welchen hast du verwendet?
probier mal da sonst: http://www.mxtoolbox.com/SuperTool.aspx?action=smtp
Herausfinden, wie eine eMail versandt wurde
-
-
-
Den 7er lässt er bei mir auch durch... hmm
-
Zitat
Original von riedlit
welchen hast du verwendet?
probier mal da sonst: http://www.mxtoolbox.com/SuperTool.aspx?action=smtpCode
Alles anzeigen220 s3.xxx-xxx.de ESMTP OK - xxx.xxx.xxx.xxx resolves to s3.xxx-xxx.de OK - Reverse DNS matches SMTP Banner 0 seconds - Good on Connection time Not an open relay. 0.952 seconds - Good on Transaction time Session Transcript:HELO please-read-policy.mxtoolbox.com 250 s3.xxx-xxx.de [140 ms] MAIL FROM: <supertool@mxtoolbox.com> 250 ok [140 ms] RCPT TO: <test@example.com> 553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) [265 ms] QUIT 221 s3.xxx-xxx.de [125 ms]
-
Wir haben exakt das gleiche Problem wie Twilo. Ich habe entsprechende Daten bereits Herrn Bradler zukommen lassen. Vielleicht kann das Twilo auch tun, damit Herr Bradler möglichst viele Informationen hat um das Problem zu identifizieren.
Irgendwas ist da sehr merkwürdig. Bei uns wird der Spam mit einer Absenderadresse verschickt die lediglich als Weiterleitung eingerichtet ist. -
Hallo,
ZitatOriginal von ddausch
Wir haben exakt das gleiche Problem wie Twilo. Ich habe entsprechende Daten bereits Herrn Bradler zukommen lassen. Vielleicht kann das Twilo auch tun, damit Herr Bradler möglichst viele Informationen hat um das Problem zu identifizieren.
Irgendwas ist da sehr merkwürdig. Bei uns wird der Spam mit einer Absenderadresse verschickt die lediglich als Weiterleitung eingerichtet ist.
welche Daten hast Du an Herrn Bradler gesendet?
Wie ist bei Dir der Status?mfg
Twilo -
Hallo,
nach einen
Code
Alles anzeigenzzz@xxx-desktop:~$ nmap s3.xxx-xxx.de Starting Nmap 5.21 ( http://nmap.org ) at 2011-12-19 22:37 CET Nmap scan report for s3.xxx-xxx.de (xxx.xxx.xxx.xxx) Host is up (0.057s latency). Not shown: 992 closed ports PORT STATE SERVICE 80/tcp open http 110/tcp open pop3 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 143/tcp open imap 443/tcp open https 445/tcp filtered microsoft-ds 587/tcp open submission Nmap done: 1 IP address (1 host up) scanned in 1.82 seconds
werden weiter eMails versendetmfg
Twilo -
Das heisst man kann davon ausgehen das diese via Port 587 (qmail-msa) daher kommen?
-
Hallo,
sieht so aus, nachdem ich qmail-msa heruntergefahren habe, landen in /var/qmail/queue/todo keine neuen eMails mehr
mfg
Twilo -
Also ich bin jetzt mit allen möglichen Kombinationen aus vorhandenen/nicht-vorhandenen und Weiterleitungsadressen auf einen Server los gegangen und es war mir nicht möglich ein Mail einzuliefern.
Das einzige was mir aufgefallen ist, ist das in dem /service/qmail-msa/run Skript kein Hostname initialisiert wird. Daher erkennt man Mails die über msa eingeliefert wurden an der 0 wo sonst der Hostname steht - eben wie bei Dir:
CodeReceived: from unknown (HELO wolvesden) (ugast@xxx-xxx.de@184.9.143.35) by 0 with SMTP; 19 Dec 2011 16:00:21 -0000
Bei einer Einlieferung über Port 25 steht statt "by 0" dann "by HOSTNAME". Aber das nur am Rande, ich denke nicht das das was damit zu tun hat.
Auch im checksmtppasswd Skript kann ich keine entsprechende Schwachstelle finden. Total Strange das ganze.
-
sobald qmail-msa wieder gestartet wird, geht das gespamme weiter.
Nur welcher eMail-Account wird dafür verwendet?
