Herausfinden, wie eine eMail versandt wurde

    • Offizieller Beitrag
    Zitat

    Original von riedlit
    welchen hast du verwendet?
    probier mal da sonst: http://www.mxtoolbox.com/SuperTool.aspx?action=smtp


  • Wir haben exakt das gleiche Problem wie Twilo. Ich habe entsprechende Daten bereits Herrn Bradler zukommen lassen. Vielleicht kann das Twilo auch tun, damit Herr Bradler möglichst viele Informationen hat um das Problem zu identifizieren.
    Irgendwas ist da sehr merkwürdig. Bei uns wird der Spam mit einer Absenderadresse verschickt die lediglich als Weiterleitung eingerichtet ist.

    • Offizieller Beitrag

    Hallo,


    Zitat

    Original von ddausch
    Wir haben exakt das gleiche Problem wie Twilo. Ich habe entsprechende Daten bereits Herrn Bradler zukommen lassen. Vielleicht kann das Twilo auch tun, damit Herr Bradler möglichst viele Informationen hat um das Problem zu identifizieren.
    Irgendwas ist da sehr merkwürdig. Bei uns wird der Spam mit einer Absenderadresse verschickt die lediglich als Weiterleitung eingerichtet ist.


    welche Daten hast Du an Herrn Bradler gesendet?
    Wie ist bei Dir der Status?


    mfg
    Twilo

    • Offizieller Beitrag

    Hallo,


    nach einen

    Code
    svc -d /service/qmail-smtpd;
    killall tcpserver;



    werden weiter eMails versendet :)


    mfg
    Twilo

    • Offizieller Beitrag

    Also ich bin jetzt mit allen möglichen Kombinationen aus vorhandenen/nicht-vorhandenen und Weiterleitungsadressen auf einen Server los gegangen und es war mir nicht möglich ein Mail einzuliefern.


    Das einzige was mir aufgefallen ist, ist das in dem /service/qmail-msa/run Skript kein Hostname initialisiert wird. Daher erkennt man Mails die über msa eingeliefert wurden an der 0 wo sonst der Hostname steht - eben wie bei Dir:


    Code
    Received: from unknown (HELO wolvesden) (ugast@xxx-xxx.de@184.9.143.35)   by 0 with SMTP; 19 Dec 2011 16:00:21 -0000


    Bei einer Einlieferung über Port 25 steht statt "by 0" dann "by HOSTNAME". Aber das nur am Rande, ich denke nicht das das was damit zu tun hat.


    Auch im checksmtppasswd Skript kann ich keine entsprechende Schwachstelle finden. Total Strange das ganze.

    • Offizieller Beitrag

    Hallo,


    ich habe folgende Zeilen in der qmail-msa hinzugefuegt:

    Code
    HOSTNAME=`hostname -f`
    
    
    if [ "$HOSTNAME" == "" ]; then
       echo "Kein Hostname gesetzt."
       exit 11
    fi


    die Datei sieht jetzt wie folgt aus:


    seitdem steht folgendes in der mail.log:


    Was bedeutet das Wort keyboard bei "wrong password: keyboard, PW_HASH"?


    Seit dem ist jetzt Ruhe!


    ps. zum Glück ist die Datei nicht verschlüsselt, wie andere Dateien…


    mfg
    Twilo

    • Offizieller Beitrag

    Mir ist aufgefallen das nach Anwendung des Patches und Neustart des msa-services bei Mails die über msa versendet wurden immer noch "by 0" im header steht wo der hostname stehen sollte. Also


    Code
    eceived: from unknown (HELO ?10.0.0.156?) (USERNAME@IP-ADRESSE-CLIENT)   by 0 with SMTP; 20 Dec 2011 07:23:46 -0000


    Kann ich davon ausgehen das die Lücke trotzdem gestopft ist? Twilo, wie sieht die Zeile jetzt bei Dir aus?

  • Zitat

    Original von tbc233
    Hat es also doch mit dem fehlenden Hostnamen zu tun...?


    Sind alle Versionen unter allen Umständen betroffen?.


    Der fehlende Hostname ist die Ursache, es dürften alle pd-admin-Installationen betroffen sein. Wir schicken nachher noch eine Information über die Mailingliste raus.


    Eine korrigierte Version der Datei habe ich unter http://download.pd-admin.de/msa-run abgelegt.


    Viele Grüße
    Daniel Bradler

    • Offizieller Beitrag

    Hallo,


    Zitat

    Original von Twilo


    das kann ich erst heute Abend überprüfen.


    es gibt zwei Unterschiede


    über Port 25:

    Code
    Received: from pxxxxxxxx.dip.t-dialin.net (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx)
      by s2.xxx-xxx.de with SMTP; 20 Dec 2011 21:40:03 -0000


    über Port 587:

    Code
    Received: from unknown (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx)
      by 0 with SMTP; 20 Dec 2011 21:50:59 -0000
    • from unknown
    • by 0


    mfg
    Twilo

  • Ich greife dieses Thema nochmal auf, weil ich nach dem letzten Update (hab ich letzte Woche gemacht) auch zu einer Spamschleuder wurde.


    Hier sollte man wohl mal nachbessern und genauer prüfen, ob das Update nicht eher "verschlimmbessert".


    Ist nicht grad schön, innerhalb von ca. 2 Stunden an die 500000 Mails in der queue zu haben.

    Ein kluger Mann wiederspricht keiner Frau - er wartet, bis sie es selber tut....