Tue, 2 May 2017 11:09:26 +0200 (CEST)
From "tracey" <filigreee@meinedomain.de>
Content-Type text/plain; charset=us-ascii
Content-Transfer-Encoding quoted-printable
Mime-Version 1.0 (1.0)
Subject
Message-Id <F38CE669-1041-47D5-EE6C-39124FBFE6A8@meinedomain.de>
Date Tue, 2 May 2017 09:09:27 +0000
To "Uncle" <gcierpil@adelphia.net>
X-Mailer iPhone Mail (13A343)

Vielen Dank für Eure Hilfe.

 

[Till]

Ändere mal das Passwort des Konto meinname@meinedomain.de, denn der Absender hat sich über das Konto korrekt zum senden Authentifiziert.