Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Absender von Spammail. Woher kommen die Adressen?

Mitglied: Ulturasepp

Ulturasepp (Level 1) - Jetzt verbinden

01.06.2006, aktualisiert 14:12 Uhr, 5083 Aufrufe, 11 Kommentare

Hallo zusammen,

habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.

Als Absender stand drin:

Floy@linuxrechner.firma

(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)

Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.

Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.

Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers

Danke im Voraus

Ultura
Mitglied: Kr4bat
01.06.2006 um 12:00 Uhr
Hi,

_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?

Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 12:25 Uhr
Hier der Header der Mail:

Unser interner Mailserver taucht dort bei from: auf!

Return-Path: <info@gdteem.com>
X-Original-To: user@localhost
Delivered-To: user@localhost.linuxrechner.unserefirma
Received: from localhost (localhost [127.0.0.1])
by linuxrechner.unserefirma (Postfix) with ESMTP id 8590C4223F
for <user@localhost>; Thu, 1 Jun 2006 07:37:15 +0200 (CEST)
Delivery-Date: Thu, 01 Jun 2006 06:01:08 +0200
Received-SPF: none (mxeu11: 220.180.206.92 is neither permitted nor denied by domain of gdteem.com) client-ip=220.180.206.92; envelope-from=info@gdteem.com; helo=irelandinthemail.com;
Received: from pop.kundenserver.de
by localhost with POP3 (fetchmail-6.2.3)
for user@localhost (single-drop); Thu, 01 Jun 2006 07:37:15 +0200 (CEST)
Received: from [220.180.206.92] (helo=irelandinthemail.com)
by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
id 0MKuA8-1FleMr2VxS-0007WL for info@unserefirma.de; Thu, 01 Jun 2006 06:01:07 +0200
Received: from [192.168.12.14] (helo=client)
by irelandinthemail.com with esmtpa (Exim 4.43 (FreeBSD))
id Ab44qw9z018245814
for info@unserefirma.de; Thu, 01 Jun 2006 04:01:42 +0000
Date: Thu, 01 Jun 2006 04:01:42 +0000
From: Floy@linuxrechner.unserefirma, info@gdteem.com <--- Da steht unser interner Mailserver als Absenderadresse!
To: info@unserefirma.de
Subject: Can't buy expensive software? Look here!
Message-Id: <20060524004537.6x1a5036.sales@lnmexpress.com>
X-Mailer: Sylpheed version 1.0.6 (GTK+ 1.2.10; i386-portbld-freebsd6.1)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
Envelope-To: user@unserefirma.de
X-SpamScore: 0.014
tests= PLING_QUERY
X-UIDL: N;4"!A(,"!"fF!!Q^&"!
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 12:57 Uhr
Hi,

also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088

dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.

Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.

Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.

Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:01 Uhr
Und was ist dann der/die/das Floy? Hat das was zu sagen?
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 13:08 Uhr
Hi,

gibt es auf dem Linux Rechner keinen User namens Floy?

sudo grep -i floy /etc/passwd
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 13:13 Uhr
Hi,

andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:19 Uhr
Nein den gibt es nicht!
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:21 Uhr
Ah ok - werde das mal machen. Hatte auch schon diese Idee!
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:56 Uhr
Warum sollte denn fetchmail das From:-Feld ändern. Dann müsste ja bei jeder Mail die ankommt Floy@linuxrechner.unserefirma als Absender verändert werden! . Ist aber nicht so, es steht immer der korrekte Absender da. Warum aber hier nicht?
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 13:59 Uhr
Hi,

sende dir selber mal eine eMail ohne einen From - wie sieht die dann aus?
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 14:12 Uhr
So, habe jetzt ein bisschen probiert mit anonymen Mails. Ist keine einzige durchgekommen. Die bleiben wohl, aufgrund dass kein Absender vorhanden ist, hängen.

Mir scheint es eher so zu sein, dass der ursprüngliche Absender durch ein Skript umgewandelt wird in einen Random-Namen@hostname des Mailservers. Die Namen kommen wohl aus einer Spammer-Datenbank.
Hintergrund ist ganz klar, der Spammer will die Mail mit einem bekannten Rechner vertrauter machen, und so mehr User ködern!

