11
Absender von Spammail. Woher kommen die Adressen?
Hallo zusammen,
habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.
Als Absender stand drin:
Floy@linuxrechner.firma
(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)
Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.
Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.
Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers
Danke im Voraus
Ultura
habe heute wieder Spammail im Postfach gehabt. Dabei ist mir eines aufgefallen.
Als Absender stand drin:
Floy@linuxrechner.firma
(linuxrechner.firma ist der Hostname von unserem Linux-Mailserver)
Woher hat er diesen Namen? Normal ganz einfach durch schicken von Mails an irgendeine xxx@firma.de und auf Antwort/Mailer Daemon hoffen.
Aber wir haben unsere Postfächer alle bei Schlund und wenn ein Postfach nicht vorhanden ist, geht eine Fehlermeldung von Schlund aus an den Absender und nicht von uns. Daher kann ich diesen Weg schon einmal ausschliessen.
Was gäbe s noch - woher hat der Spammer den Namen unseres internen Linuxmailservers
Danke im Voraus
Ultura
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33436
Url: https://administrator.de/contentid/33436
Ausgedruckt am: 25.11.2024 um 16:11 Uhr
11 Kommentare
Neuester Kommentar
Hi,
_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?
Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
_WO_ hast du den Absender gelesen? In deinem eMail Programm?
Wenn du Windows hast, kannst du diese Info's ganz einfach vergessen, sie stimmen nicht immer oder geben falsche Hinweise. Ausserdem werden von Windows teilweise fehlende Absender einfach eingesetzt - warum, keine Ahnung?
Interessant ist der Quelltext der eMail (Eigenschaften/Details), insbesondere die Header.
Damit kann wirklich ermittelt werden, woher und an wen die eMail versendet wurde.
Hier der Header der Mail:
Unser interner Mailserver taucht dort bei from: auf!
Return-Path: <info@gdteem.com>
X-Original-To: user@localhost
Delivered-To: user@localhost.linuxrechner.unserefirma
Received: from localhost (localhost [127.0.0.1])
by linuxrechner.unserefirma (Postfix) with ESMTP id 8590C4223F
for <user@localhost>; Thu, 1 Jun 2006 07:37:15 +0200 (CEST)
Delivery-Date: Thu, 01 Jun 2006 06:01:08 +0200
Received-SPF: none (mxeu11: 220.180.206.92 is neither permitted nor denied by domain of gdteem.com) client-ip=220.180.206.92; envelope-from=info@gdteem.com; helo=irelandinthemail.com;
Received: from pop.kundenserver.de
by localhost with POP3 (fetchmail-6.2.3)
for user@localhost (single-drop); Thu, 01 Jun 2006 07:37:15 +0200 (CEST)
Received: from [220.180.206.92] (helo=irelandinthemail.com)
by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
id 0MKuA8-1FleMr2VxS-0007WL for info@unserefirma.de; Thu, 01 Jun 2006 06:01:07 +0200
Received: from [192.168.12.14] (helo=client)
by irelandinthemail.com with esmtpa (Exim 4.43 (FreeBSD))
id Ab44qw9z018245814
for info@unserefirma.de; Thu, 01 Jun 2006 04:01:42 +0000
Date: Thu, 01 Jun 2006 04:01:42 +0000
From: Floy@linuxrechner.unserefirma, info@gdteem.com <--- Da steht unser interner Mailserver als Absenderadresse!
To: info@unserefirma.de
Subject: Can't buy expensive software? Look here!
Message-Id: <20060524004537.6x1a5036.sales@lnmexpress.com>
X-Mailer: Sylpheed version 1.0.6 (GTK+ 1.2.10; i386-portbld-freebsd6.1)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
Envelope-To: user@unserefirma.de
X-SpamScore: 0.014
tests= PLING_QUERY
X-UIDL: N;4"!A(,"!"fF!!Q^&"!
Unser interner Mailserver taucht dort bei from: auf!
