Hilfe, von meinem Server werden eMail verschickt

[simonius]

Seit einigen Tagen liegen regelmässig "Returned mails" in meinem Junk-Mail Ordner. Ich habe mir lang nichts grosses dabei gedacht, da ich vermutete, dass es sich einfach um blöde, als returned-mails getarnte Spammails handelt.
Da die Mail-Flut (3-6 pro Tag) anhielt, schaute ich mir die Mails mal etwas genauer an. Und nun bin ich vollkommen irritiert.
Die Mails sehen ungefähr so aus

CODE The original message was received at Tue, 9 Jan 2007 13:06:28 +0200 (IST)
from [88.234.168.200]

----- The following addresses had permanent delivery errors -----



From: Castro K. Peggy <mjbovq@meinedomain.com>
To: <shetin@zahav.net.il>
Subject: I assumed, given all the media coverage, that I'd be getting these new Permanent stamps.
Sent: Dienstag, 9. Januar 2007 11:01:03


So sieht der gewöhnliche Spam, den ich erhalte, nicht aus. Darum habe ich in meinen Raw Access Logs mal nach den IP's gesucht, die sind aber dort nicht auffindbar. Was mich nun noch mehr verwirrte.
Momentan liegt bei mir die Vermutung nahe, dass mein guter Server für Spammails (oder sowas ähnliches, weil die Inhalte für mich keinen Sinn ergeben) herhalten muss, wobei ich mir nicht erklären kann, wieso die IPs dann nicht in den Logs gespeichert sein sollten.

Kann mir jemand helfen bzw. hat jemand eine Idee, wie ich überprüfen könnte, ob mein Server "missbraucht" wird?

EDIT/PS: Die "Täter" scheinen von der Türkei aus zu agieren... (laut den IPs)

 

[sd12]

1. Hast du ein Kontaktfprmular auf deiner Homepage?
2. ISt es DEIN Server oder ein Hosting?
3. Poste mal den gesamten Mail-Header.

 

[Jürgen Auer]

Das erinnert an jene Hackversuche, die ich hier beobachtet hatte.

Die Mails sehen ähnlich aus.

Da sie allerdings teilweise zurückkommen, dürften nur jene zurückkommen, bei denen die Adresse falsch ist - also ist dem Spammer bereits klar, daß dein Server offen ist - und Du siehst nur einen Bruchteil der Aktivitäten - nämlich bloß die fehlgeschlagenen.

Die mit korrekter Adresse sehen nur die unfreiwilligen Empfänger.

 

[simonius]

QUOTE 1. Hast du ein Kontaktfprmular auf deiner Homepage?
2. ISt es DEIN Server oder ein Hosting?
3. Poste mal den gesamten Mail-Header.


Zu 1. Nein, es gibt keinerlei Kontaktformulare, Newsletteranmeldungen, oder sonstiges. Nicht mal eine interne Suche ist auf der Seite vorhanden.
2. Ja, es ist mein Dedicated Server
3. Der eMail-Header sieht folgendermassen aus:

CODE Von: Mail Delivery Subsystem <MAILER-DAEMON@gollum.inter.net.il>
Gesendet: Dienstag, 9. Januar 2007 11:06:28
An: mjbovq@meindomain.com
Betreff: Returned mail: User unknown

oder so:


CODE Von: Mail Delivery Subsystem <MAILER-DAEMON@inmx008.isp.belgacom.be>
Gesendet: Dienstag, 9. Januar 2007 11:32:07
An: <owq@meinedomain.com>
Betreff: Returned mail: see transcript for details

 

[simonius]

QUOTE (jAuer @ Di 9.1.2007, 14:14)Das erinnert an jene Hackversuche, die ich hier beobachtet hatte.

Die Mails sehen ähnlich aus.

Da sie allerdings teilweise zurückkommen, dürften nur jene zurückkommen, bei denen die Adresse falsch ist - also ist dem Spammer bereits klar, daß dein Server offen ist - und Du siehst nur einen Bruchteil der Aktivitäten - nämlich bloß die fehlgeschlagenen.

Die mit korrekter Adresse sehen nur die unfreiwilligen Empfänger.

Genau das ist meine Sorge.

Die Bandwidth schoss zwischen Donnerstag und Freitag auf 2-3M pro s, während sie normalerweise bei 200-500k / s ist. Momentan ist sie allerdings nicht ungewöhnlich hoch (300-600k / s). Die Schwankung beim Traffic müssen aber nicht unweigerlich auf ein Massenversand schliessen, da dies teilweise normal ist (wenn bsp. ein Blog meine Seite entdeckt u.a.)

 

[sd12]

QUOTE (simonius @ Di 9.1.2007, 19:40)
CODE Von: Mail Delivery Subsystem <MAILER-DAEMON@inmx008.isp.belgacom.be>
Gesendet: Dienstag, 9. Januar 2007 11:32:07
An: <owq@meinedomain.com>
Betreff: Returned mail: see transcript for details


Das ist kein Mail Header!

