Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Absender von Spammail. Woher kommen die Adressen?

Mitglied: Ulturasepp
Hallo zusammen,

habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.

Als Absender stand drin:

Floy@linuxrechner.firma

(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)

Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.

Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.

Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers

Danke im Voraus

Ultura

Content-Key: 33436

Url: https://administrator.de/contentid/33436

Ausgedruckt am: 02.08.2021 um 19:08 Uhr

Mitglied: Kr4bat
Kr4bat 01.06.2006 um 12:00:11 Uhr
Goto Top
Hi,

_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?

Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
Mitglied: Ulturasepp
Ulturasepp 01.06.2006 um 12:25:50 Uhr
Goto Top
Hier der Header der Mail:

Unser interner Mailserver taucht dort bei from: auf!

Return-Path: <info@gdteem.com>
X-Original-To: user@6649
Delivered-To: user@localhost.linuxrechner.unserefirma
Received: from localhost (localhost [127.0.0.1])
by linuxrechner.unserefirma (Postfix) with ESMTP id 8590C4223F
for <user@6649>; Thu, 1 Jun 2006 07:37:15 +0200 (CEST)
Delivery-Date: Thu, 01 Jun 2006 06:01:08 +0200
Received-SPF: none (mxeu11: 220.180.206.92 is neither permitted nor denied by domain of gdteem.com) client-ip=220.180.206.92; envelope-from=info@gdteem.com; helo=irelandinthemail.com;
Received: from pop.kundenserver.de
by localhost with POP3 (fetchmail-6.2.3)
for user@6649 (single-drop); Thu, 01 Jun 2006 07:37:15 +0200 (CEST)
Received: from [220.180.206.92] (helo=irelandinthemail.com)
by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
id 0MKuA8-1FleMr2VxS-0007WL for info@unserefirma.de; Thu, 01 Jun 2006 06:01:07 +0200
Received: from [192.168.12.14] (helo=client)
by irelandinthemail.com with esmtpa (Exim 4.43 (FreeBSD))
id Ab44qw9z018245814
for info@unserefirma.de; Thu, 01 Jun 2006 04:01:42 +0000
Date: Thu, 01 Jun 2006 04:01:42 +0000
From: Floy@linuxrechner.unserefirma, info@gdteem.com <--- Da steht unser interner Mailserver als Absenderadresse!
To: info@unserefirma.de
Subject: Can't buy expensive software? Look here!
Message-Id: <20060524004537.6x1a5036.sales@lnmexpress.com>
X-Mailer: Sylpheed version 1.0.6 (GTK+ 1.2.10; i386-portbld-freebsd6.1)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
Envelope-To: user@unserefirma.de
X-SpamScore: 0.014
tests= PLING_QUERY
X-UIDL: N;4"!A(,"!"fF!!Q^&"!
Mitglied: Kr4bat
Kr4bat 01.06.2006 um 12:57:05 Uhr
Goto Top
Hi,

also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088

dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.

Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.

Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.

Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
Mitglied: Ulturasepp
Ulturasepp 01.06.2006 um 13:01:13 Uhr
Goto Top
Und was ist dann der/die/das Floy? Hat das was zu sagen?
Mitglied: Kr4bat
Kr4bat 01.06.2006 um 13:08:09 Uhr
Goto Top
Hi,

gibt es auf dem Linux Rechner keinen User namens Floy?

sudo grep -i floy /etc/passwd
Mitglied: Kr4bat
Kr4bat 01.06.2006 um 13:13:07 Uhr
Goto Top
Hi,

andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
Mitglied: Ulturasepp
Ulturasepp 01.06.2006 um 13:19:43 Uhr
Goto Top
Nein den gibt es nicht!
Mitglied: Ulturasepp
Ulturasepp 01.06.2006 um 13:21:05 Uhr
Goto Top
Ah ok - werde das mal machen. Hatte auch schon diese Idee!
Mitglied: Ulturasepp
Ulturasepp 01.06.2006 um 13:56:10 Uhr
Goto Top
Warum sollte denn fetchmail das From:-Feld ändern. Dann müsste ja bei jeder Mail die ankommt Floy@linuxrechner.unserefirma als Absender verändert werden! . Ist aber nicht so, es steht immer der korrekte Absender da. Warum aber hier nicht?
Mitglied: Kr4bat
Kr4bat 01.06.2006 um 13:59:56 Uhr
Goto Top
Hi,

