Unbekannte Mails in mailq

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Sigix, 21. Jan. 2014.

  1. Sigix

    Sigix Member

    Hallo,

    ich habe seit gestern Mails in der mailq welche mir verdächtig vorkommen!
    Ich kenne den Absender sowie den Empfänger nicht!

    hier ein kleiner Ausschnitt:

    77C35CC281E8 3984 Tue Jan 21 11:05:29 FG@mail2.test.com
    (host mx02.htp-tel.de[81.14.243.107] said: 451 4.7.1 Greylisting in action, please come back later (in reply to RCPT TO command))
    dr.t.bimmler@htp-tel.de

    78195CC281DD 3974 Tue Jan 21 11:02:56 Fiducia@mail2.test.com
    (host mail.metaling.com[212.72.100.18] said: 450 4.2.0 <pavel.nemet@netsi.si>: Recipient address rejected: Greylisted, see Postgrey Help (in reply to RCPT TO command))
    pavel.nemet@netsi.si

    279F3CC281E9 3960 Tue Jan 21 11:05:32 FG@mail2.test.com
    (host mxgate02.telemed.de[193.158.110.35] said: 450 4.7.1 <binder@telemed.de>: Recipient address rejected: Greylisted, see Postgrey - Postfix Greylisting Policy Server (in reply to RCPT TO command))
    binder@telemed.de

    90A4ACC28073 4008 Tue Jan 21 11:02:40 Fiducia@mail2.test.com
    (host mailin.ssp-europe.eu[94.16.0.20] refused to talk to me: 554-mail03.ssp-europe.eu 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
    montage-5445@ortner-anlagen.at

    9BF5ECC281E7 3976 Tue Jan 21 11:05:26 FG@mail2.test.com
    (host mail.urologie-syke.de[212.223.165.71] said: 451 Too busy - try again later or see http://www.clustermail.de/fehler.html#9 (in reply to RCPT TO command))
    info@urologie-syke.de

    3C822CC281E3 3968 Tue Jan 21 11:05:21 FG@mail2.test.com
    (host mail.endoc-med.de[85.13.134.133] said: 450 4.2.0 <praxis@endoc-med.de>: Recipient address rejected: Greylisted, see Postgrey Help (in reply to RCPT TO command))
    praxis@endoc-med.de

    mittlerweile bin ich von BARRACUDA blacklisted worden!

    das habe ich im syslog gefunden:
    Jan 21 11:13:29 mail2 postfix/smtpd[5741]: connect from localhost[127.0.0.1]
    Jan 21 11:13:29 mail2 postfix/smtpd[5741]: 7345BCC2824C: client=localhost[127.0.0.1]
    Jan 21 11:13:29 mail2 postfix/cleanup[7213]: 7345BCC2824C: message-id=<01cf1691$Blat.v3.1.1$6e41496d$bd09674490e@test.com>
    Jan 21 11:13:29 mail2 postfix/qmgr[3497]: 7345BCC2824C: from=<Volksbank@mail2.test.com>, size=3970, nrcpt=1 (queue active)
    Jan 21 11:13:29 mail2 postfix/smtpd[5741]: disconnect from localhost[127.0.0.1]
    Jan 21 11:13:29 mail2 amavis[6024]: (06024-18) Passed CLEAN, [217.81.27.166] [217.81.27.166] <Volksbank@mail2.test.com> -> <schulz@lm-anlagen.de>, Message-ID: <01cf1691$Blat.v3.1.1$6e41496d$bd09674490e@test.com>, mail_id: 3JMFSITEmTMq, Hits: 0.102, size: 3520, queued_as: 7345BCC2824C, 103 ms
    Jan 21 11:13:29 mail2 postfix/smtp[7214]: 482A9CC28076: to=<schulz@lm-anlagen.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.22, delays=0.12/0/0/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=06024-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7345BCC2824C)
    Jan 21 11:13:29 mail2 postfix/qmgr[3497]: 482A9CC28076: removed
    Jan 21 11:13:29 mail2 postfix/smtp[7239]: 7345BCC2824C: to=<schulz@lm-anlagen.de>, relay=mail.nacura.de[193.151.32.48]:25, delay=0.49, delays=0.02/0/0.12/0.35, dsn=4.2.0, status=deferred (host mail.nacura.de[193.151.32.48] said: 450 4.2.0 <schulz@lm-anlagen.de>: Recipient address rejected: Greylisted_for_300_seconds_(see_http://isg.ee.ethz.ch/tools/postgrey/help/nacura.de.html) (in reply to RCPT TO command))

