pdadmin-forum

pdadmin-forum » PD-Admin » Anwendung » Herausfinden, wie eine eMail versandt wurde » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Seiten (5): « erste ... « vorherige 2 3 [4] 5 nächste » Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen Herausfinden, wie eine eMail versandt wurde
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.863
Herkunft: Berlin

Themenstarter Thema begonnen von Twilo
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

sobald qmail-msa wieder gestartet wird, geht das gespamme weiter.

Nur welcher eMail-Account wird dafür verwendet? geschockt

__________________
Wunschzettel smile
Farbtabelle
19.12.2011 23:19 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.863
Herkunft: Berlin

Themenstarter Thema begonnen von Twilo
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

ich habe folgende Zeilen in der qmail-msa hinzugefuegt:
code:
1:
2:
3:
4:
5:
6:
HOSTNAME=`hostname -f`

if [ "$HOSTNAME" == "" ]; then
   echo "Kein Hostname gesetzt."
   exit 11
fi

die Datei sieht jetzt wie folgt aus:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
#!/bin/sh
QMAILDUID=`id -u qmaild`
NOFILESGID=`id -g qmaild`
MAXSMTPD=`cat /var/qmail/control/concurrencyincoming`
HOSTNAME=`hostname -f`

if [ "$HOSTNAME" == "" ]; then
   echo "Kein Hostname gesetzt."
   exit 11
fi

exec /usr/local/bin/softlimit -m 11000000 \
    /usr/local/bin/tcpserver -v -H -R -l 0 \
    -x /etc/tcp.msa.cdb -c "$MAXSMTPD" \
    -u "$QMAILDUID" -g "$NOFILESGID" 0 587 \
    /var/qmail/bin/qmail-smtpd \
    $HOSTNAME /usr/local/pd-admin2/bin/checksmtppasswd \
    /bin/true 2>&1