sende dir selber mal eine eMail ohne einen From - wie sieht die dann aus?
Mitglied: Ulturasepp
Ulturasepp 01.06.2006 um 14:12:18 Uhr
Goto Top
So, habe jetzt ein bisschen probiert mit anonymen Mails. Ist keine einzige durchgekommen. Die bleiben wohl, aufgrund dass kein Absender vorhanden ist, hängen.

Mir scheint es eher so zu sein, dass der ursprüngliche Absender durch ein Skript umgewandelt wird in einen Random-Namen@hostname des Mailservers. Die Namen kommen wohl aus einer Spammer-Datenbank.
Hintergrund ist ganz klar, der Spammer will die Mail mit einem bekannten Rechner vertrauter machen, und so mehr User ködern!

Na ich guck mal weiter! Ganz interessant die ganze Thematik hier!
Heiß diskutierte Beiträge
question
Hyper-V - verwaiste Snapshots löschen gelöst basdschoVor 1 TagFrageHyper-V28 Kommentare

Hallo, mein Veeam machte bei einer installation Probleme und konnte plötzlich die Snapshots nicht mehr löschen. Kein Problem, Disks konsolidiert, alte Snapshot Dateien gelöscht. Nun ...

question
USB 3 beißt sich mit 2,4Ghz Funkperipherie gelöst O-Two06Vor 1 TagFragePeripheriegeräte3 Kommentare

Hiho, ich habe nun schon einige Artikel über das leidige Thema gelesen, komme aber zu keiner Lösung. Ich habe Mini-PCs, bei denen nun leider mal ...

question
Fritzbox 7590 ersetzten gegen Modem + Router oder Router mit Modemindignus-estVor 1 TagFrageNetzwerke10 Kommentare

Hallo zusammen, nach langer Krankheit und Genesungszeit fasse ich jetzt mal wieder den Mut eine frage zustellen die mir schon seit längeren im Kopf herum ...

question
Ipv6 RouterliodiceVor 1 TagFrageDSL, VDSL10 Kommentare

Hallo zusammen, ich hoffe ihr könnt mir weiterhelfen, ich benötigen einen ADSL Router (Kabelgebundenen) der IPv4 und IPv6 kann, also Dual Stack (DHCP Extern und ...

question
Günstiges Open-Source NAS für HeimgebrauchpanguuVor 17 StundenFrageSAN, NAS, DAS9 Kommentare

Hallo, mit NAS-Systemen hatte ich bisher gearbeitet: Synology, QNAP, Buffalo, etc. Dabei kommen proprietäre Betriebssysteme zum Einsatz, die sich natürlich von Hersteller zu Hersteller unterscheiden ...

question
SSH Login nur möglich bei eingelogtem USERhell.wienVor 1 TagFrageLinux Netzwerk18 Kommentare

habe einen Server (Debian) mit SSH (nur mit Public Key und auf einem Custom Port) und ufw aktiv. Ich kann mich nicht einlogen. Wenn ich ...

question
ProLiant DL380p G8 findet HP SAS-Festplatten MB3000FBUCN nicht ?IT-DAUVor 1 TagFrageServer-Hardware5 Kommentare

Hallo liebe Community! Kurz vorweg: ich bin Quereinsteiger in der IT-Branche und möchte nun als Vorbereitung zu meinem Ausbildungskurs bzw. für zu Hause ein bisschen ...

question
Backup-Konzept für HeimgebrauchmossoxVor 12 StundenFrageBackup7 Kommentare

Guten Tag zusammen, ich bin mir nicht sicher, ob ich das richtige Unterforum gewählt habe, denn meine Frage berührt auch den Bereich Hardware und Netzwerke. ...