Re: [ext] Re: Spam über CC-Listen

Peter Buettner buettnerp at web.de
Fr Nov 2 00:56:49 CET 2018


wie versprochen, die Auswertung des Logfiles. Von den 36 Einlieferungen
nur die esten sechs.

Weil der Server von Rcpt1 keine Transportverschlüsselung unterstützt,
bekommt der Endanwender, ich habe ihn mal Rainer genannt, noch eine
Benachrichtigung, daß an Rcpt1 nicht verschlüsselt geliefert werden kann
und die Mail vom Server gelöscht wurde.

Die Zeitstempel sind sehr merkwürdig. Es wird schon die nächste Mail
eingeliefert, bevor qmgr angefangen hat zu arbeiten. Evt. habe ich auch
etwas von der zeitlichen Abfolge der Verarbeitung falsch verstanden.

Ich glaube nicht, daß Outlook von sich aus den Absender und die CC-Liste
ändert. Der Endanwender hat Postfächer für zwei Domains.

Peter Büttner
AlsterCom e.K.


Oct 27 00:17:32 nge postfix/smtps/smtpd[3393]: F38FC1201131:
client=pentiv.net.a
Oct 27 00:17:39 nge postfix/cleanup[3385]: F38FC1201131:
message-id=<007c01d46d7
Oct 27 00:19:36 nge postfix/qmgr[14998]: F38FC1201131: from=<Rainer at Domain1
Oct 27 00:19:36 nge postfix/encrypted/smtp[3434]: F38FC1201131: to=<Rcpt1 at bt
Oct 27 00:19:36 nge postfix/encrypted/smtp[3435]: F38FC1201131: host
eu-smtp-inb
Oct 27 00:19:37 nge postfix/encrypted/smtp[3435]: F38FC1201131: to=<Rcpt2
Oct 27 00:19:38 nge postfix/encrypted/smtp[3443]: F38FC1201131:
to=<undisclosed@
Oct 27 00:19:39 nge postfix/encrypted/smtp[3439]: F38FC1201131: to=<Rcpt3
Oct 27 00:19:40 nge postfix/encrypted/smtp[3444]: F38FC1201131: to=<Rcpt4
Oct 27 00:19:41 nge postfix/encrypted/smtp[3442]: F38FC1201131: to=<Rcpt5
Oct 27 00:19:41 nge postfix/encrypted/smtp[3442]: F38FC1201131: to=<Rcpt6
Oct 27 00:19:41 nge postfix/encrypted/smtp[3437]: F38FC1201131: to=<Rcpt7
Oct 27 00:19:43 nge postfix/encrypted/smtp[3436]: F38FC1201131: to=<Rcpt8
Oct 27 00:19:43 nge postfix/encrypted/smtp[3436]: F38FC1201131: to=<Rcpt9
Oct 27 00:19:43 nge postfix/encrypted/smtp[3436]: F38FC1201131: to=<Rcpt10
Oct 27 00:19:44 nge postfix/encrypted/smtp[3441]: F38FC1201131: to=<Rcpt11>,
Oct 27 00:19:45 nge postfix/encrypted/smtp[3446]: F38FC1201131: to=<Rcpt12
Oct 27 00:19:46 nge postfix/encrypted/smtp[3440]: F38FC1201131: to=<Rcpt13
Oct 27 00:19:54 nge postfix/encrypted/smtp[3445]: F38FC1201131: to=<Rcpt14
Oct 27 00:20:06 nge postfix/encrypted/smtp[3438]: F38FC1201131: to=<Rcpt15
Oct 27 00:20:06 nge postfix/bounce[3450]: F38FC1201131: sender
non-delivery noti
Oct 27 00:20:07 nge postfix/bounce[3447]: F38FC1201131: sender delay
notificatio
Oct 27 00:21:01 nge postfix/postsuper[3476]: F38FC1201131: removed