Na ich guck mal weiter! Ganz interessant die ganze Thematik hier!
Bitte warten ..
Ähnliche Inhalte
E-Mail

Spammail mit Anhängen und Links nutzen unsere Domain

gelöst Frage von M.MarzE-Mail12 Kommentare

Hallo zusammen, ich wollte mal von den erfahreneren unter euch wissen, was ein IT-Admin machen kann, wenn er des ...

Windows Tools

Cobra Adress Plus und Outlook

gelöst Frage von hartmann0Windows Tools8 Kommentare

Hallo, da ich durch Googlen leider einfach nichts finde, habe ich mich entschlossen, mich einfach mal hier an das ...

Sonstige Systeme

Cobra Adress Plus - im Terminalbetrieb

gelöst Frage von 118080Sonstige Systeme7 Kommentare

Ist hier zufälligerweise jemand im Forum der die Software Cobra Adress Plus kennt?? Hätte nämlich eine Frage und falls ...

Router & Routing

Zugriff auf NAS in anderem IP-Adress Bereich

gelöst Frage von TorstenhofRouter & Routing12 Kommentare

Hallo liebe Forumsmitglieder Ich habe folgendes Problem mit einer Netzwerkkonfiguration: Netzwerk 1: IP Adressen 192.168.0.x Arbeitsplatzrechner und NAS Zugriff ...

Neue Wissensbeiträge
Viren und Trojaner

Staatstrojaner soll auch per Einbruch installiert werden können

Information von transocean vor 10 StundenViren und Trojaner2 Kommentare

Moin, Bundesinnenminister Horst Seehofer will dem Verfassungsschutz Wohnungseinbrüche erlauben, um den geplanten Staatstrojaner zu installieren. Gruß Uwe

Windows 7
Win7 Update scheitert KB4512506
Information von infowars vor 21 StundenWindows 7

Falls jemand auch das Problem hat mit dem: Monatliches Sicherheitsqualitätsrollup für Windows 7 für x64-basierte-Systeme (KB4512506) Das scheint mit ...

Humor (lol)
Wenn hacken nach hinten los geht
Information von em-pie vor 1 TagHumor (lol)4 Kommentare

Moin, weil heute Freitag ist, nachfolgender kurzer Artikel zum schmunzeln:) l+f: NULL ist ein notorischer Falschparker

Windows Update
Windows: August 2019 Patchday-Probleme
Information von kgborn vor 2 TagenWindows Update3 Kommentare

Ich kippe mal einige kurze Informationen hier rein - vielleicht hilft es Betroffenen. Die August 2019-Updates für Windows haben ...

Heiß diskutierte Inhalte
SAN, NAS, DAS
Leiser stromsparender Debian EXT4 NAS-Heimserver: ECC-RAM wie betreiben?
Frage von Laser12SAN, NAS, DAS25 Kommentare

Moin, aktuell stelle ich einen Rechner zusammen, den mein Computerhändler bauen wird. Nach Jahrzehnten mit Desktops und zwei Notebooks ...

Windows Server
Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet?
Frage von LochkartenstanzerWindows Server13 Kommentare

Moin Kollegen, Kurze Frage: Läuft Microsoft Server SQL2008R2 unter W2016, obwohl nicht supportet? Da ich i.d.R. nicht für die ...

Netzwerkgrundlagen
Proxmox auf dedicated Root Server mit nur einer IP nutzen
gelöst Frage von ndreier933Netzwerkgrundlagen12 Kommentare

Hallo Community, ich bin neu hier im Forum und weiß nicht ob ich das Thema richtg zugeordnet habe?Zusätzlich habe ...

Windows Server
Name einer neuen AD Gesamtstruktur ? immer .local?
gelöst Frage von Motte990Windows Server11 Kommentare

Hallo ihr Lieben Ich bin gerade dabei auf einem Windows Server 2019 Core oder Desktop eine neu Active Directory ...