Return-Path: <info@gdteem.com>
X-Original-To: user@localhost
Delivered-To: user@localhost.linuxrechner.unserefirma
Received: from localhost (localhost [127.0.0.1])
by linuxrechner.unserefirma (Postfix) with ESMTP id 8590C4223F
for <user@localhost>; Thu, 1 Jun 2006 07:37:15 +0200 (CEST)
Delivery-Date: Thu, 01 Jun 2006 06:01:08 +0200
Received-SPF: none (mxeu11: 220.180.206.92 is neither permitted nor denied by domain of gdteem.com) client-ip=220.180.206.92; envelope-from=info@gdteem.com; helo=irelandinthemail.com;
Received: from pop.kundenserver.de
by localhost with POP3 (fetchmail-6.2.3)
for user@localhost (single-drop); Thu, 01 Jun 2006 07:37:15 +0200 (CEST)
Received: from [220.180.206.92] (helo=irelandinthemail.com)
by mx.kundenserver.de (node=mxeu11) with ESMTP (Nemesis),
id 0MKuA8-1FleMr2VxS-0007WL for info@unserefirma.de; Thu, 01 Jun 2006 06:01:07 +0200
Received: from [192.168.12.14] (helo=client)
by irelandinthemail.com with esmtpa (Exim 4.43 (FreeBSD))
id Ab44qw9z018245814
for info@unserefirma.de; Thu, 01 Jun 2006 04:01:42 +0000
Date: Thu, 01 Jun 2006 04:01:42 +0000
From: Floy@linuxrechner.unserefirma, info@gdteem.com <--- Da steht unser interner Mailserver als Absenderadresse!
To: info@unserefirma.de
Subject: Can't buy expensive software? Look here!
Message-Id: <20060524004537.6x1a5036.sales@lnmexpress.com>
X-Mailer: Sylpheed version 1.0.6 (GTK+ 1.2.10; i386-portbld-freebsd6.1)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
Envelope-To: user@unserefirma.de
X-SpamScore: 0.014
tests= PLING_QUERY
X-UIDL: N;4"!A(,"!"fF!!Q^&"!
Hi,
also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.
Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.
Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.
Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
also, die Mail kommt von China:
inetnum: 220.178.0.0 - 220.180.255.255
netname: CHINANET-AH
country: CN
descr: CHINANET anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
dort läuft ein lokaler Rechner mit der IP "192.168.12.14" und dem Hostname "client" der sich als MTA "irelandinthemail.com" nennt und auf dem Exim unter FreeBSD läuft.
Von dort ging die Mail an "mx.kundenserver.de" / Schlund-1&1 in eine Mailbox.
Aus der Mailbox wurde die Mail per POP (fetchmail-6.2.3) geholt, dabei wird die "From" Zeile neu generiert und zwar vom abholenden System, weil der Versand der Mail hat ursprünglich bei 1&1 geendet. Mit dem holen per POP und weiterversenden beginnt ein "neuer" Versand.
Hier per Postfix in die Usermailbox.
Alles in allem: Keine Panik, niemand kennt keinen internen Server, alles total normal.
Und was ist dann der/die/das Floy? Hat das was zu sagen?
Hi,
gibt es auf dem Linux Rechner keinen User namens Floy?
sudo grep -i floy /etc/passwd
gibt es auf dem Linux Rechner keinen User namens Floy?
sudo grep -i floy /etc/passwd
Hi,
andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
andere Möglichkeit, es sieht so aus, als ob einer der Entwickler von Fetchmail Floy heisst.
Um das zu erforschen solltest du einfach den Source von fetchmail deiner Version lesen und nach einem From-Rewrite suchen, dort findest du die Variablen oder den Static Text der eingesetzt wird, wenn per Fetchmail gepollt wird. Ich habe meine From Zeile bisher immer selber definiert und mit einem sinnvollen Inhalt "fetchmail@rechner.intern" belegt.
Nein den gibt es nicht!
Ah ok - werde das mal machen. Hatte auch schon diese Idee!
Warum sollte denn fetchmail das From:-Feld ändern. Dann müsste ja bei jeder Mail die ankommt Floy@linuxrechner.unserefirma als Absender verändert werden! . Ist aber nicht so, es steht immer der korrekte Absender da. Warum aber hier nicht?
Hi,
sende dir selber mal eine eMail ohne einen From - wie sieht die dann aus?
sende dir selber mal eine eMail ohne einen From - wie sieht die dann aus?
So, habe jetzt ein bisschen probiert mit anonymen Mails. Ist keine einzige durchgekommen. Die bleiben wohl, aufgrund dass kein Absender vorhanden ist, hängen.
Mir scheint es eher so zu sein, dass der ursprüngliche Absender durch ein Skript umgewandelt wird in einen Random-Namen@hostname des Mailservers. Die Namen kommen wohl aus einer Spammer-Datenbank.
Hintergrund ist ganz klar, der Spammer will die Mail mit einem bekannten Rechner vertrauter machen, und so mehr User ködern!
Na ich guck mal weiter! Ganz interessant die ganze Thematik hier!
Mir scheint es eher so zu sein, dass der ursprüngliche Absender durch ein Skript umgewandelt wird in einen Random-Namen@hostname des Mailservers. Die Namen kommen wohl aus einer Spammer-Datenbank.
Hintergrund ist ganz klar, der Spammer will die Mail mit einem bekannten Rechner vertrauter machen, und so mehr User ködern!
Na ich guck mal weiter! Ganz interessant die ganze Thematik hier!