Oct 27 00:19:23 nge postfix/smtps/smtpd[3420]: CF8A412013D5:
client=pentiv.net.a
Oct 27 00:19:31 nge postfix/cleanup[3428]: CF8A412013D5:
message-id=<008f01d46d7
Oct 27 00:21:34 nge postfix/qmgr[14998]: CF8A412013D5: from=<Rainer at Domain1
Oct 27 00:21:34 nge postfix/encrypted/smtp[3438]: CF8A412013D5: to=<Rcpt1 at bt
Oct 27 00:21:36 nge postfix/encrypted/smtp[3493]: CF8A412013D5:
to=<undisclosed@
Oct 27 00:21:37 nge postfix/encrypted/smtp[3492]: CF8A412013D5: to=<Rcpt5
Oct 27 00:21:37 nge postfix/encrypted/smtp[3492]: CF8A412013D5: to=<Rcpt6
Oct 27 00:21:39 nge postfix/encrypted/smtp[3487]: CF8A412013D5: to=<Rcpt7
Oct 27 00:21:40 nge postfix/encrypted/smtp[3489]: CF8A412013D5: to=<Rcpt3
Oct 27 00:21:41 nge postfix/encrypted/smtp[3486]: CF8A412013D5: to=<Rcpt8
Oct 27 00:21:41 nge postfix/encrypted/smtp[3486]: CF8A412013D5: to=<Rcpt9
Oct 27 00:21:41 nge postfix/encrypted/smtp[3486]: CF8A412013D5: to=<Rcpt10
Oct 27 00:21:41 nge postfix/encrypted/smtp[3494]: CF8A412013D5: to=<Rcpt4
Oct 27 00:21:42 nge postfix/encrypted/smtp[3491]: CF8A412013D5: to=<Rcpt11>,
Oct 27 00:21:44 nge postfix/encrypted/smtp[3496]: CF8A412013D5: to=<Rcpt12
Oct 27 00:21:51 nge postfix/encrypted/smtp[3485]: CF8A412013D5: to=<Rcpt2
Oct 27 00:21:57 nge postfix/encrypted/smtp[3495]: CF8A412013D5: to=<Rcpt14
Oct 27 00:22:00 nge postfix/encrypted/smtp[3488]: CF8A412013D5: to=<Rcpt15
Oct 27 00:22:05 nge postfix/encrypted/smtp[3490]: CF8A412013D5: to=<Rcpt13
Oct 27 00:22:05 nge postfix/bounce[3450]: CF8A412013D5: sender
non-delivery noti
Oct 27 00:22:05 nge postfix/bounce[3447]: CF8A412013D5: sender delay
notificatio
Oct 27 00:23:01 nge postfix/postsuper[3526]: CF8A412013D5: removed


Oct 27 00:21:12 nge postfix/smtps/smtpd[3393]: 56C6A1201131:
client=pentiv.net.a
Oct 27 00:21:19 nge postfix/cleanup[3385]: 56C6A1201131:
message-id=<009501d46d7
Oct 27 00:23:14 nge postfix/qmgr[14998]: 56C6A1201131: from=<Rainer at Domain1
Oct 27 00:23:14 nge postfix/encrypted/smtp[3493]: 56C6A1201131: to=<Rcpt1 at bt
Oct 27 00:23:17 nge postfix/encrypted/smtp[3488]: 56C6A1201131:
to=<undisclosed@
Oct 27 00:23:17 nge postfix/encrypted/smtp[3495]: 56C6A1201131: to=<Rcpt4
Oct 27 00:23:20 nge postfix/encrypted/smtp[3494]: 56C6A1201131: to=<Rcpt5
Oct 27 00:23:20 nge postfix/encrypted/smtp[3494]: 56C6A1201131: to=<Rcpt6
Oct 27 00:23:20 nge postfix/encrypted/smtp[3489]: 56C6A1201131: to=<Rcpt3
Oct 27 00:23:21 nge postfix/encrypted/smtp[3496]: 56C6A1201131: to=<Rcpt7
Oct 27 00:23:23 nge postfix/encrypted/smtp[3486]: 56C6A1201131: to=<Rcpt11>,
Oct 27 00:23:23 nge postfix/encrypted/smtp[3487]: 56C6A1201131: to=<Rcpt8
Oct 27 00:23:23 nge postfix/encrypted/smtp[3487]: 56C6A1201131: to=<Rcpt9
Oct 27 00:23:23 nge postfix/encrypted/smtp[3487]: 56C6A1201131: to=<Rcpt10
Oct 27 00:23:24 nge postfix/encrypted/smtp[3492]: 56C6A1201131: to=<Rcpt2
Oct 27 00:23:25 nge postfix/encrypted/smtp[3533]: 56C6A1201131: to=<Rcpt12
Oct 27 00:23:26 nge postfix/encrypted/smtp[3490]: 56C6A1201131: to=<Rcpt15
Oct 27 00:23:41 nge postfix/encrypted/smtp[3485]: 56C6A1201131: to=<Rcpt14
Oct 27 00:23:44 nge postfix/encrypted/smtp[3491]: 56C6A1201131: to=<Rcpt13
Oct 27 00:23:44 nge postfix/bounce[3450]: 56C6A1201131: sender
non-delivery noti
Oct 27 00:23:44 nge postfix/bounce[3447]: 56C6A1201131: sender delay
notificatio
Oct 27 00:25:01 nge postfix/postsuper[3571]: 56C6A1201131: removed