#    /home/vpopmail/bin/vchkpw /bin/true 2>&1

seitdem steht folgendes in der mail.log:
code:
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
Dec 19 23:43:05 s3 pdadmin[14298]: User ugast@xxx-xxx.de: smtp-auth login failed from 192.216.210.149 (wrong password: keyboard, PW_HASH)
Dec 19 23:44:30 s3 pdadmin[14833]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH)
Dec 19 23:47:34 s3 pdadmin[16887]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH)
Dec 19 23:48:10 s3 pdadmin[17096]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH)
Dec 19 23:49:16 s3 pdadmin[17380]: User ugast@xxx-xxx.de: smtp-auth login failed from 79.148.110.239 (wrong password: keyboard, PW_HASH)
Dec 19 23:50:45 s3 pdadmin[18442]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH)
Dec 19 23:50:52 s3 pdadmin[18491]: User ugast@xxx-xxx.de: smtp-auth login failed from 79.148.110.239 (wrong password: keyboard, PW_HASH)
Dec 19 23:52:29 s3 pdadmin[19355]: User ugast@xxx-xxx.de: smtp-auth login failed from 209.177.118.198 (wrong password: keyboard, PW_HASH)
Dec 19 23:54:24 s3 pdadmin[20024]: User ugast@xxx-xxx.de: smtp-auth login failed from 80.35.55.86 (wrong password: keyboard, PW_HASH)
Dec 19 23:56:21 s3 pdadmin[21240]: User ugast@xxx-xxx.de: smtp-auth login failed from 192.216.210.149 (wrong password: keyboard, PW_HASH)
Dec 19 23:59:55 s3 pdadmin[22708]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH)
Dec 20 00:14:36 s3 pdadmin[5772]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 00:23:23 s3 pdadmin[11384]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)
Dec 20 00:24:14 s3 pdadmin[11834]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 00:26:54 s3 pdadmin[13185]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)
Dec 20 00:27:07 s3 pdadmin[13273]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 00:31:27 s3 pdadmin[17433]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)
Dec 20 00:34:12 s3 pdadmin[18605]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)
Dec 20 00:37:34 s3 pdadmin[20434]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH)
Dec 20 00:45:35 s3 pdadmin[24384]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 00:46:06 s3 pdadmin[24596]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH)
Dec 20 00:48:09 s3 pdadmin[25344]: User ugast@xxx-xxx.de: smtp-auth login failed from 135.196.28.205 (wrong password: keyboard, PW_HASH)
Dec 20 00:48:26 s3 pdadmin[25478]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 00:50:32 s3 pdadmin[27946]: User ugast@xxx-xxx.de: smtp-auth login failed from 135.196.28.205 (wrong password: keyboard, PW_HASH)
Dec 20 00:55:58 s3 pdadmin[30581]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 00:58:35 s3 pdadmin[31573]: User ugast@xxx-xxx.de: smtp-auth login failed from 155.253.8.22 (wrong password: keyboard, PW_HASH)
Dec 20 01:04:10 s3 pdadmin[10795]: User ugast@xxx-xxx.de: smtp-auth login failed from 66.139.2.161 (wrong password: keyboard, PW_HASH)
Dec 20 01:07:38 s3 pdadmin[14481]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH)
Dec 20 01:10:20 s3 pdadmin[17669]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH)
Dec 20 01:16:04 s3 pdadmin[24659]: User ugast@xxx-xxx.de: smtp-auth login failed from 202.68.228.57 (wrong password: keyboard, PW_HASH)
Dec 20 01:21:51 s3 pdadmin[29342]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH)
Dec 20 01:24:22 s3 pdadmin[30423]: User ugast@xxx-xxx.de: smtp-auth login failed from 80.32.208.164 (wrong password: keyboard, PW_HASH)
Dec 20 01:25:19 s3 pdadmin[31153]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH)
Dec 20 01:27:21 s3 pdadmin[32189]: User ugast@xxx-xxx.de: smtp-auth login failed from 80.32.208.164 (wrong password: keyboard, PW_HASH)
Dec 20 01:32:27 s3 pdadmin[4675]: User ugast@xxx-xxx.de: smtp-auth login failed from 135.196.28.205 (wrong password: keyboard, PW_HASH)
Dec 20 01:36:23 s3 pdadmin[4474]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH)
Dec 20 01:38:59 s3 pdadmin[5389]: User ugast@xxx-xxx.de: smtp-auth login failed from 193.109.38.20 (wrong password: keyboard, PW_HASH)
Dec 20 01:44:07 s3 pdadmin[8030]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH)
Dec 20 01:48:34 s3 pdadmin[10305]: User ugast@xxx-xxx.de: smtp-auth login failed from 95.39.36.162 (wrong password: keyboard, PW_HASH)
Dec 20 01:50:50 s3 pdadmin[11473]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)
Dec 20 01:53:46 s3 pdadmin[12632]: User ugast@xxx-xxx.de: smtp-auth login failed from 12.4.210.16 (wrong password: keyboard, PW_HASH)

Was bedeutet das Wort keyboard bei "wrong password: keyboard, PW_HASH"?

Seit dem ist jetzt Ruhe!

ps. zum Glück ist die Datei nicht verschlüsselt, wie andere Dateien…

mfg
Twilo

__________________
Wunschzettel smile
Farbtabelle
19.12.2011 23:52 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.393

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Es gab in der Tat leider einen Fehler bei /service/qmail-msa/run. Ich habe unter http://download.pd-admin.de/msa-run.patch einen Patch abgelegt.

Viele Grüße
Daniel Bradler
20.12.2011 07:14 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hat es also doch mit dem fehlenden Hostnamen zu tun...?

Sind alle Versionen unter allen Umständen betroffen?

Könnten Sie eventuell noch eine vollständige Version des run Files publizieren, das wäre grad einfacher als der Patch.

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von tbc233: 20.12.2011 07:49.

20.12.2011 07:48 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Mir ist aufgefallen das nach Anwendung des Patches und Neustart des msa-services bei Mails die über msa versendet wurden immer noch "by 0" im header steht wo der hostname stehen sollte. Also

code:
1:
eceived: from unknown (HELO ?10.0.0.156?) (USERNAME@IP-ADRESSE-CLIENT)   by 0 with SMTP; 20 Dec 2011 07:23:46 -0000


Kann ich davon ausgehen das die Lücke trotzdem gestopft ist? Twilo, wie sieht die Zeile jetzt bei Dir aus?