    Wenn ich das richtig lese kommen die Mails vom localhost, nur wie kann ich herausfinden von wo genau ???????

    rkhunter habe ich schon durchlaufen lassen der hat nichts gefunden nur 2 Warnings:
    Checking loaded kernel modules [ Warning ]
    Checking if SSH root access is allowed [ Warning ]

    System checks summary
    =====================

    File properties checks...
    Files checked: 137
    Suspect files: 0

    Rootkit checks...
    Rootkits checked : 247
    Possible rootkits: 0

    Applications checks...
    All checks skipped

    The system checks took: 1 minute and 43 seconds


    Kann mir hier wer helfen der Ursache auf den Grund zu gehen???
    Danke im Voraus!

    sigi
     
  2. Till

    Till Administrator

  3. Sigix

    Sigix Member

    Hallo,

    der Open Relay Tester ist nicht mehr verfügbar
    habe es mit mxtoolb**.com getestet..

    KEIN OPEN RELAY!

    genau der Befehl war es welcher mir geholfen hat
    postcat /var/spool/postfix/deferred/E/E06F81CEBAEE

    Authentifizierter Sender zeigte den Schuldigen!

    Danke dir Till!
     
  4. Sigix

    Sigix Member

    Hi Till

    scheint doch nicht ganz die Lösung gewesen zu sein, was ich gemacht habe .... Habe das Kennwort des Emailaccounts geändert welcher im Header als Authenticated-Sender steht,... Emails kommen nach wie vor in die Mailq!

    Was kann ich weiter machen... hier so eine Mail:

    root@mail2:/usr/share# postcat /var/spool/postfix/deferred/3/3AC3ECC28076
    *** ENVELOPE RECORDS /var/spool/postfix/deferred/3/3AC3ECC28076 ***
    message_size: 2930 638 1 0 2930
    message_arrival_time: Tue Jan 21 12:20:04 2014
    create_time: Tue Jan 21 12:20:04 2014
    named_attribute: rewrite_context=local
    sender: Telekom@mail2.test.com
    named_attribute: encoding=8bit
    named_attribute: log_client_name=localhost
    named_attribute: log_client_address=127.0.0.1
    named_attribute: log_client_port=44979
    named_attribute: log_message_origin=localhost[127.0.0.1]
    named_attribute: log_helo_name=localhost
    named_attribute: log_protocol_name=ESMTP
    named_attribute: client_name=localhost
    named_attribute: reverse_client_name=localhost
    named_attribute: client_address=127.0.0.1
    named_attribute: client_port=44979
    named_attribute: helo_name=localhost
    named_attribute: protocol_name=ESMTP
    named_attribute: client_address_type=2
    named_attribute: dsn_orig_rcpt=rfc822;spammer@adresse.xyz
    original_recipient: spammer@adresse.xyz
    recipient: spammer@adresse.xyz
    *** MESSAGE CONTENTS /var/spool/postfix/deferred/3/3AC3ECC28076 ***
    Received: from localhost (localhost [127.0.0.1])
    by mail2.sx-it.com (Postfix) with ESMTP id 3AC3ECC28076
    for <s.pollmann@megens-straelen.de>; Tue, 21 Jan 2014 12:20:04 +0100 (CET)
    X-Virus-Scanned: Debian amavisd-new at mail2.test.com
    Received: from mail2.test.com ([127.0.0.1])
    by localhost (mail2.test.com [127.0.0.1]) (amavisd-new, port 10024)
    with ESMTP id iU0bxNY3A5Bi for <spammer@adresse.xyz>;
    Tue, 21 Jan 2014 12:20:04 +0100 (CET)
    Received: from egger-pc (unknown [80.122.146.186])
    (Authenticated sender: info@sender.at)
    by mail2.sx-it.com (Postfix) with ESMTPA id 0C4E6CC28073
    for <spammer@adresse.xyz>; Tue, 21 Jan 2014 12:20:04 +0100 (CET)
    Date: Tue, 21 Jan 2014 12:20:02 +0100
    From: Telekom Deutschland
    <info@sender.at>
    To: spammer@adresse.xyz
    X-MSMail-Priority: High
    X-Priority: 1
    Priority: urgent
    Importance: high
    X-MimeOLE: Produced by Blat v3.1.1
    X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer happy mailing : Blat online
    Message-ID: <01cf169a$Blat.v3.1.1$bbccfe8e$101854888020@test.com>
    Subject: RechnungOnline Monat Januar 2014 Buchungskonto: 9576001742
    Content-Transfer-Encoding: 8BIT
    Content-Type: text/html;
    charset="ISO-8859-1"