Oct 27 00:23:52 nge postfix/smtps/smtpd[3543]: 3BDCC12013D5:
client=pentiv.net.a
Oct 27 00:23:56 nge postfix/cleanup[3426]: 3BDCC12013D5:
message-id=<00a101d46d7
Oct 27 00:23:58 nge postfix/qmgr[14998]: 3BDCC12013D5: from=<rainer at Domain2
Oct 27 00:23:59 nge postfix/encrypted/smtp[3487]: 3BDCC12013D5: to=<Rcpt3
Oct 27 00:23:59 nge postfix/encrypted/smtp[3485]: 3BDCC12013D5: to=<Rcpt4
Oct 27 00:23:59 nge postfix/encrypted/smtp[3488]: 3BDCC12013D5: to=<Rcpt9
Oct 27 00:23:59 nge postfix/encrypted/smtp[3494]: 3BDCC12013D5: to=<Rcpt7
Oct 27 00:23:59 nge postfix/encrypted/smtp[3493]: 3BDCC12013D5: to=<raoul.w
Oct 27 00:24:00 nge postfix/encrypted/smtp[3486]: 3BDCC12013D5: to=<Rcpt12
Oct 27 00:24:01 nge postfix/encrypted/smtp[3533]: 3BDCC12013D5:
to=<undisclosed@
Oct 27 00:24:02 nge postfix/encrypted/smtp[3492]: 3BDCC12013D5: to=<Rcpt14
Oct 27 00:24:02 nge postfix/bounce[3450]: 3BDCC12013D5: sender
non-delivery noti
Oct 27 00:24:02 nge postfix/qmgr[14998]: 3BDCC12013D5: removed


Oct 27 00:23:17 nge postfix/smtps/smtpd[3393]: 04DAF120115B:
client=pentiv.net.a
Oct 27 00:23:24 nge postfix/cleanup[3428]: 04DAF120115B:
message-id=<009b01d46d7
Oct 27 00:25:21 nge postfix/qmgr[14998]: 04DAF120115B: from=<Rainer at Domain1
Oct 27 00:25:21 nge postfix/encrypted/smtp[3491]: 04DAF120115B: to=<Rcpt1 at bt
Oct 27 00:25:24 nge postfix/encrypted/smtp[3493]: 04DAF120115B:
to=<undisclosed@
Oct 27 00:25:24 nge postfix/encrypted/smtp[3485]: 04DAF120115B: to=<Rcpt7
Oct 27 00:25:27 nge postfix/encrypted/smtp[3579]: 04DAF120115B: to=<Rcpt4
Oct 27 00:25:27 nge postfix/encrypted/smtp[3492]: 04DAF120115B: to=<Rcpt8
Oct 27 00:25:27 nge postfix/encrypted/smtp[3492]: 04DAF120115B: to=<Rcpt9
Oct 27 00:25:27 nge postfix/encrypted/smtp[3492]: 04DAF120115B: to=<Rcpt10
Oct 27 00:25:28 nge postfix/encrypted/smtp[3533]: 04DAF120115B: to=<Rcpt3
Oct 27 00:25:29 nge postfix/encrypted/smtp[3488]: 04DAF120115B: to=<Rcpt2
Oct 27 00:25:29 nge postfix/encrypted/smtp[3486]: 04DAF120115B: to=<Rcpt5
Oct 27 00:25:29 nge postfix/encrypted/smtp[3486]: 04DAF120115B: to=<Rcpt6
Oct 27 00:25:29 nge postfix/encrypted/smtp[3496]: 04DAF120115B: to=<Rcpt11>,
Oct 27 00:25:30 nge postfix/encrypted/smtp[3581]: 04DAF120115B: to=<Rcpt12
Oct 27 00:25:32 nge postfix/encrypted/smtp[3494]: 04DAF120115B: to=<Rcpt15
Oct 27 00:25:43 nge postfix/encrypted/smtp[3580]: 04DAF120115B: to=<Rcpt14
Oct 27 00:25:51 nge postfix/encrypted/smtp[3487]: 04DAF120115B: to=<Rcpt13
Oct 27 00:25:51 nge postfix/bounce[3450]: 04DAF120115B: sender
non-delivery noti
Oct 27 00:25:51 nge postfix/bounce[3447]: 04DAF120115B: sender delay
notificatio
Oct 27 00:26:01 nge postfix/postsuper[3598]: 04DAF120115B: removed