-
Hallo,
ich habe folgende Zeilen in der qmail-msa hinzugefuegt:
die Datei sieht jetzt wie folgt aus:Bash
Alles anzeigen#!/bin/sh QMAILDUID=`id -u qmaild` NOFILESGID=`id -g qmaild` MAXSMTPD=`cat /var/qmail/control/concurrencyincoming` HOSTNAME=`hostname -f` if [ "$HOSTNAME" == "" ]; then echo "Kein Hostname gesetzt." exit 11 fi exec /usr/local/bin/softlimit -m 11000000 \ /usr/local/bin/tcpserver -v -H -R -l 0 \ -x /etc/tcp.msa.cdb -c "$MAXSMTPD" \ -u "$QMAILDUID" -g "$NOFILESGID" 0 587 \ /var/qmail/bin/qmail-smtpd \ $HOSTNAME /usr/local/pd-admin2/bin/checksmtppasswd \ /bin/true 2>&1 # /home/vpopmail/bin/vchkpw /bin/true 2>&1
seitdem steht folgendes in der mail.log:Code
Alles anzeigenDec 19 23:43:05 s3 pdadmin[14298]: User ugast@xxx-xxx.de: smtp-auth login failed from 192.216.210.149 (wrong password: keyboard, PW_HASH) Dec 19 23:44:30 s3 pdadmin[14833]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH) Dec 19 23:47:34 s3 pdadmin[16887]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH) Dec 19 23:48:10 s3 pdadmin[17096]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH) Dec 19 23:49:16 s3 pdadmin[17380]: User ugast@xxx-xxx.de: smtp-auth login failed from 79.148.110.239 (wrong password: keyboard, PW_HASH) Dec 19 23:50:45 s3 pdadmin[18442]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH) Dec 19 23:50:52 s3 pdadmin[18491]: User ugast@xxx-xxx.de: smtp-auth login failed from 79.148.110.239 (wrong password: keyboard, PW_HASH) Dec 19 23:52:29 s3 pdadmin[19355]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH) Dec 19 23:54:24 s3 pdadmin[20024]: User ugast@xxx-xxx.de: smtp-auth login failed from 80.35.55.86 (wrong password: keyboard, PW_HASH) Dec 19 23:56:21 s3 pdadmin[21240]: User ugast@xxx-xxx.de: smtp-auth login failed from 192.216.210.149 (wrong password: keyboard, PW_HASH) Dec 19 23:59:55 s3 pdadmin[22708]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH) Dec 20 00:14:36 s3 pdadmin[5772]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 00:23:23 s3 pdadmin[11384]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH) Dec 20 00:24:14 s3 pdadmin[11834]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 00:26:54 s3 pdadmin[13185]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH) Dec 20 00:27:07 s3 pdadmin[13273]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 00:31:27 s3 pdadmin[17433]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH) Dec 20 00:34:12 s3 pdadmin[18605]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH) Dec 20 00:37:34 s3 pdadmin[20434]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH) Dec 20 00:45:35 s3 pdadmin[24384]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 00:46:06 s3 pdadmin[24596]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH) Dec 20 00:48:09 s3 pdadmin[25344]: User ugast@xxx-xxx.de: smtp-auth login failed from 135.196.28.205 (wrong password: keyboard, PW_HASH) Dec 20 00:48:26 s3 pdadmin[25478]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 00:50:32 s3 pdadmin[27946]: User ugast@xxx-xxx.de: smtp-auth login failed from 135.196.28.205 (wrong password: keyboard, PW_HASH) Dec 20 00:55:58 s3 pdadmin[30581]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 00:58:35 s3 pdadmin[31573]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH) Dec 20 01:04:10 s3 pdadmin[10795]: User ugast@xxx-xxx.de: smtp-auth login failed from 66.139.2.161 (wrong password: keyboard, PW_HASH) Dec 20 01:07:38 s3 pdadmin[14481]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH) Dec 20 01:10:20 s3 pdadmin[17669]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH) Dec 20 01:16:04 s3 pdadmin[24659]: User ugast@xxx-xxx.de: smtp-auth login failed from 202.68.228.57 (wrong password: keyboard, PW_HASH) Dec 20 01:21:51 s3 pdadmin[29342]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH) Dec 20 01:24:22 s3 pdadmin[30423]: User ugast@xxx-xxx.de: smtp-auth login failed from 80.32.208.164 (wrong password: keyboard, PW_HASH) Dec 20 01:25:19 s3 pdadmin[31153]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH) Dec 20 01:27:21 s3 pdadmin[32189]: User ugast@xxx-xxx.de: smtp-auth login failed from 80.32.208.164 (wrong password: keyboard, PW_HASH) Dec 20 01:32:27 s3 pdadmin[4675]: User ugast@xxx-xxx.de: smtp-auth login failed from 135.196.28.205 (wrong password: keyboard, PW_HASH) Dec 20 01:36:23 s3 pdadmin[4474]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH) Dec 20 01:38:59 s3 pdadmin[5389]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH) Dec 20 01:44:07 s3 pdadmin[8030]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH) Dec 20 01:48:34 s3 pdadmin[10305]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH) Dec 20 01:50:50 s3 pdadmin[11473]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH) Dec 20 01:53:46 s3 pdadmin[12632]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)
Was bedeutet das Wort keyboard bei "wrong password: keyboard, PW_HASH"?Seit dem ist jetzt Ruhe!
