Hallo zusammen,

ich möchte gerne herausfinden von welchem Rechner eine bestimmte Mail in unserem Netzwerk kommt. Da ich vermute das es sich um eine Spammail handelt. Es wird immer wieder die selbe Mail im zyklischen Abstand verschickt. Im logfile kann man nicht so viel sehen.

Wir benutzen Postfix.
welche Tools gibt es da und wie kann ich es relativ einfach herausfinden.

gruß
thebrain

Zum einen kannst Du Dir die Header der Mail anschauen - oder eben auf dem Mailserver, der die Mail angenommen hat das Log.

http://www.faqs.org/faqs/de-net-abuse/email-header-faq/
1234567890

im Header steht nichts. die klammern sind leer. und wenn unser maillog anschaue steht da auch nicht mehr als die absender adresse. und die gibt es bei uns nicht.

Falls Du in dem Header der Mail nicht mal ersehen kannst, welcher eMail Server die Mail als erstes angenommen hat (i.d.R. auch von wem, welcher IP Adresse), dann stimmt etwas mit dem Mailserver-Setup nicht, oder Du schaust Dir irgendetwas anderes an. Benutzt Du zufälligerweise Outlook?

Schau mal in "mail.info" vermutlich im Verzeichnis /var/log, dort steht eigentlich ganz genau wer sich wann von wo eingelogt hat und welche Email an welche Person wann wie zugestellt oder abgeleht wurde. Zumindest mit der gänigen Standart Postfix Log-Einstellung, was jeder natürlich ändern kann.

Edit: Welches Linux verwendet Ihr, o.a. gilt mit Sicherheit für SuSE (oder BSD), andere Distribution evtl. andere Config und Pfadeinstellungen.

nutzen debian. und nein in der mail.info steht nur from und dann die komische mail adresse. ja wir benutzen outlook zum teil. aber auch outlook express und thunderbird.

Poste doch mal einen vollstaendigen Header.
Mit den bisherigen Informationen kann man nichts anfangen.

Delivered-To: edv@gwlb.de
Received: from vw2.gwlb.de (bibliothektux.nlb-hannover.de [xxxxxxxxxx]) by zarafa.gwlb.de (Mail in Office (i386) ) with ESMTP id 2A8154001C01 for <MAILER-DAEMON@gwlb.de>; Mon, 17 Mar 2008 17:53:10 +0100
Received: from vw2.gwlb.de (unknown [127.0.0.1]) by vw2.gwlb.de (Mail in Office (i386) ) with ESMTP id B318E801DA04 for <MAILER-DAEMON@gwlb.de>; Mon, 17 Mar 2008 17:07:19 +0000
Received: from mrelay9.uni-hannover.de (mrelay9.uni-hannover.de [130.75.2.109]) by vw2.gwlb.de (Mail in Office (i386) ) with ESMTP id 97C41801D9E7 for <MAILER-DAEMON@gwlb.de>; Mon, 17 Mar 2008 18:07:19 +0100
Received: from smtp28.orange.fr (smtp28.orange.fr [80.12.242.99]) by mrelay9.uni-hannover.de (8.13.8/8.13.8) with ESMTP id m2HGrl9i003574 for <MAILER-DAEMON@gwlb.de>; Mon, 17 Mar 2008 17:53:52 +0100
Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf2801.orange.fr (SMTP Server) with ESMTP id C6B7B7000083 for <MAILER-DAEMON@gwlb.de>; Mon, 17 Mar 2008 17:53:43 +0100
Received: from [192.168.1.15] (AToulouse-257-1-56-198.w90-5.abo.wanadoo.fr [90.5.151.198]) by mwinf2801.orange.fr (SMTP Server) with ESMTP id AEADA700009A for <MAILER-DAEMON@gwlb.de>; Mon, 17 Mar 2008 17:53:40 +0100
X-ME-UUID: 20080317165340715.AEADA700009A@mwinf2801.orange.fr
Mime-Version: 1.0 (Apple Message framework v753)
Date: Mon, 17 Mar 2008 17:53:41 +0100
Message-Id: <7162B518-3FBA-4FDA-B054-5AC3BADF8273@dpassocies.com>
Content-Type: multipart/alternative;
boundary=Apple-Mail-4182--167644821
From: caro <c.frayret@dpassocies.com>
Subject: Re: Undelivered Mail Returned to Sender
X-Mailer: Apple Mail (2.753)
To: MAILER-DAEMON@gwlb.de
X-PMX-Version: 5.4.1.325704, Antispam-Engine: 2.6.0.325393, Antispam-Data: 2008.3.17.93951
X-PMX-NoSS: SpamScan Not Requested By Recipient
X-TM-AS-Product-Ver: : ISVW-6.0.0.2339-5.0.0.1023-15792001
X-TM-AS-Result: : No
X-TM-AS-Category-Info: : 31:0.000000
X-TM-AS-MatchedID: : =?us-ascii?B?MTUwNTY3LTE1MzAwNy03MDM4?=
=?us-ascii?B?MjktNzAwMDcxLTcwODE5Ni03MDAwNzMtNzExNTE4LT cxMTUyMS03?=
=?us-ascii?B?MDI2MTEtMTM5MDEwLTE4NzA3NS03MDM5MDctNzAwMT MzLTEwNjIz?=
=?us-ascii?B?MC03MDE0NTUtNzAzNzQ3LTcwMjAyMC03MDE0NjUtNz AwNDc2LTcw?=
=?us-ascii?B?MDc1Ni03MDQ0NDUtNzAzNDkxLTcwMDU3OS03MDE2MD QtNzA1NDk0?=
=?us-ascii?B?LTcwMDczMi0xNDgwMzktMTQ4MDUxLTIwMDQz?=
X-TM-AS-Product-Ver: : ISVW-6.0.0.2339-5.0.0.1023-15792001
X-TM-AS-Result: : No
X-TM-AS-Category-Info: : 31:0.000000
X-TM-AS-MatchedID: : =?us-ascii?B?MTUwNTY3LTE1MzAwNy03MDM4?=
=?us-ascii?B?MjktNzAwMDcxLTcwODE5Ni03MDAwNzMtNzExNTE4LT cxMTUyMS03?=
=?us-ascii?B?MDI2MTEtMTM5MDEwLTE4NzA3NS03MDM5MDctNzAwMT MzLTEwNjIz?=
=?us-ascii?B?MC03MDE0NTUtNzAzNzQ3LTcwMjAyMC03MDE0NjUtNz AwNDc2LTcw?=
=?us-ascii?B?MDc1Ni03MDQ0NDUtNzAzNDkxLTcwMDU3OS03MDE2MD QtNzA1NDk0?=
=?us-

Die Received-Zeilen stehen im Header in umgekehrter Eingangsreihenfolge, d. h. ursprünglich wurde die Mail von AToulouse-257-1-56-198.w90-5.abo.wanadoo.fr [90.5.151.198] (von einem Rechner im LAN mit der IP-Adresse 192.168.1.15) generiert und an mwinf2801.orange.fr weitergegeben. In euer Netzwerk ist die Mail über mrelay9.uni-hannover.de durch den Client smtp28.orange.fr [80.12.242.99] gekommen.
Dem Subject und dem Empfänger nach zu urteilen war das die Reaktion auf eine Bounce-Mail von eurem Mailserver.

Oder was war die konkrete Frage?

Ok. Das heißt jetzt sie kommt garnicht aus unserem Netz. Oder was heißt das jetzt genau. Wir haben im Schnitt 20 -30 mal diese Mail im Admin-Postfach.