Oct 27 00:25:28 nge postfix/smtps/smtpd[3543]: 22BEC12017AD:
client=pentiv.net.a
Oct 27 00:25:33 nge postfix/cleanup[3385]: 22BEC12017AD:
message-id=<00b401d46d7
Oct 27 00:27:28 nge postfix/qmgr[14998]: 22BEC12017AD: from=<Rainer at Domain1
Oct 27 00:27:29 nge postfix/encrypted/smtp[3487]: 22BEC12017AD: to=<Rcpt1 at bt
Oct 27 00:27:32 nge postfix/encrypted/smtp[4064]: 22BEC12017AD:
to=<undisclosed@
Oct 27 00:27:32 nge postfix/encrypted/smtp[4058]: 22BEC12017AD: to=<Rcpt7
Oct 27 00:27:32 nge postfix/encrypted/smtp[4063]: 22BEC12017AD: to=<Rcpt5
Oct 27 00:27:32 nge postfix/encrypted/smtp[4063]: 22BEC12017AD: to=<Rcpt6
Oct 27 00:27:34 nge postfix/encrypted/smtp[4060]: 22BEC12017AD: to=<Rcpt3
Oct 27 00:27:36 nge postfix/encrypted/smtp[4057]: 22BEC12017AD: to=<Rcpt8
Oct 27 00:27:36 nge postfix/encrypted/smtp[4057]: 22BEC12017AD: to=<Rcpt9
Oct 27 00:27:36 nge postfix/encrypted/smtp[4057]: 22BEC12017AD: to=<Rcpt10
Oct 27 00:27:37 nge postfix/encrypted/smtp[4065]: 22BEC12017AD: to=<Rcpt4
Oct 27 00:27:37 nge postfix/encrypted/smtp[4056]: 22BEC12017AD: to=<Rcpt2
Oct 27 00:27:39 nge postfix/encrypted/smtp[4067]: 22BEC12017AD: to=<Rcpt12
Oct 27 00:27:40 nge postfix/encrypted/smtp[4062]: 22BEC12017AD: to=<Rcpt11>,
Oct 27 00:27:45 nge postfix/encrypted/smtp[4066]: 22BEC12017AD: to=<Rcpt14
Oct 27 00:27:53 nge postfix/encrypted/smtp[4059]: 22BEC12017AD: to=<Rcpt15
Oct 27 00:27:57 nge postfix/encrypted/smtp[4061]: 22BEC12017AD: to=<Rcpt13
Oct 27 00:27:57 nge postfix/bounce[4069]: 22BEC12017AD: sender
non-delivery noti
Oct 27 00:27:57 nge postfix/bounce[3447]: 22BEC12017AD: sender delay
notificatio
Oct 27 00:28:01 nge postfix/postsuper[4091]: 22BEC12017AD: removed



Am 01.11.18 um 15:36 schrieb Ralf Hildebrandt:
> * Peter Buettner <buettnerp at web.de>:
> 
>>> Vorsicht: Lange Cc: Listen könnten abmahnbar sein:
>>> https://www.e-recht24.de/news/datenschutz/7652-cc-an-alle-e-mails-datenschutzbehoerde-verhaengt-bussgeld-wegen-offenem-e-mail-verteiler.html
> 
>> Das umgeht der Endanwender mit "To: undisclosed at undisclosed.de"
> 
> Dann hat er aber keine CC: Liste, sondern eine Bcc: Liste.
> 
>>>> Alle 2 Minuten werden die CC's erneut mit der Mail beglückt. Nach dem
>>>> Abbruch einer solchen Spamtirade zeigte pflogsum, daß an die CC's 36
>>>> mal zugestellt wurde.
>>>
>>> Also an alle Empfänger? Alle zwei Minuten ist ja auch etwas seltsam,
>>> Postfix läßt ja bei Fehlern immer mehr Zeit zwischen zwei Versuchen.
>>> Vielleicht ruft Outlook alle 2 Minuten Mail ab und führt Regeln aus?
>>
>> 2 Minuten durchscnittlich. Unterschiedlich zwischen 1-3 minuten
> 
> Man müsste bei den Mails genau die Header ansehen (insbes. Message-id
> und QueueID) und so feststellen, welches System diese Mails verdoppelt.
> 
> Möglichkeiten:
> 
> * Outlook schickt immer wieder - dann sollte man immer neue QueueIDs
>   sehen und eigentlich auch message-ids
> 
> * ein Zwischensystem sendet die Mails immer wieder (z.B. weil dort ein
>   Virenscanner mit der Mail nicht klar kommt) - dann sollte in den
>   Header die die VORGELAGERTEN Systeme angelegt haben keine Änderung zu
>   sehn sein. Die anderen Header würden dann variieren.
> 


Mehr Informationen über die Mailingliste Postfixbuch-users