ps. zum Glück ist die Datei nicht verschlüsselt, wie andere Dateien…
mfg
Twilo -
Es gab in der Tat leider einen Fehler bei /service/qmail-msa/run. Ich habe unter http://download.pd-admin.de/msa-run.patch einen Patch abgelegt.
Viele Grüße
Daniel Bradler -
Hat es also doch mit dem fehlenden Hostnamen zu tun...?
Sind alle Versionen unter allen Umständen betroffen?
Könnten Sie eventuell noch eine vollständige Version des run Files publizieren, das wäre grad einfacher als der Patch.
-
Mir ist aufgefallen das nach Anwendung des Patches und Neustart des msa-services bei Mails die über msa versendet wurden immer noch "by 0" im header steht wo der hostname stehen sollte. Also
Codeeceived: from unknown (HELO ?10.0.0.156?) (USERNAME@IP-ADRESSE-CLIENT) by 0 with SMTP; 20 Dec 2011 07:23:46 -0000
Kann ich davon ausgehen das die Lücke trotzdem gestopft ist? Twilo, wie sieht die Zeile jetzt bei Dir aus?
-
Zitat
Original von tbc233
Hat es also doch mit dem fehlenden Hostnamen zu tun...?Sind alle Versionen unter allen Umständen betroffen?.
Der fehlende Hostname ist die Ursache, es dürften alle pd-admin-Installationen betroffen sein. Wir schicken nachher noch eine Information über die Mailingliste raus.
Eine korrigierte Version der Datei habe ich unter http://download.pd-admin.de/msa-run abgelegt.
Viele Grüße
Daniel Bradler -
Ok. Aber die Tatsache das im Header immer noch "...received by 0..." angezeigt wird (bei einlieferung über port 25 hingegen der korrekte hostname) ist soweit eh nicht besorgniserregend?
-
Hallo,
ZitatOriginal von tbc233
Twilo, wie sieht die Zeile jetzt bei Dir aus?
das kann ich erst heute Abend überprüfen.mfg
Twilo -
Hallo,
ZitatOriginal von Twilo
das kann ich erst heute Abend überprüfen.
es gibt zwei Unterschiedeüber Port 25:
CodeReceived: from pxxxxxxxx.dip.t-dialin.net (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx) by s2.xxx-xxx.de with SMTP; 20 Dec 2011 21:40:03 -0000
über Port 587:CodeReceived: from unknown (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx) by 0 with SMTP; 20 Dec 2011 21:50:59 -0000
- from unknown
- by 0
mfg
Twilo -
Ich greife dieses Thema nochmal auf, weil ich nach dem letzten Update (hab ich letzte Woche gemacht) auch zu einer Spamschleuder wurde.
Hier sollte man wohl mal nachbessern und genauer prüfen, ob das Update nicht eher "verschlimmbessert".
Ist nicht grad schön, innerhalb von ca. 2 Stunden an die 500000 Mails in der queue zu haben.