PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Emailversand ohne Absender vom lokalen Linuxserver ??



t0mmy
10.12.04, 16:45
Hallo NG,

ich habe lange versucht, eine Lösung zu finden aber vergebens:

Ich habe einen Redhat 7 Server der als Mailserver (Qmail) und Proxy dient. Mehr nicht. Er ist hinter einem Router der T-C*M und per DSL am INet.

Seid ein paar Tagen erhalte ich immer wieder vom Mailscanner (Kaspersky) div. Virenmeldungen von Mails, die anscheinend vom Server direkt versand wurden.

Habe dazu einen tcpdump gemacht und noch das Maillog betrachtet.

Dabei ist mir aufgefallen, dass folgende Logeinträge direkt am Versandzeitraum vorkommen:

Dec 10 15:28:15 qmail: 1102688895.457065 new msg 359847
Dec 10 15:28:15 qmail: 1102688895.457178 info msg 359847: bytes 2304 from <#@[]> qp 1399 uid 504
Dec 10 15:28:15 qmail: 1102688895.471769 starting delivery 12: msg 359847 to local vmailmgr-postmaster@xxxx.de
Dec 10 15:28:15 qmail: 1102688895.471871 status: local 1/10 remote 0/20
Dec 10 15:28:18 qmail: 1102688898.060136 new msg 359846
Dec 10 15:28:18 qmail: 1102688898.060256 info msg 359846: bytes 2581 from <#@[]> qp 1410 uid 504
Dec 10 15:28:18 qmail: 1102688898.136264 starting delivery 13: msg 359846 to local vmailmgr-x.xxxxx@xxxx.de
Dec 10 15:28:18 qmail: 1102688898.136370 status: local 2/10 remote 0/20
Dec 10 15:28:18 qmail: 1102688898.136389 delivery 12: success: did_0+0+1/
Dec 10 15:28:18 qmail: 1102688898.136407 status: local 1/10 remote 0/20
Dec 10 15:28:18 qmail: 1102688898.136425 end msg 359847
Dec 10 15:28:18 qmail: 1102688898.319351 delivery 13: success: did_0+0+1/
Dec 10 15:28:18 qmail: 1102688898.319465 status: local 0/10 remote 0/20
Dec 10 15:28:18 qmail: 1102688898.319483 end msg 359846

Was bedeutet das <#@> ?? Normalerweise steht dort doch der Absender...

Aus dem Log des tcpdump steht zu dieser Zeit:

13:35:00.947581 lo > 127.0.0.1.1092 > 127.0.0.1.domain: 36012+ ANY? lap.xn. (24) (DF)
13:35:00.947581 lo < 127.0.0.1.1092 > 127.0.0.1.domain: 36012+ ANY? lap.xn. (24) (DF)
13:35:00.947795 eth1 > xxx.xxx.xxx.xxx.domain > 194.25.0.68.domain: 53415+ ANY? lap.xn. (24) (DF)
13:35:00.987199 lo > 127.0.0.1.1093 > 127.0.0.1.sunrpc: udp 56 (DF)
13:35:00.987199 lo < 127.0.0.1.1093 > 127.0.0.1.sunrpc: udp 56 (DF)
13:35:00.987307 lo > 127.0.0.1.sunrpc > 127.0.0.1.1093: udp 28 (DF)
13:35:00.987307 lo < 127.0.0.1.sunrpc > 127.0.0.1.1093: udp 28 (DF)
13:35:01.036518 eth1 < 194.25.0.68.domain > 212.185.176.146.domain: 53415 NXDomain 0/1/0 (99) (DF)
13:35:01.036790 lo > 127.0.0.1.domain > 127.0.0.1.1092: 36012 NXDomain 0/1/0 (99) (DF)
13:35:01.036790 lo < 127.0.0.1.domain > 127.0.0.1.1092: 36012 NXDomain 0/1/0 (99) (DF)
13:35:01.037096 lo > 127.0.0.1.1093 > 127.0.0.1.domain: 36013+ MX? lap.xn. (24) (DF)
13:35:01.037096 lo < 127.0.0.1.1093 > 127.0.0.1.domain: 36013+ MX? lap.xn. (24) (DF)
13:35:01.037207 lo > 127.0.0.1.domain > 127.0.0.1.1093: 36013 NXDomain 0/1/0 (99) (DF)
13:35:01.037207 lo < 127.0.0.1.domain > 127.0.0.1.1093: 36013 NXDomain 0/1/0 (99) (DF)
13:35:01.037389 lo > 127.0.0.1.1093 > 127.0.0.1.domain: 36014+ A? lap.xn. (24) (DF)
13:35:01.037389 lo < 127.0.0.1.1093 > 127.0.0.1.domain: 36014+ A? lap.xn. (24) (DF)
13:35:01.037453 lo > 127.0.0.1.domain > 127.0.0.1.1093: 36014 NXDomain 0/1/0 (99) (DF)
13:35:01.037453 lo < 127.0.0.1.domain > 127.0.0.1.1093: 36014 NXDomain 0/1/0 (99) (DF)

Was ist die Device "lo" ?

Kann mir jmd. Anhaltspunkte geben, was hier los ist ??

Vielen Dank.

Grüße

t0mmy

Tomek
10.12.04, 16:48
Was ist die Device "lo" ?
lo == localhost (127.0.0.1)