    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

    <HTML>

    <HEAD>

    <META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

    <META NAME="Generator" CONTENT="MS Exchange Server version 08.01.0240.003">

    <TITLE>Telekom Deutschland GmbH.</TITLE>

    </HEAD>

    <BODY>

    <!-- Converted from text/plain format -->

    <img width="600" height="77" title="TELEKOM - ERLEBEN, WAS VERBINDET." style="color: #e20074; font-family: arial; font-size: 12px; border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; display: block;" alt="TELEKOM - ERLEBEN, WAS VERBINDET." src="" border="0"/>

    <P><FONT SIZE=2>Sehr geehrte Kundin,<BR>

    sehr geehrter Kunde<BR>

    <BR>

    Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat Januar,


    <BR>
    <BR>
    <A HREF=""</A><BR>

    <BR>

    Mit freundlichen Grüßen,<BR>

    Geschäftskundenservice<BR>

    <BR>

    Telekom Deutschland GmbH<BR>

    Aufsichtsrat: Timotheus Höttges Vorsitzender<BR>

    Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner<BR>

    Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn<BR>

    USt-Id.Nr.: DE 989100715531<BR>

    WEEE-Reg.-Nr.: 563240639100<BR>

    <BR>
    ---
    <BR>
    This email was Virus checked by NOD32.

    Mail wurde auf Viren geprüft.

    </FONT>

    </P>




    </BODY>

    </HTML>
    *** HEADER EXTRACTED /var/spool/postfix/deferred/3/3AC3ECC28076 ***
    named_attribute: encoding=8bit
    *** MESSAGE FILE END /var/spool/postfix/deferred/3/3AC3ECC28076 ***
    root@mail2:/usr/share#


    Was kann ich noch machen damit ich das in den Griff bekomme ?

    Danke im Voraus
     
    Zuletzt bearbeitet: 21. Jan. 2014
  5. Till

    Till Administrator

    Starte mal postfix, sslauthd, courier-authdaemon und dovecot neu (also alles, was davon installiert ist). Dann sollte das aufhören, da es ein kann dass die logins gecached sind.
     
  6. Till

    Till Administrator

    p.s. Wegen genau der Email hab ich heute Morgen einen Anruf meines Vaters bekommen ;) Also nicht von Dir verschickt, aber vom selben Spammer. Wenn ihm Emails suspekt sind, ruft er mich an und öffnet sie nicht und ich checke sie dann per webmail. Wenn dass alle technisch nicht so versierten machen würden, könnten die spammer einpacken :D

    Löschst Du die email bitte noch aus Deinem Post wieder raus oder machst zumindest die email adressen und links darin unkenntlich?
     
  7. Sigix

    Sigix Member

    Ja genau das wäre die Lösung..... kein Klick auf die Files/Anhänge --> keine SPAM-Flut!

    Weiters würde es uns als Mailbox-Hoster viel ärger ersparen!!

    Links und Emailadressen habe ich entfernt.....

    Danke nochmals für deine Hilfe !!!

    Nach einem kompletten Reboot scheint wieder alles okay zu sein!

    Lg Sigi
     

Diese Seite empfehlen