Ein Mailheader sieht so aus:

QUOTE Received: from cliente-7bac4e2 ([201.42.168.125])
by mail.server.ch
with hMailServer ; Tue, 9 Jan 2007 16:42:20 +0100
Return-Path: <bpwilsone@pwilson.net>
Received: from 206.123.100.6 (HELO pwilson.net)
by server.ch with esmtp (+9D5)9,E>6 EJ)13T)
id +4?,,,-372899-,Q
for mail@server.ch; Tue, 9 Jan 2007 15:44:50 +0180
From: "Robert Knezevic" <bpwilsone@pwilson.net>
To: <mail@server.ch>
Subject: reon't miss this unique chance.
Date: Tue, 9 Jan 2007 15:44:50 +0180
Message-ID: <01c73405$18e96be0$6c822ecf@bpwilsone>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C733F4.55609BE0"
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Thread-Index: Aca6Q5+6Z0GC*7+)4BO:00H2779Q4===
X-Antivirus: avast! (VPS 0701-6, 08/01/2007), Outbound message
X-Antivirus-Status: Clean

 

[Dirk Wagner]

Ich bekomme auch im Moment laufend solche Mails. Das sind aller Wahrscheinlichkeit nach Bounces von Mail mit gefälschtem Absender und Returnpath. Die Mail-Adressen sind alle nicht eingerichtet und ich bekomme die Bounces nur weil ich auf einer Domain Catch-All für alle Mails ktiviert habe.

 

[simonius]

So, nun sollte die Kopfzeile aber komplett sein:

CODE MIME-Version: 1.0
Received: from ldr0039.giga-dns.com(<--habe mir erlaubt,dass etwas abzuändern) ([285.164.191.170]) by bay0-mc3-f16.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Tue, 9 Jan 2007 03:10:12 -0800
Received: from [213.8.233.38] (helo=gollum.inter.net.il)by ldr0039.giga-dns.com(<--habe mir erlaubt,dass etwas abzuändern) with esmtp (Exim 4.63)id 1H4ErN-00029E-RAfor mjbovq@meinedomain.com; Tue, 09 Jan 2007 12:09:42 +0100
Received: from localhost (localhost)by gollum.inter.net.il (MOS 3.7.3-GA)with internal id ECR82220;Tue, 9 Jan 2007 13:06:28 +0200 (IST)
X-Message-Info: txF49lGdW40pZeVtHsDIh38TGfYqsD+UO2Tnnf1Mc0I=
Auto-Submitted: auto-generated (failure)
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - ldr0039.giga-dns.com(<--habe mir erlaubt,dass etwas abzuändern)
X-AntiAbuse: Original Domain - meinedomain.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain -
X-Source:
X-Source-Args:
X-Source-Dir:
Return-Path: <>
X-OriginalArrivalTime: 09 Jan 2007 11:10:13.0061 (UTC) FILETIME=[BBD82750:01C733DE]

 

[simonius]

QUOTE (Dirk Wagner @ Di 9.1.2007, 21:12)Ich bekomme auch im Moment laufend solche Mails. Das sind aller Wahrscheinlichkeit nach Bounces von Mail mit gefälschtem Absender und Returnpath. Die Mail-Adressen sind alle nicht eingerichtet und ich bekomme die Bounces nur weil ich auf einer Domain Catch-All für alle Mails ktiviert habe.

Ich habe für die Domain ebenfalls die Catch-All Funktion eingeschaltet.
Sehen bei dir die eMails auch ähnlich aus? Bzw. so etwas wie abdk@deinedomain.com ? Oder wie sehen Sie bei dir aus? (Evtl. posten)

 

[Michael Bieri]

Installiere dir mal ein Tool womit du den Mailserver loggen kannst. Auf die Schnelle müsste da z.B. Mailgraph in Betrieb sein. Ansonsten ein MRTG aufbauen.. Ich zeichne genau aus solchen Gründen immer SMTP Sent/Received und LOCAL Sent/Received, sowie Spam/Viren/Rejected und Bounced auf. So siehst du genau wann und über welchen Weg was im Mailsystem passiert..

Solche Mails wie unten werden aber meistens nicht über deinen Server, sondern "nur" unter random@deinedomain.tld versendet.

 

[simonius]

Der Computer wollte bis gestern Abend leider nicht so recht funktionieren... aber jetzt geht alles wieder bestens. Darum kann ich mich auch wieder meinem Problem widmen.

QUOTE Installiere dir mal ein Tool womit du den Mailserver loggen kannst. Auf die Schnelle müsste da z.B. Mailgraph in Betrieb sein. Ansonsten ein MRTG aufbauen.. Ich zeichne genau aus solchen Gründen immer SMTP Sent/Received und LOCAL Sent/Received, sowie Spam/Viren/Rejected und Bounced auf. So siehst du genau wann und über welchen Weg was im Mailsystem passiert..

Solche Mails wie unten werden aber meistens nicht über deinen Server, sondern "nur" unter random@deinedomain.tld versendet.

Dann versuche ich mal Mailgraph zu installieren und schaue, was dabei herauskommt. Danke für den Tipp.
Für den Fall, dass die Mails, wie du am Ende deines Beitrags schreibst, nicht über meinen Server versendet werden, sondern nur meine eMailadressen "missbraucht" werden, kann ich mich wohl nicht wehren, oder?

 

[Knoppers]

Hallo, habe genau das gleiche Problem.

-Catch All aktiviert
-"unknown address" etc in meinem Posteingang
-Laut Logfiles werden kaum Mails gesendet.

Ich gehe davon aus, dass meine Email-Adresse mißbraucht wird, zumindest der Domain-Teil.
Hab ich nun einfach Pech gehabt?

 

[Dirk Wagner]

QUOTE (Knoppers @ So 21.1.2007, 14:02) Hab ich nun einfach Pech gehabt?

Ja, so muß man das wohl nennen.

 

[Michael Bieri]

Catchall ist in Bezug auf dieses Problem in der Tat relativ tödlich..

Mittlerweilen habe ich meine Mailserver so hingekriegt, dass auch solche Mails mit einer durchaus zufriedenstellenden Quote als Spam deklariert und rausgefiltert werden.