Absender von Spammail. Woher kommen die Adressen?
Hallo zusammen,
habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.
Als Absender stand drin:
Floy@linuxrechner.firma
(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)
Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.
Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.
Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers
Danke im Voraus
Ultura
habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.
Als Absender stand drin:
Floy@linuxrechner.firma
(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)
Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.
Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.
Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers
Danke im Voraus
Ultura
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33436
Url: https://administrator.de/contentid/33436
Ausgedruckt am: 08.11.2024 um 07:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?
Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?
Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
Hi,
also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.
Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.
Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.
Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.
Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.
Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.
Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
Hi,
andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.