Re: SpamCop Meldung, dass wir angeblich Spam verschicken
Von: Bernd Hohmann (trap20070819@spamonly.net) [Profil]
Datum: 06.02.2008 10:50
Message-ID: <60te7vF1spdmfU1@mid.individual.net>
Newsgroup: de.admin.net-abuse.mail
Datum: 06.02.2008 10:50
Message-ID: <60te7vF1spdmfU1@mid.individual.net>
Newsgroup: de.admin.net-abuse.mail
Mario Mueller wrote: > Hallo, > > ich habe gerade von unserem Serveranbieter zwei Benachrichtigungen von > SpamCop weitergeleitet bekommen. Wir sollen angeblich für unsere > Webseite Spammails verschickt haben, was natürlich nicht stimmt. Hier > eine der Mails, die angeblich von unserem Server verschickt wurden: > > ---------------------------------- > > Return-path: <webmaster@#####.net> > Envelope-to: x > Delivery-date: Tue, 05 Feb 2008 21:41:40 -0800 > Received: from [###.###.###.###] (helo=#####.ipxserver.de) > by x.x.com with smtp (Exim 4.67) > (envelope-from <x>) > id 1CMZIA-00012I-Dk > for x; Tue, 05 Feb 2008 21:41:40 -0800 > Organization: ##### ##### > Reply-To: webmaster@#####.net > Message-ID: <0383________________________25ed@#####.net> > From: "#####" <webmaster@#####.net> > To: <x> > Subject: Mario Invites Sie, um Sich Frei Heute Anzuschließen > Date: Tue, 5 Feb 2008 21:42:51 -0500 > MIME-Version: 1.0 > Content-Type: multipart/alternative; > boundary="----=SPLITOR00A_001_446294687D" > > This is a multi-part message in MIME format. > > ------=SPLITOR00A_001_446294687D > Content-Type: text/plain; > charset="WINDOWS-1252" > Content-Transfer-Encoding: quoted-printable > > Mario Says... "Lernen Sie Englisch an einer Schnellen Rate und ohne > Kosten zu IHNEN!" > http://www.#####.net/ > > ------=SPLITOR00A_001_446294687D > Content-Type: text/html; > charset="WINDOWS-1252" > Content-Transfer-Encoding: quoted-printable > > <HTML><HEAD><TITLE>#####</TITLE> > <META http-equiv=3DContent-Type content=3D"text/html; = > charset=3Dwindows-1252"> > </HEAD> > <BODY> > <P align=3Dcenter> > Mario Says... "Lernen Sie Englisch an einer Schnellen Rate und ohne > Kosten zu IHNEN!" > <a href="http://www.#####.net/">Lernen Sie Englisch Frei Jetzt!</a> > </p> > </DIV></BODY></HTML> > > ------=SPLITOR00A_001_446294687D-- > > ---------------------------------- > > Die IP-Adresse und der Hostname in der Received-Zeile gehören zu > unserem Server. Allerdings wurde die E-Mail nie von unserem Server > verschickt (Logfiles habe ich extra noch mal durchgeschaut). Außerdem > haben wir als MTA Postfix, bei dem die Received-Zeile anders aussieht > und die E-Mail für die .net Domain geht auch nicht über diesen Serv er. > Received: from [###.###.###.###] (helo=#####.ipxserver.de) > by x.x.com with smtp (Exim 4.67) > (envelope-from <x>) > id 1CMZIA-00012I-Dk > for x; Tue, 05 Feb 2008 21:41:40 -0800 Wenn "###.###.###.###" zu Dir gehört, ist diese Received-Zeile vom Empfängersystem generiert worden. Frage an die Exim-User: stimmt der Header so? Frage an Dich: Meldet sich euer Mailserver mit diesem HELO (...ipxserver.de)? Nich irritiert, dass in der Received-Zeile kein Hostname steht (nur die IP und das HELO). Hosts mit generischem .ipxserver.de Namen die in den letzten Tagen Mails an die Spamtraps gekübelt haben (vielleicht bist Du ja dabei): 80.190.240.76/ipx10459.ipxserver.de 80.190.240.124/ipx10132.ipxserver.de 80.190.241.10/ipx10058.ipxserver.de 80.190.243.13/ipx20012.ipxserver.de 80.190.243.21/ipx20020.ipxserver.de 80.190.243.150/ipx11398.ipxserver.de 80.190.246.5/ipx10409.ipxserver.de 80.190.246.53/ipx10325.ipxserver.de 80.190.246.70/ipx11662.ipxserver.de 80.190.246.85/ipx10760.ipxserver.de 80.190.246.217/ipx10446.ipxserver.de 80.190.249.72/ipx14070.ipxserver.de 80.190.249.74/ipx12011.ipxserver.de 80.190.249.110/ipx10566.ipxserver.de 80.190.251.78/ipx10756.ipxserver.de 80.190.253.167/ipx10761.ipxserver.de 80.190.253.178/ipx11796.ipxserver.de 212.112.224.50/ipx11353.ipxserver.de 212.112.227.133/ipx11188.ipxserver.de 212.112.227.212/ipx11565.ipxserver.de 212.112.230.15/ipx-15-230-112-212.ipxserver.de 212.112.230.43/ipx-43-230-112-212.ipxserver.de 212.112.231.146/ipx14195.ipxserver.de 212.112.241.4/ipx22074.ipxserver.de 212.112.242.228/ipx11844.ipxserver.de (was vom Netz der IPX-Server-NET insgesamt kommt, traue ich mich gar nicht zu posten) Wenn im MTA-Log nichts zu finden ist, Maschine mal durchsuchen. Eventuell Kompromittierung des Rechners über PHP (irgendein ungepachtes CMS)? Bernd -- Unsere Identität entnehmen Sie bitte dem beigefügten Auszug aus den Personenstandsbüchern. Gegen die Assimilierung in unser Kollektiv ist nach dem ABGB (§66.4) kein Rechtsmittel zulässig.[ Auf dieses Posting antworten ]
Antworten
- Bernd Hohmann (06.02.2008 10:52)
- Michael Holzt (06.02.2008 10:55)
- Bernd Hohmann (06.02.2008 11:38)
- m.m (06.02.2008 12:35)
- Bernd Hohmann (06.02.2008 13:03)
- m.m (06.02.2008 14:09)
- Bernd Hohmann (06.02.2008 15:22)