PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit Spam-Mails, evtl. ein Fetchmail-Problem



Seyer
24.02.02, 02:49
Neuerdings bekomme ich immer häufiger Mails dieser Art:

The original message was received at Sun, 24 Feb 2002 02:20:05 +0100 from localhost [127.0.0.1] with id g1O1K5n07221

----- The following addresses had permanent fatal errors ----- <sandra@xxxcamsx.com>
(reason: 550 Host unknown)

----- Transcript of session follows -----
550 5.1.2 <sandra@xxxcamsx.com>... Host unknown (Name server: xxxcamsx.com: host not found) 550 5.1.1 <FETCHMAIL-DAEMON@server.wellmeier>... User unknown

---

Zum einen habe ich diese Mail nie von meinem oder vom localhost-Rechner versendet, zum zweiten macht mich die Adresse stutzig, sieht nach einer XXX-Seite aus.

Ich habe mir erst überlegt, ob evtl. jemand von aussen Zugriff auf meinen SMTP-Port hat, um unerlaubt Werbemails zu versenden, habe dies aber geprüft und möchte es erstmal ausschliessen.

Dann habe ich festgestellt, dass die Meldung anscheinend von fetchmail und nicht von sendmail kommt. fetchmail holt aber nur Mails von meinem Provider ab, wie kann es dann zu solch einer Meldung kommen und wie kann ich dies in Zukunft unterbinden ?

harley
24.02.02, 03:55
schickt dir da n spassvogel error messages? was sagt denn der mailheader?
wenn fetchmail die mail geholt hatt kann es nur das sein es sei denn du hast pop/imap auf deinem host zu laufen ;) alsoooo poste mal den mailheader

Seyer
24.02.02, 10:53
Hier nun die komplette Mail mit allen Anhängen:

---

Die Internet-Kopfzeilen:

Return-Path: <MAILER-DAEMON@server.wellmeier>
Received: from localhost (localhost)
by server.wellmeier (8.11.6/8.11.6/SuSE Linux 0.5) id g1O1KAo07230;
Sun, 24 Feb 2002 02:20:10 +0100
Date: Sun, 24 Feb 2002 02:20:10 +0100
From: Mail Delivery Subsystem <MAILER-DAEMON@server.wellmeier>
Message-Id: <200202240120.g1O1KAo07230@server.wellmeier>
To: Postmaster@server.wellmeier
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="g1O1KAo07230.1014513610/server.wellmeier"
Subject: Postmaster notify: see transcript for details
Auto-Submitted: auto-generated (postmaster-notification)
Status: O

---

Anhang details.txt:

Reporting-MTA: dns; server.wellmeier
Received-From-MTA: DNS; localhost
Arrival-Date: Sun, 24 Feb 2002 02:20:05 +0100

Final-Recipient: RFC822; sandra@xxxcamsx.com
Action: failed
Status: 5.1.2
Remote-MTA: DNS; xxxcamsx.com
Diagnostic-Code: SMTP; 550 Host unknown
Last-Attempt-Date: Sun, 24 Feb 2002 02:20:10 +0100

---

AT00016.txt:

Return-Path: <FETCHMAIL-DAEMON@server.wellmeier>
Received: from localhost (localhost [127.0.0.1])
by server.wellmeier (8.11.6/8.11.6/SuSE Linux 0.5) with SMTP id g1O1K5n07221
for <sandra@xxxcamsx.com>; Sun, 24 Feb 2002 02:20:05 +0100
Date: Sun, 24 Feb 2002 02:20:05 +0100
Message-Id: <200202240120.g1O1K5n07221@server.wellmeier>
From: FETCHMAIL-DAEMON@server.wellmeier
To: sandra@xxxcamsx.com
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="foo-mani-padme-hum-7214-7213-1014513605"
X-Virus-Scanned: by AMaViS-perl11-milter (http://amavis.org/)

---

Datei: ATT00004.eml:

Received: from localhost (localhost [127.0.0.1])
by server.wellmeier (8.11.6/8.11.6/SuSE Linux 0.5) with SMTP id g1O1K5n07221
for <sandra@xxxcamsx.com>; Sun, 24 Feb 2002 02:20:05 +0100
Date: Sun, 24 Feb 2002 02:20:05 +0100
Message-Id: <200202240120.g1O1K5n07221@server.wellmeier>
From: FETCHMAIL-DAEMON@server.wellmeier
To: sandra@xxxcamsx.com
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="foo-mani-padme-hum-7214-7213-1014513605"
X-Virus-Scanned: by AMaViS-perl11-milter (http://amavis.org/)
X-Envelope-To: <matthias@wellmeier.de>
X-Delivery-Time: 1014513209
Received: from www.hefagra.es (www.hefagra.es [213.227.21.130])
by post.webmailer.de (8.9.3/8.8.7) with SMTP id CAA18195
for <matthias@wellmeier.de>; Sun, 24 Feb 2002 02:13:28 +0100 (MET)
Message-Id: <200202240113.CAA18195@post.webmailer.de>
From: Sandra Bella <sandra@xxxcamsx.com>
To: matthias@wellmeier.de
Subject: This is something u need to spend a minute on!
Sender: Sandra Bella <sandra@xxxcamsx.com>
Mime-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Date: Sat, 23 Feb 2002 20:13:28 -0600
Final-Recipient: rfc822; matthias@localhost
Last-Attempt-Date: Sun, 24 Feb 2002 02:20:05 +0100 (CET)
Action: failed
Status: 5.1.8
Diagnostic-Code: 553 5.1.8 <sandra@xxxcamsx.com>... Domain of sender address sandra@xxxcamsx.com does not exist

geronet
24.02.02, 10:56
Achtung, bei der E-Mail ist ein Virus dabei!

Im Anhang ist die Datei "ATT00004.eml", die gehört zu irgendeinem Wurm dazu, ich weiss den Namen jetzt nicht aber du solltest mal nen Virenscanner installieren..

Grüsse, Stefan

Seyer
24.02.02, 11:23
Bist du dir da sicher ?

Auf dem Server (server.wellmeier) ist Amavis installiert, neueste Version und neueste Virendefinitionsdatei, siehe auch diese Zeile:

X-Virus-Scanned: by AMaViS-perl11-milter (http://amavis.org/)

Auf der Client Seite läuft ebenfalls AntiVir Personal Edition (neueste Version, neueste Virendefinitionsdatei).

Von beiden Programmen kam keine Meldung über einen Virus.

Weiterhin macht mich stutzig, das diese Mail anscheinend vom Absender

From: Sandra Bella
Subject: This is something u need to spend a minute on!

kommt, und Fetchmail versucht diese Mail wieder zurück zu senden.

Kann es sich evtl. um eine Spam-Mail handeln, die eine Bestätigung über den Erhalt der Mail anfordert, sofern es soetwas gibt. Ansonsten sehe ich keinen Sinn darin, warum Fetchmail Mails wieder an den Absender schicken sollte.

geronet
24.02.02, 11:50
Ich denk schon dass das ein Virus ist da auf der Seite http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/ju-18.09.01-000/default.shtml&words=EML%20Mail


diese Endung als Virus gepriesen ist.





Oder sieh dir diesen Beitrag an:


http://www.entwickler-forum.de/webx?230@226.lJ62a3DRfnq%5e0@.ee7dfe9.ee89128



Alles klar?

Seyer
24.02.02, 11:56
Ich werde sowohl unter Linux, als auch unter Windows mal alle Dateien überprüfen lassen, glaube allerdings nicht an den Nimbda-Virus, da die Symtome unterschiedlich sind.

Seyer
24.02.02, 16:05
Weder unter Linux, als auch Win32 wurde ein Virus gefunden, mit 2 aktuellen Scannern geprüft. Daran liegt es also nicht.