[Postfixbuch-users] abusemeldung

Marcel Hartmann mail at marcel-hartmann.com
Di Apr 17 12:59:17 CEST 2007 

Hallo Liste,

ich bekam heute eine ABUSE Nachrichtvon meinem Rechenzentrum in dem mein
dedi steht. Darin wurde ich gebeten zu erfahren woher diese SPAM Mail kam
und das ich dies ferner unterbinden möchte.

Hier der Header:

>      From Nora Benjamin Sat Apr 14 09:12:04 2007
>     X-Apparently-To:    aroc725 at yahoo.com via 206.190.58.187; Sat, 14
>     Apr 2007 09:13:13 -0700
>     X-YahooFilteredBulk:    88.104.189.72
>     X-Originating-IP:    [88.104.189.72]
>     Return-Path:    <exceptflasher at corestyle.net>
>     Authentication-Results:    mta246.mail.re3.yahoo.com
>     from=corestyle.net; domainkeys=neutral (no sig)
>     Received:    from 88.104.189.72 (EHLO home-9j6b5gmh6s)
>     (88.104.189.72) by mta246.mail.re3.yahoo.com with SMTP; Sat, 14 Apr
>     2007 09:13:12 -0700
>     Return-Path:    <exceptflasher at corestyle.net>
>     Received:    from 213.239.217.51 (HELO mail.corestyle.net) by
>     yahoo.com with esmtp (<(U at BM41H 7Y9T) id PPR.3A-D-DR)--A. for
>     arocbrooks007 at yahoo.com; Sat, 14 Apr 2007 16:12:04 +0000
>     From:    "Nora Benjamin" <exceptflasher at corestyle.net>  Add to
>     Address BookAdd to Address Book  Add Mobile Alert
>     To:    Send an Instant Message arocbrooks007 at yahoo.com
>     Subject:    Tiered of been passed over for that promotion because
>     you don't have the proper Degree?
>     Date:    Sat, 14 Apr 2007 16:12:04 +0000
>     Message-ID:    <01c77eaf$a47731c0$6c822ecf at exceptflasher>
>     MIME-Version:    1.0
>     Content-Type:    multipart/alternative;
>     boundary="----=_NextPart_000_0006_01C77EB8.063B99C0"
>     X-Mailer:    Microsoft Office Outlook, Build 11.0.6353
>     X-MimeOLE:    Produced By Microsoft MimeOLE V6.00.2900.2670
>     Thread-Index:    Aca6QO-;:--Z0(1*0P*- at TSD.(3/1P==
>     Content-Length:    5841
>
>...message ...

Die Mail ist am 14.04. gesendet worden. Die Domain ist aber seit längerer
Zeit bereits gesperrt, so dass kein Mail und Webspace mehr erreichbar ist.
Ich habe zwar 4 Mailkonten vergessen beim sperren, aber diese ähneln nicht
mit der betroffenen Adresse im Mailheader.

In meinem Maillog habe ich zu diesem Zeitpunkt jedoch keine outgoing Mail
gefunden, daher vermute ich das meine IP bzw. die Absenderadresse die es
nicht gibt gespooft wurden. Bevor ich dazu Stellung nehme möchte ich aber
noch einmal bei den Experten um Rat fragen. Wie schätzt Ihr das ein?

Hier das Log aus diesem Zeitraum:

<snip>
Apr 14 16:11:47 localhost postfix/smtpd[9666]: NOQUEUE: reject: RCPT from
smtp-out2.net.av.oleane.com[195.25.12.12]: 550 <sickliestpigg
ybacking at corestyle.net>: Recipient address rejected: User unknown in local
recipient table; from=<> to=<sickliestpiggybacking at corestyle
.net> proto=ESMTP helo=<smtp04av.ntr.oleane.net> Apr 14 16:11:47 localhost
postfix/smtpd[9666]: disconnect from
smtp-out2.net.av.oleane.com[195.25.12.12]
Apr 14 16:12:13 localhost postfix/smtpd[9576]: connect from
unknown[61.143.38.114] Apr 14 16:12:14 localhost postfix/smtpd[9576]:
NOQUEUE: reject: RCPT from unknown[61.143.38.114]: 550
<extortionistdyers at corestyle.net>
: Recipient address rejected: User unknown in local recipient table;
from=<cio at jc-logistics.com> to=<extortionistdyers at corestyle.net> p roto=SMTP
helo=<jc-logistics.com> Apr 14 16:12:14 localhost postfix/smtpd[9576]: lost
connection after RCPT from unknown[61.143.38.114] Apr 14 16:12:14 localhost
postfix/smtpd[9576]: disconnect from unknown[61.143.38.114] Apr 14 16:12:24
localhost postfix/smtpd[9660]: connect from
2.95.1343.static.theplanet.com[67.19.149.2]
Apr 14 16:12:24 localhost postfix/smtpd[9660]: NOQUEUE: reject: RCPT from
2.95.1343.static.theplanet.com[67.19.149.2]: 550 <morselswait
s at corestyle.net>: Recipient address rejected: User unknown in local
recipient table; from=<> to=<morselswaits at corestyle.net> proto=SMTP
helo=<advanced1.best-hosting.com> Apr 14 16:12:24 localhost
postfix/smtpd[9660]: disconnect from
2.95.1343.static.theplanet.com[67.19.149.2]
</snap>

Die Mail kam ja so wie ich das interpretiere von:
exceptflasher at corestyle.net Und wurde am Sat, 14 Apr 2007 16:12:04 +0000
zugestellt. Der yahoo MTA hat diese Mail aber von meinem Server bekommen lt.
IP Adresse !?

Received:    from 213.239.217.51 (HELO mail.corestyle.net) by
>     yahoo.com with esmtp (<(U at BM41H 7Y9T) id PPR.3A-D-DR)--A. for
> arocbrooks007 at yahoo.com;

Wie kann das sein, wenn mein maillog keine outgoing Mail zudem Zeitpunkt
hatte?

Ein Webformular kann ich ausschließen, da keine Formulare erreichbar sind
auf den Domains derzeit.
Es handelt sich hierbei wieder einmal um die bereits von mir angesprochene
Domain, die mir täglich
> 35.000 Rejects ins maillog schreibt. :(

Mein amavisd loggt folgender massen:

$log_level = 0;              # verbosity 0..5
$log_recip_templ = undef;    # disable by-recipient level-0 log entries
$DO_SYSLOG = 1;              # log via syslogd (preferred)
$SYSLOG_LEVEL = 'mail.critical';
$LOGFILE = "/var/log/amavis.log";

Daher habe ich auch keine Einträge im amavisd Logfile für diesen Timestamp.
Ich verstehe nicht, warum dort meine IP Adresse Im Header steht, wenn die
Mail gar nicht von meinem MTA kam.

Habt Ihr Rat? Was soll ich tun?

Danke und liebe Grüße

Marcel

Mehr Informationen über die Mailingliste Postfixbuch-users