[Postfixbuch-users] unbekannte emails

Klaus Schuehler p kschuehler at schuehler.com
Do Apr 7 23:54:45 CEST 2005



> Ich vermute, die mail kommt mit einem mail from:
> vonlcomivfeb-ftcjp at updates.microsoft.net
> rein, TrashScan lehnt ab und da der Empfänger ebenfalls informiert werden
> soll, läuft das über den Server von microsoft -> relaying denied!

> hm, ich weis nicht. Ohne detailliertes log schwer zu sagen.

Ich habe den Logeintrag gefunden:

Apr  7 15:10:14 zero postfix/smtpd[10187]: connect from smtp-out0.tiscali.nl[195.241.79.175]
Apr  7 15:10:14 zero postfix/smtpd[10187]: 588493B4008: client=smtp-out0.tiscali.nl[195.241.79.175]
Apr  7 15:10:14 zero postfix/cleanup[10188]: 588493B4008: message-id=<20050407140624.2B6EB801175C at smtp-out0.tiscali.nl>
Apr  7 15:10:14 zero postfix/qmgr[6808]: 588493B4008: from=<harrie.verstappen at 12move.nl>, size=159963, nrcpt=1 (queue active
)
Apr  7 15:10:14 zero postfix/smtpd[10187]: disconnect from smtp-out0.tiscali.nl[195.241.79.175]
Apr  7 15:10:14 zero postfix/pickup[10176]: 7D5D93B4009: uid=10001 from=<web1_kschuehler>
Apr  7 15:10:14 zero postfix/cleanup[10188]: 7D5D93B4009: message-id=<20050407131014.7D5D93B4009 at zero.ksnetwork.net>
Apr  7 15:10:14 zero postfix/qmgr[6808]: 7D5D93B4009: from=<web1_kschuehler at zero.ksnetwork.net>, size=399, nrcpt=1 (queue ac
tive)
Apr  7 15:10:14 zero postfix/local[10210]: 7D5D93B4009: to=<adm42go at localhost>, relay=local, delay=0, status=sent (delivered
 to command: /usr/bin/procmail -f-)
Apr  7 15:10:14 zero postfix/qmgr[6808]: 7D5D93B4009: removed
Apr  7 15:10:15 zero postfix/pickup[10176]: 2DC4B3B4009: uid=10001 from=<web1_kschuehler>
Apr  7 15:10:15 zero postfix/cleanup[10188]: 2DC4B3B4009: message-id=<20050407131015.2DC4B3B4009 at zero.ksnetwork.net>
Apr  7 15:10:15 zero postfix/qmgr[6808]: 2DC4B3B4009: from=<web1_kschuehler at zero.ksnetwork.net>, size=1111, nrcpt=1 (queue a
ctive)
Apr  7 15:10:15 zero postfix/pickup[10176]: 384E43B400A: uid=10001 from=<web1_kschuehler>
Apr  7 15:10:15 zero postfix/cleanup[10188]: 384E43B400A: message-id=<20050407131015.384E43B400A at zero.ksnetwork.net>
Apr  7 15:10:15 zero postfix/qmgr[6808]: 384E43B400A: from=<web1_kschuehler at zero.ksnetwork.net>, size=1113, nrcpt=1 (queue a
ctive)
Apr  7 15:10:15 zero TrashScan[10216]: ************************************************************************
Apr  7 15:10:15 zero TrashScan[10216]: Suspicious code in mail attachment detected !!!
Apr  7 15:10:15 zero TrashScan[10216]: From: vonlcomivfeb-ftcjp at updates.microsoft.net
Apr  7 15:10:15 zero TrashScan[10216]: To: partner at updates.microsoft.net
Apr  7 15:10:15 zero TrashScan[10216]: Subj:
Apr  7 15:10:15 zero TrashScan[10216]: Date: Thu,  7 Apr 2005 16:06:24 +0200 (CEST)
Apr  7 15:10:15 zero TrashScan[10216]: Virus: Worm.Gibe.F
Apr  7 15:10:15 zero TrashScan[10216]: Alert: Not sent
Apr  7 15:10:15 zero TrashScan[10216]: Notification: Messages sent to vonlcomivfeb-ftcjp at updates.microsoft.net and partner at u
pdates.microsoft.net
Apr  7 15:10:15 zero TrashScan[10216]: Check mail.virus !!!
Apr  7 15:10:15 zero TrashScan[10216]: ************************************************************************

Aus der virus Bestätigung an mich geht folgendes hervor:

--384E43B400A.1112879420/zero.ksnetwork.net
Content-Description: Undelivered Message
Content-Type: message/rfc822

Received: by zero.ksnetwork.net (Postfix, from userid 10001)
        id 384E43B400A; Thu,  7 Apr 2005 15:10:15 +0200 (CEST)
References: <20050407140624.2B6EB801175C at smtp-out0.tiscali.nl>
In-Reply-To: <20050407140624.2B6EB801175C at smtp-out0.tiscali.nl>
From: kschuehler at ksnetwork.net
Subject: Suspicious Attachment
To: partner at updates.microsoft.net
Message-Id: <20050407131015.384E43B400A at zero.ksnetwork.net>
Date: Thu,  7 Apr 2005 15:10:15 +0200 (CEST)


Ich bin jetzt nicht der Postfixprofi aber ich denke es ist ein
gefälschter Header. Jetzt Frage ich mich aber immer noch wie
die durchkommt.

Gruss Klaus






Mehr Informationen über die Mailingliste Postfixbuch-users