ulturasepp
Goto Top

Absender von Spammail. Woher kommen die Adressen?

Hallo zusammen,

habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.

Als Absender stand drin:

Floy@linuxrechner.firma

(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)

Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.

Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.

Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers

Danke im Voraus

Ultura

Content-ID: 33436

Url: https://administrator.de/contentid/33436

Ausgedruckt am: 25.11.2024 um 16:11 Uhr

Kr4bat
Kr4bat 01.06.2006 um 12:00:11 Uhr
Goto Top
Hi,

_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?

Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
Ulturasepp
Ulturasepp 01.06.2006 um 12:25:50 Uhr
Goto Top
Hier der Header der Mail:

Unser interner Mailserver taucht dort bei from: auf!

Return-Path: <info@gdteem.com>
X-Original-To: user@localhost
Delivered-To: user@localhost.linuxrechner.unserefirma
Received: from localhost (localhost [127.0.0.1])
by linuxrechner.unserefirma (Postfix) with ESMTP id 8590C4223F
for <user@localhost>; Thu, 1 Jun 2006 07:37:15 +0200 (CEST)
Delivery-Date: Thu, 01 Jun 2006 06:01:08 +0200
Received-SPF: none (mxeu11: 220.180.206.92 is neither permitted nor denied by domain of gdteem.com) client-ip=220.180.206.92; envelope-from=info@gdteem.com; helo=irelandinthemail.com;
Received: from pop.kundenserver.de
by localhost with POP3 (fetchmail-6.2.3)
for user@localhost (single-drop); Thu, 01 Jun 2006 07:37:15 +0200 (CEST)
Received: from [220.180.206.92] (helo=irelandinthemail.com)
by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
id 0MKuA8-1FleMr2VxS-0007WL for info@unserefirma.de; Thu, 01 Jun 2006 06:01:07 +0200
Received: from [192.168.12.14] (helo=client)
by irelandinthemail.com with esmtpa (Exim 4.43 (FreeBSD))
id Ab44qw9z018245814
for info@unserefirma.de; Thu, 01 Jun 2006 04:01:42 +0000
Date: Thu, 01 Jun 2006 04:01:42 +0000
From: Floy@linuxrechner.unserefirma, info@gdteem.com <--- Da steht unser interner Mailserver als Absenderadresse!
To: info@unserefirma.de
Subject: Can't buy expensive software? Look here!
Message-Id: <20060524004537.6x1a5036.sales@lnmexpress.com>
X-Mailer: Sylpheed version 1.0.6 (GTK+ 1.2.10; i386-portbld-freebsd6.1)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
Envelope-To: user@unserefirma.de
X-SpamScore: 0.014
tests= PLING_QUERY
X-UIDL: N;4"!A(,"!"fF!!Q^&"!
Kr4bat
Kr4bat 01.06.2006 um 12:57:05 Uhr
Goto Top
Hi,

also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088

dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.

Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.

Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.

Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
Ulturasepp
Ulturasepp 01.06.2006 um 13:01:13 Uhr
Goto Top
Und was ist dann der/die/das Floy? Hat das was zu sagen?
Kr4bat
Kr4bat 01.06.2006 um 13:08:09 Uhr
Goto Top
Hi,

gibt es auf dem Linux Rechner keinen User namens Floy?

sudo grep -i floy /etc/passwd
Kr4bat
Kr4bat 01.06.2006 um 13:13:07 Uhr
Goto Top
Hi,

andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
Ulturasepp
Ulturasepp 01.06.2006 um 13:19:43 Uhr
Goto Top
Nein den gibt es nicht!
Ulturasepp
Ulturasepp 01.06.2006 um 13:21:05 Uhr
Goto Top
Ah ok - werde das mal machen. Hatte auch schon diese Idee!
Ulturasepp
Ulturasepp 01.06.2006 um 13:56:10 Uhr
Goto Top
Warum sollte denn fetchmail das From:-Feld ändern. Dann müsste ja bei jeder Mail die ankommt Floy@linuxrechner.unserefirma als Absender verändert werden! . Ist aber nicht so, es steht immer der korrekte Absender da. Warum aber hier nicht?
Kr4bat
Kr4bat 01.06.2006 um 13:59:56 Uhr
Goto Top
Hi,

sende dir selber mal eine eMail ohne einen From - wie sieht die dann aus?
Ulturasepp
Ulturasepp 01.06.2006 um 14:12:18 Uhr
Goto Top
So, habe jetzt ein bisschen probiert mit anonymen Mails. Ist keine einzige durchgekommen. Die bleiben wohl, aufgrund dass kein Absender vorhanden ist, hängen.

Mir scheint es eher so zu sein, dass der ursprüngliche Absender durch ein Skript umgewandelt wird in einen Random-Namen@hostname des Mailservers. Die Namen kommen wohl aus einer Spammer-Datenbank.
Hintergrund ist ganz klar, der Spammer will die Mail mit einem bekannten Rechner vertrauter machen, und so mehr User ködern!

Na ich guck mal weiter! Ganz interessant die ganze Thematik hier!