Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Absender von Spammail. Woher kommen die Adressen?

Mitglied: Ulturasepp

Ulturasepp (Level 1) - Jetzt verbinden

01.06.2006, aktualisiert 14:12 Uhr, 4993 Aufrufe, 11 Kommentare

Hallo zusammen,

habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.

Als Absender stand drin:

Floy@linuxrechner.firma

(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)

Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.

Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.

Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers

Danke im Voraus

Ultura
Mitglied: Kr4bat
01.06.2006 um 12:00 Uhr
Hi,

_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?

Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 12:25 Uhr
Hier der Header der Mail:

Unser interner Mailserver taucht dort bei from: auf!

Return-Path: <info@gdteem.com>
X-Original-To: user@localhost
Delivered-To: user@localhost.linuxrechner.unserefirma
Received: from localhost (localhost [127.0.0.1])
by linuxrechner.unserefirma (Postfix) with ESMTP id 8590C4223F
for <user@localhost>; Thu, 1 Jun 2006 07:37:15 +0200 (CEST)
Delivery-Date: Thu, 01 Jun 2006 06:01:08 +0200
Received-SPF: none (mxeu11: 220.180.206.92 is neither permitted nor denied by domain of gdteem.com) client-ip=220.180.206.92; envelope-from=info@gdteem.com; helo=irelandinthemail.com;
Received: from pop.kundenserver.de
by localhost with POP3 (fetchmail-6.2.3)
for user@localhost (single-drop); Thu, 01 Jun 2006 07:37:15 +0200 (CEST)
Received: from [220.180.206.92] (helo=irelandinthemail.com)
by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
id 0MKuA8-1FleMr2VxS-0007WL for info@unserefirma.de; Thu, 01 Jun 2006 06:01:07 +0200
Received: from [192.168.12.14] (helo=client)
by irelandinthemail.com with esmtpa (Exim 4.43 (FreeBSD))
id Ab44qw9z018245814
for info@unserefirma.de; Thu, 01 Jun 2006 04:01:42 +0000
Date: Thu, 01 Jun 2006 04:01:42 +0000
From: Floy@linuxrechner.unserefirma, info@gdteem.com <--- Da steht unser interner Mailserver als Absenderadresse!
To: info@unserefirma.de
Subject: Can't buy expensive software? Look here!
Message-Id: <20060524004537.6x1a5036.sales@lnmexpress.com>
X-Mailer: Sylpheed version 1.0.6 (GTK+ 1.2.10; i386-portbld-freebsd6.1)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
Envelope-To: user@unserefirma.de
X-SpamScore: 0.014
tests= PLING_QUERY
X-UIDL: N;4"!A(,"!"fF!!Q^&"!
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 12:57 Uhr
Hi,

also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088

dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.

Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.

Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.

Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:01 Uhr
Und was ist dann der/die/das Floy? Hat das was zu sagen?
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 13:08 Uhr
Hi,

gibt es auf dem Linux Rechner keinen User namens Floy?

sudo grep -i floy /etc/passwd
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 13:13 Uhr
Hi,

andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:19 Uhr
Nein den gibt es nicht!
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:21 Uhr
Ah ok - werde das mal machen. Hatte auch schon diese Idee!
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 13:56 Uhr
Warum sollte denn fetchmail das From:-Feld ändern. Dann müsste ja bei jeder Mail die ankommt Floy@linuxrechner.unserefirma als Absender verändert werden! . Ist aber nicht so, es steht immer der korrekte Absender da. Warum aber hier nicht?
Bitte warten ..
Mitglied: Kr4bat
01.06.2006 um 13:59 Uhr
Hi,

sende dir selber mal eine eMail ohne einen From - wie sieht die dann aus?
Bitte warten ..
Mitglied: Ulturasepp
01.06.2006 um 14:12 Uhr
So, habe jetzt ein bisschen probiert mit anonymen Mails. Ist keine einzige durchgekommen. Die bleiben wohl, aufgrund dass kein Absender vorhanden ist, hängen.

Mir scheint es eher so zu sein, dass der ursprüngliche Absender durch ein Skript umgewandelt wird in einen Random-Namen@hostname des Mailservers. Die Namen kommen wohl aus einer Spammer-Datenbank.
Hintergrund ist ganz klar, der Spammer will die Mail mit einem bekannten Rechner vertrauter machen, und so mehr User ködern!

Na ich guck mal weiter! Ganz interessant die ganze Thematik hier!
Bitte warten ..
Ähnliche Inhalte
E-Mail

Spammail mit Anhängen und Links nutzen unsere Domain

gelöst Frage von M.MarzE-Mail12 Kommentare

Hallo zusammen, ich wollte mal von den erfahreneren unter euch wissen, was ein IT-Admin machen kann, wenn er des ...

LAN, WAN, Wireless

MAC Adress Finder bzw. Scanner (legal)

gelöst Frage von SchwarzerRieseLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich habe in meinem Heimnetzwerk (mit einer FritzBox als Modem & Router) folgendes "Problem": Irgendein Nachbar besitzt ...

Windows Tools

Cobra Adress Plus und Outlook

gelöst Frage von hartmann0Windows Tools8 Kommentare

Hallo, da ich durch Googlen leider einfach nichts finde, habe ich mich entschlossen, mich einfach mal hier an das ...

Sonstige Systeme

Cobra Adress Plus - im Terminalbetrieb

gelöst Frage von 118080Sonstige Systeme7 Kommentare

Ist hier zufälligerweise jemand im Forum der die Software Cobra Adress Plus kennt?? Hätte nämlich eine Frage und falls ...

Neue Wissensbeiträge
Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 3 StundenWindows 10

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 6 StundenSicherheit1 Kommentar

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Microsoft Office
TEAMS - Skype for business
Tipp von Nebellicht vor 6 StundenMicrosoft Office

Hallo, ms ersetzt Skype for business durch TEAMS. Also, nicht wundern wenn mit der OFFICE365 Umgebung kein Skype for ...

Windows 10

Windows 10: Cortana und die Suche gehen bald wieder eigene Wege

Information von Frank vor 10 StundenWindows 102 Kommentare

Microsoft hat einen neuen Insider Build von Windows 10 veröffentlicht (Fast Ring, Version 18317), wo die digitale Assistentin "Cortana" ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Switche und Hubs
Medienkonverter mit 12 oder 24 Ports gesucht
Frage von wmuellerSwitche und Hubs20 Kommentare

Guten Morgen, ich bin auf der Suche nach einem größeren Medienkonverter, der "stumpf" 1:1 die Ports auf über ein ...

Windows Server
Client in die Domäne einbinden - Allgemeine Frage dazu
gelöst Frage von RalphTWindows Server18 Kommentare

Moin, ich habe 2 DCs in einer Hauptstelle und 2 DCs in einer Nebenstelle. Ich bringe in der Hauptstelle ...

Windows 10
VM wächst schnell von 14 auf 35 GB an - warum?
Frage von degudejungWindows 1018 Kommentare

Hallo, ich bin ein Freund schlanker VMs und setze daher gerne mit dem Erscheinen einer neuen Win10 Version - ...