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
20.12.2011 08:27 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Daniel Bradler
PD-Admin Dev

Dabei seit: 11.09.2004
Beiträge: 2.393

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Zitat:
Original von tbc233
Hat es also doch mit dem fehlenden Hostnamen zu tun...?

Sind alle Versionen unter allen Umständen betroffen?.


Der fehlende Hostname ist die Ursache, es dürften alle pd-admin-Installationen betroffen sein. Wir schicken nachher noch eine Information über die Mailingliste raus.

Eine korrigierte Version der Datei habe ich unter http://download.pd-admin.de/msa-run abgelegt.

Viele Grüße
Daniel Bradler
20.12.2011 10:14 Daniel Bradler ist offline Beiträge von Daniel Bradler suchen Nehme Daniel Bradler in Deine Freundesliste auf
tbc233
Moderator


Dabei seit: 23.09.2005
Beiträge: 658
Herkunft: Linz, Österreich

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ok. Aber die Tatsache das im Header immer noch "...received by 0..." angezeigt wird (bei einlieferung über port 25 hingegen der korrekte hostname) ist soweit eh nicht besorgniserregend?

__________________
Beste Grüße,
Michael

Aktuelles Herzensprojekt: www.meinnameistthomas.org
20.12.2011 10:55 tbc233 ist offline E-Mail an tbc233 senden Beiträge von tbc233 suchen Nehme tbc233 in Deine Freundesliste auf
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.863
Herkunft: Berlin

Themenstarter Thema begonnen von Twilo
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

Zitat:
Original von tbc233
Twilo, wie sieht die Zeile jetzt bei Dir aus?

das kann ich erst heute Abend überprüfen.

mfg
Twilo

__________________
Wunschzettel smile
Farbtabelle
20.12.2011 11:07 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
Twilo
Moderator


images/avatars/avatar-5.png

Dabei seit: 12.09.2004
Beiträge: 2.863
Herkunft: Berlin

Themenstarter Thema begonnen von Twilo
Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Hallo,

Zitat:
Original von Twilo
Zitat:
Original von tbc233
Twilo, wie sieht die Zeile jetzt bei Dir aus?

das kann ich erst heute Abend überprüfen.

es gibt zwei Unterschiede

über Port 25:
code:
1:
2:
Received: from pxxxxxxxx.dip.t-dialin.net (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx)
  by s2.xxx-xxx.de with SMTP; 20 Dec 2011 21:40:03 -0000

über Port 587:
code:
1:
2:
Received: from unknown (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx)
  by 0 with SMTP; 20 Dec 2011 21:50:59 -0000
  • from unknown
  • by 0

mfg
Twilo

__________________
Wunschzettel smile
Farbtabelle
20.12.2011 22:57 Twilo ist offline Homepage von Twilo Beiträge von Twilo suchen Nehme Twilo in Deine Freundesliste auf
crazydad
Mitglied


Dabei seit: 26.05.2006
Beiträge: 79

Antworten | Zitieren | Editieren | Melden       Zum Anfang der Seite springen

Ich greife dieses Thema nochmal auf, weil ich nach dem letzten Update (hab ich letzte Woche gemacht) auch zu einer Spamschleuder wurde.

Hier sollte man wohl mal nachbessern und genauer prüfen, ob das Update nicht eher "verschlimmbessert".

Ist nicht grad schön, innerhalb von ca. 2 Stunden an die 500000 Mails in der queue zu haben.

__________________
Ein kluger Mann wiederspricht keiner Frau - er wartet, bis sie es selber tut....
06.05.2013 21:04 crazydad ist offline E-Mail an crazydad senden Beiträge von crazydad suchen Nehme crazydad in Deine Freundesliste auf
Seiten (5): « erste ... « vorherige 2 3 [4] 5 nächste » Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Antwort erstellen
pdadmin-forum » PD-Admin » Anwendung » Herausfinden, wie eine eMail versandt wurde

Impressum | Team | Hilfe

Forensoftware: Burning Board, entwickelt von WoltLab GmbH    |    Design entwickelt von You-Online.de