Herausfinden, wie eine eMail versandt wurde

  • Zitat

    Original von riedlit
    welchen hast du verwendet?
    probier mal da sonst: http://www.mxtoolbox.com/SuperTool.aspx?action=smtp


  • Wir haben exakt das gleiche Problem wie Twilo. Ich habe entsprechende Daten bereits Herrn Bradler zukommen lassen. Vielleicht kann das Twilo auch tun, damit Herr Bradler möglichst viele Informationen hat um das Problem zu identifizieren.
    Irgendwas ist da sehr merkwürdig. Bei uns wird der Spam mit einer Absenderadresse verschickt die lediglich als Weiterleitung eingerichtet ist.

  • Hallo,


    Zitat

    Original von ddausch
    Wir haben exakt das gleiche Problem wie Twilo. Ich habe entsprechende Daten bereits Herrn Bradler zukommen lassen. Vielleicht kann das Twilo auch tun, damit Herr Bradler möglichst viele Informationen hat um das Problem zu identifizieren.
    Irgendwas ist da sehr merkwürdig. Bei uns wird der Spam mit einer Absenderadresse verschickt die lediglich als Weiterleitung eingerichtet ist.


    welche Daten hast Du an Herrn Bradler gesendet?
    Wie ist bei Dir der Status?


    mfg
    Twilo

  • Hallo,


    nach einen

    Code
    1. svc -d /service/qmail-smtpd;
    2. killall tcpserver;



    werden weiter eMails versendet :)


    mfg
    Twilo

  • Also ich bin jetzt mit allen möglichen Kombinationen aus vorhandenen/nicht-vorhandenen und Weiterleitungsadressen auf einen Server los gegangen und es war mir nicht möglich ein Mail einzuliefern.


    Das einzige was mir aufgefallen ist, ist das in dem /service/qmail-msa/run Skript kein Hostname initialisiert wird. Daher erkennt man Mails die über msa eingeliefert wurden an der 0 wo sonst der Hostname steht - eben wie bei Dir:


    Code
    1. Received: from unknown (HELO wolvesden) (ugast@xxx-xxx.de@184.9.143.35) by 0 with SMTP; 19 Dec 2011 16:00:21 -0000


    Bei einer Einlieferung über Port 25 steht statt "by 0" dann "by HOSTNAME". Aber das nur am Rande, ich denke nicht das das was damit zu tun hat.


    Auch im checksmtppasswd Skript kann ich keine entsprechende Schwachstelle finden. Total Strange das ganze.

  • Hallo,


    ich habe folgende Zeilen in der qmail-msa hinzugefuegt:

    Code
    1. HOSTNAME=`hostname -f`
    2. if [ "$HOSTNAME" == "" ]; then
    3. echo "Kein Hostname gesetzt."
    4. exit 11
    5. fi


    die Datei sieht jetzt wie folgt aus:


    seitdem steht folgendes in der mail.log:


    Was bedeutet das Wort keyboard bei "wrong password: keyboard, PW_HASH"?


    Seit dem ist jetzt Ruhe!


    ps. zum Glück ist die Datei nicht verschlüsselt, wie andere Dateien…


    mfg
    Twilo

  • Hat es also doch mit dem fehlenden Hostnamen zu tun...?


    Sind alle Versionen unter allen Umständen betroffen?


    Könnten Sie eventuell noch eine vollständige Version des run Files publizieren, das wäre grad einfacher als der Patch.

  • Mir ist aufgefallen das nach Anwendung des Patches und Neustart des msa-services bei Mails die über msa versendet wurden immer noch "by 0" im header steht wo der hostname stehen sollte. Also


    Code
    1. eceived: from unknown (HELO ?10.0.0.156?) (USERNAME@IP-ADRESSE-CLIENT) by 0 with SMTP; 20 Dec 2011 07:23:46 -0000


    Kann ich davon ausgehen das die Lücke trotzdem gestopft ist? Twilo, wie sieht die Zeile jetzt bei Dir aus?

  • Zitat

    Original von tbc233
    Hat es also doch mit dem fehlenden Hostnamen zu tun...?


    Sind alle Versionen unter allen Umständen betroffen?.


    Der fehlende Hostname ist die Ursache, es dürften alle pd-admin-Installationen betroffen sein. Wir schicken nachher noch eine Information über die Mailingliste raus.


    Eine korrigierte Version der Datei habe ich unter http://download.pd-admin.de/msa-run abgelegt.


    Viele Grüße
    Daniel Bradler

  • Hallo,


    Zitat

    Original von Twilo


    das kann ich erst heute Abend überprüfen.


    es gibt zwei Unterschiede


    über Port 25:

    Code
    1. Received: from pxxxxxxxx.dip.t-dialin.net (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx)
    2. by s2.xxx-xxx.de with SMTP; 20 Dec 2011 21:40:03 -0000


    über Port 587:

    Code
    1. Received: from unknown (HELO xxx-xxx.speedport.ip) (USER@example.com@xxx.xxx.xxx.xxx)
    2. by 0 with SMTP; 20 Dec 2011 21:50:59 -0000
    • from unknown
    • by 0


    mfg
    Twilo

  • Ich greife dieses Thema nochmal auf, weil ich nach dem letzten Update (hab ich letzte Woche gemacht) auch zu einer Spamschleuder wurde.


    Hier sollte man wohl mal nachbessern und genauer prüfen, ob das Update nicht eher "verschlimmbessert".


    Ist nicht grad schön, innerhalb von ca. 2 Stunden an die 500000 Mails in der queue zu haben.