Hi,

ich habe hier einige seltsame Mails an den lokalen Postmaster account geschickt bekommen.
Das ganze sieht für mich so aus als ob eine Mail von meinem lokalen Rechner(Linux) rausgegangen ist ohne das ich sie selbst geschrieben habe(?)

Was haltet Ihr davon?

Infos im Voraus:
- Lokal Installiertes Sendmail 8.11
- Lokaler Rechnername: ax301.local
- Ich kenne niemanden der das Konto wilbo@mdo.net oder bob5686@hotmail.com besitzt
- Die Email Adressen habe ich mit google gefunden im Zusammenhang mit Relayversuchen
- mail.gmx.net ist mein Smarthost



Message 3:
From MAILER-DAEMON@ax301.local Wed Aug 21 12:44:02 2002
Date: Wed, 21 Aug 2002 12:44:02 +0200
From: Mail Delivery Subsystem <MAILER-DAEMON@ax301.local>
To: Postmaster@ax301.local
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="g7LAi0J01012.1029926642/ax301.local"
Subject: Postmaster notify: see transcript for details
Auto-Submitted: auto-generated (postmaster-notification)

This is a MIME-encapsulated message

--g7LAi0J01012.1029926642/ax301.local

The original message was received at Wed, 21 Aug 2002 02:42:22 +0200
from pcp230597pcs.catonv01.md.comcast.net [68.55.197.128]
with id g7L0gM503714

----- The following addresses had permanent fatal errors -----
<wilbo@mdo.net>
(reason: 553 {mp011-rz3} Only registrated user are allowed to use this system - Dieser
Dienst ist eingetragenen Mitgliedern vorbehalten)

----- Transcript of session follows -----
... while talking to mail.gmx.net:
>>> MAIL From:<bob5686@hotmail.com>
<<< 553 {mp011-rz3} Only registrated user are allowed to use this system - Dieser
Dienst ist eingetragenen Mitgliedern vorbehalten
501 5.6.0 Data format error

--g7LAi0J01012.1029926642/ax301.local
Content-Type: message/delivery-status

Reporting-MTA: dns; ax301.local
Arrival-Date: Wed, 21 Aug 2002 02:42:22 +0200

Final-Recipient: RFC822; wilbo@mdo.net
Action: failed
Status: 5.1.3
Diagnostic-Code: SMTP; 553 {mp011-rz3} Only registrated user are allowed to use this system - Dieser
Dienst ist eingetragenen Mitgliedern vorbLast-Attempt-Date: Wed, 21 Aug 2002 12:44:02 +0200

--g7LAi0J01012.1029926642/ax301.local
Content-Type: text/rfc822-headers

Return-Path: <bob5686@hotmail.com>
Received: from hotmail.com (pcp230597pcs.catonv01.md.comcast.net [68.55.197.128])
by ax301.local (8.11.6/8.11.6/SuSE Linux 0.5) with SMTP id g7L0gM503714
for <wilbo@mdo.net>; Wed, 21 Aug 2002 02:42:22 +0200
Message-ID: <050049051046055046049053048046049055056@hotmail.co m>
To: <wilbo@mdo.net>
From: bob5686@hotmail.com
Subject: Hello
Date: Tue, 20 Aug 2002 20:25:14 -1600
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.3018.1300
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.3018.1300

--g7LAi0J01012.1029926642/ax301.local--

Hallo,

ganz spontan würde ich sagen, Dein Mailserver soll als Relay verwendet werden, und Dein Smarthost verweigert dies, da diese eMail definitiv nicht von Dir ist.
Ein Auszug aus dem Maillog wäre aufschlussreicher.
Wieviele eMails betrifft es?

Gruß

Das Maillog hatte ich noch gar nicht geprüft.


Aug 21 02:42:23 ax301 sendmail[3714]: g7L0gM503714: from=<bob5686@hotmail.com>,
size=589, class=0, nrcpts=1,
msgid=<050049051046055046049053048046049055056@hotmail.co m>, proto=SMTP, daemon=MTA,
relay=pcp230597pcs.catonv01.md.comcast.net [68.55.197.128]
Aug 21 02:42:23 ax301 sendmail[3714]: g7L0gM503714: to=<wilbo@mdo.net>, delay=00:00:01, mailer=relay, pri=30589, stat=queued
Aug 21 12:42:48 ax301 sendmail[510]: starting daemon (8.11.6): SMTP+queueing@00:30:00
Aug 21 12:42:48 ax301 sendmail[511]: g7L0gM503714: to=<wilbo@mdo.net>, delay=10:00:26, xdelay=00:00:00,
mailer=relay, pri=120589, relay=mail.gmx.net, dsn=4.0.0, stat=Deferred: Name server: mail.gmx.net: host name lookup failure


In meiner /etc/mail/access hatte ich aber das Relay nur für 192.168.x.x aktiviert. Ist da noch irgendwie IP-Spoofing mit im Spiel?

---
Es betrifft nicht sehr viele Mails. Und wenn es nur ein Relay-Versuch ist, ist es keine Katastrophe, würde mich aber trotzdem interessieren wie man das abstellt.(Die Einstellungen in access habe ich schon verschärft in dem ich noch weniger RFC-IP-Addressen zulasse.)

Wenn du deinen Mailserver eh nur lokal nutzt, solltest du ihn so konfigurieren, dass externe (in deinem Fall pcp230597pcs.catonv01.md.comcast.net [68.55.197.128] gar keinen Zugriff auf deinen Mailserver mehr bekommt.

Ich meine damit keine Firewall Einstellungen, sondern das binden von sendmail an die lokale IP.

Mittels IP-Spoofing sollte es nicht möglich sein auf deinen Mailserver zugreifen zu können um eine Mail zu verschicken.

> pcp230597pcs.catonv01.md.comcast.net [68.55.197.128] gar keinen Zugriff
> auf deinen Mailserver mehr bekommt.

Ist das nicht mit dem Eintrag in /etc/mail/access getan?

Antwort ein klares Jein.

Der Eintrag in der access verbietet es Personen, mittels sendmail zu verschicken (zumindest mal an fremde Computer, lokale Mails werden AFAIK zugestellt).

Solltest du Computern im Internet Zugriff auf deinen Mailserver gestatten (wobei sich die Frage stellt warum, wenn diese keine Mails über deinen Computer verschicken sollen), können sie damit auch Fehler in deiner Mailsoftware ausnutzen.

HTH

Hallo,
die gleichen Meldungen hatte ich in grossen Mengen.
Hier dürfte es sich um den Worm/Klez.E handeln, der wieder einmal mit einer gefundenen Adresse seinen Absender fälscht.

Ist eine der Empfängeradressen nicht erreichbar, kommt selbstverständlich eine entsprechende Meldung zuurück.
Und die liegt hier vor.

Vor Wochen hatte ich diese Mails pro Tag ca. 12 mal.

Gruß Klaus

Na dann bin ich ja beruhigt ;-)
...
...
Aber das heisst ja das der Virus durch mein lokales sendmail durchgeht und nur durch einen besser abgesicherten Mail bei gmx gestoppt wird! :o

Nein, die Mail ist nicht durch dein System gelaufen.
Es ist der Absender. An wen soll denn der Mailserver eine nicht zustellbare Mail sonst senden.
So etwas bekommt man meist nur mit, wenn der Empfänger nicht erreichbar ist.

Gruß Klaus