[Garnele]

Hallo community

Vermutlich das falsche Forum, aber ich habe irgendwie kein besseres gefunden :-S

In letzter Zeit habe ich immer wieder e-Mails in diesem styl bekommen:

Zitat:

This is the Postfix program at host yarrina.connect.com.au.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The Postfix program

<a.peli@acirl.com.au>: host mail.hrl.com.au[125.254.15.18] said: 550 User
unknown (in reply to RCPT TO command)



Reporting-MTA: dns; yarrina.connect.com.au
X-Postfix-Queue-ID: 786653B766
X-Postfix-Sender: rfc822; _prismoid@garnelenforum.ch
Arrival-Date: Sat, 29 Mar 2008 13:50:47 +1100 (EST)

Final-Recipient: rfc822; a.peli@acirl.com.au
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host mail.hrl.com.au[125.254.15.18] said: 550 User
unknown (in reply to RCPT TO command)



Betreff:
psressawVon:
"Jethro selamer" <_prismoid@garnelenforum.ch>Datum:
Fri, 28 Mar 2008 23:50:48 -0300An:
a.peli@acirl.com.au
This you REQUIRED for SATlSFACTlON!
Save more on bluepilz and more bluepilz to give more pleasure to your woman!

Es handelt sich also bei allen Mails um Postmaster responders von anderen Servern, die mir sagen, dass eine Mail die ich gesendet haben soll nicht angekommen ist. Oke, soweit klar, aber das kuriose ist, dass alle Adressen, von denen angeblich gesendet wird, gar nicht existieren. Ich hab einen normalen Webspace und darauf läuft ein phpBB sowie zwei drei kleinere Pages. Das einzige was ich mir jetzt vorstellen könnte ist, dass jemand die Kontaktformulare auf den kleineren Pages misbraucht, da sie keinen Bootschutz haben. Aber bei beiden Formulare habe ich keine HTML Mail unterstützung eingebaut, also sollte so eine Mail wie oben gar nicht möglich sein, oder?

Wäre froh um Hilfe, bis jetzt warens 1-2 Mails pro Tag, aber heute früh kamen 10 rein

Danke vielmals, Garnele

[Jann Hendrik]

was deine Kontaktformulare angeht: http://www.drweb.de/webmaster/kontakt-formulare.shtml

ggf. musst du sie absichern!

Wenn du 'nur' normalen webspace hast - dann frag mal deinen Provider, die haben da idR einen recht guten Überblick drüber!

[schifti]

Dein Server wird nicht zu spammen verwendet.
Das ist ein normaler JoeJob, bei dem nur deine Domain aus Absender im Return-Path verwendet wird und die anderen Mailserver, welche den Spam versenden bouncen nun an den Absender (deine Domain).

Am besten deaktivierst du für deine Domain die Catchall-Funktion, dann bekommst du noch nur die E-Mails, welche an existierende Adressen gesendet wurden.

Connected to mail.garnelenforum.ch.
mail from:<xxx>
250 ok
rcpt to:<asdfasdfasdf@garnelenforum.ch>
250 ok

[Garnele]

Hallo

Danke, ich habe das Catch-all jetzt mal rausgeworfen. Das mit dem Formular wusste ich bis jetzt nicht, interessant was man so alles manipulieren kann :-S Werde ich in Zukunft einbauen!

LG
Garnele

[Jann Hendrik]

Zitat:

Zitat von Garnele

interessant was man so alles manipulieren kann :-S Werde ich in Zukunft einbauen!

ALLES, was vom user kommt kann manipuliert werden.

[Jann Hendrik]

Ich bekomme seit gestern nun auch recht viele Infos, dass 'meine' SPAM-Mails nicht verschickt werden konnten.

Geht das noch jemandem so?

SPAMmäßig kann ich sagen, dass es derzeit zig Autos zu gewinnen gibt... Achja, und allerlei Software kann man kaufen.
Leider kommt mein thunderbird nicht mehr hinterher die alle rauszufiltern.

[Basti]

Zitat:

Zitat von Jann Hendrik

Ich bekomme seit gestern nun auch recht viele Infos, dass 'meine' SPAM-Mails nicht verschickt werden konnten.

Geht das noch jemandem so?

SPAMmäßig kann ich sagen, dass es derzeit zig Autos zu gewinnen gibt... Achja, und allerlei Software kann man kaufen.
Leider kommt mein thunderbird nicht mehr hinterher die alle rauszufiltern.

Das sind immer so Wellen. Dann kommen mal ein paar Tage täglich ein paar Hundert dieser Mails und dann ist wieder Ruhe.

Basti

[schifti]

Unbedingt Catchall deaktiveren und die Absender/Postmaster anschreiben, das sie Backscatter sind und die Mails bei Diensten wie spamcop rein stellen.
Wenn das Postfach wirklich direkt betroffen sein sollte und der Spamer existiendes-Postfach@domain.tld verwendet hat, so empfehle ich die Mails zu sichern und für paar Tage zu löschen.

[Jann Hendrik]

Wen soll ich den anschreiben? Die Adresse, die es nicht gibt?

Und selbst wenn - was soll user x machen, wenn sein Provider das nicht ändert?

Und: was ich kann ich machen, damit mein mailserver da entsprechend drauf reagiert!?

[schifti]

Den in den Whoisdaten hinterlegten Admin für die IP/Hostname des Mailservers, welcher die Bounce-Nachricht verschickt hat.
Dieser ist dann entweder ein offenes Relay, oder erlaubt das versenden ohne Authentifizierung oder das versenden von Domains, welche nicht zu ihm gehören.

Also beim Postfix, könntest du allgemein auf Absender mit <> oder MAILER-DAEMON und co per pcre-Header-Check die Mails blocken oder halt einen Mailfilter drauf einrichten:

Ein Eintrag dazu könnte wie folgt aussehen:

/Return-Path:.*<>*/ REJECT NOQUEUE: reject: YOU are a Backscatter!!!
/Return-Path:.*MAILER-DAEMON*/ REJECT NOQUEUE: reject: YOU are a Backscatter!!!
/Return-Path:.*postmaster*/ REJECT NOQUEUE: reject: YOU are a Backscatter!!!

Somit hat man schon 90% aller Bounce-Absender.

Wenn du die Mails bei spamcop.net einfügst, wird der IP-Inhaber informiert, sowie der Inhaber der Spam-Domain (falls ein Link in der Mail war).
Wenn der IP-Inhaber nicht geblockt werden möchte, wird der sicher gegen davor gehen. Sei es nur die Deaktivierung des E-Mailaccounts, welcher die Mail eingeliefert hat.

Ja, bei vielen großen Hostern ist aufgrund der Infrastruktur es nicht möglich alle Mails direkt abzulehnen/zu bouncen, daher werden diese zu Backscattern. Das müssen die aber irgendwann mal ändern.