# Unbekannte Mails in mailq



## Sigix (21. Jan. 2014)

Hallo,

ich habe seit gestern Mails in der mailq welche mir verdächtig vorkommen!
Ich kenne den Absender sowie den Empfänger nicht!

hier ein kleiner Ausschnitt:

77C35CC281E8     3984 Tue Jan 21 11:05:29  FG@mail2.test.com
(host mx02.htp-tel.de[81.14.243.107] said: 451 4.7.1 Greylisting in action, please come back later (in reply to RCPT TO command))
dr.t.bimmler@htp-tel.de

78195CC281DD     3974 Tue Jan 21 11:02:56  Fiducia@mail2.test.com
(host mail.metaling.com[212.72.100.18] said: 450 4.2.0 <pavel.nemet@netsi.si>: Recipient address rejected: Greylisted, see Postgrey Help (in reply to RCPT TO command))
pavel.nemet@netsi.si

279F3CC281E9     3960 Tue Jan 21 11:05:32  FG@mail2.test.com
(host mxgate02.telemed.de[193.158.110.35] said: 450 4.7.1 <binder@telemed.de>: Recipient address rejected: Greylisted, see Postgrey - Postfix Greylisting Policy Server (in reply to RCPT TO command))
binder@telemed.de

90A4ACC28073     4008 Tue Jan 21 11:02:40  Fiducia@mail2.test.com
(host mailin.ssp-europe.eu[94.16.0.20] refused to talk to me: 554-mail03.ssp-europe.eu 554 Your access to this mail system has been rejected due to the sending MTA's poor reputation. If you believe that this failure is in error, please contact the intended recipient via alternate means.)
montage-5445@ortner-anlagen.at

9BF5ECC281E7     3976 Tue Jan 21 11:05:26  FG@mail2.test.com
(host mail.urologie-syke.de[212.223.165.71] said: 451 Too busy - try again later or see http://www.clustermail.de/fehler.html#9 (in reply to RCPT TO command))
info@urologie-syke.de

3C822CC281E3     3968 Tue Jan 21 11:05:21  FG@mail2.test.com
(host mail.endoc-med.de[85.13.134.133] said: 450 4.2.0 <praxis@endoc-med.de>: Recipient address rejected: Greylisted, see Postgrey Help (in reply to RCPT TO command))
praxis@endoc-med.de

mittlerweile bin ich von BARRACUDA blacklisted worden!

das habe ich im syslog gefunden:
Jan 21 11:13:29 mail2 postfix/smtpd[5741]: connect from localhost[127.0.0.1]
Jan 21 11:13:29 mail2 postfix/smtpd[5741]: 7345BCC2824C: client=localhost[127.0.0.1]
Jan 21 11:13:29 mail2 postfix/cleanup[7213]: 7345BCC2824C: message-id=<01cf1691$Blat.v3.1.1$6e41496d$bd09674490e@test.com>
Jan 21 11:13:29 mail2 postfix/qmgr[3497]: 7345BCC2824C: from=<Volksbank@mail2.test.com>, size=3970, nrcpt=1 (queue active)
Jan 21 11:13:29 mail2 postfix/smtpd[5741]: disconnect from localhost[127.0.0.1]
Jan 21 11:13:29 mail2 amavis[6024]: (06024-18) Passed CLEAN, [217.81.27.166] [217.81.27.166] <Volksbank@mail2.test.com> -> <schulz@lm-anlagen.de>, Message-ID: <01cf1691$Blat.v3.1.1$6e41496d$bd09674490e@test.com>, mail_id: 3JMFSITEmTMq, Hits: 0.102, size: 3520, queued_as: 7345BCC2824C, 103 ms
Jan 21 11:13:29 mail2 postfix/smtp[7214]: 482A9CC28076: to=<schulz@lm-anlagen.de>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.22, delays=0.12/0/0/0.1, dsn=2.0.0, status=sent (250 2.0.0 Ok, id=06024-18, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 7345BCC2824C)
Jan 21 11:13:29 mail2 postfix/qmgr[3497]: 482A9CC28076: removed
Jan 21 11:13:29 mail2 postfix/smtp[7239]: 7345BCC2824C: to=<schulz@lm-anlagen.de>, relay=mail.nacura.de[193.151.32.48]:25, delay=0.49, delays=0.02/0/0.12/0.35, dsn=4.2.0, status=deferred (host mail.nacura.de[193.151.32.48] said: 450 4.2.0 <schulz@lm-anlagen.de>: Recipient address rejected: Greylisted_for_300_seconds_(see_http://isg.ee.ethz.ch/tools/postgrey/help/nacura.de.html) (in reply to RCPT TO command))

Wenn ich das richtig lese kommen die Mails vom localhost, nur wie kann ich herausfinden von wo genau ???????

rkhunter habe ich schon durchlaufen lassen der hat nichts gefunden nur 2 Warnings:
Checking loaded kernel modules                           [ Warning ]
 Checking if SSH root access is allowed                   [ Warning ]

System checks summary
=====================

File properties checks...
    Files checked: 137
    Suspect files: 0

Rootkit checks...
    Rootkits checked : 247
    Possible rootkits: 0

Applications checks...
    All checks skipped

The system checks took: 1 minute and 43 seconds


Kann mir hier wer helfen der Ursache auf den Grund zu gehen???
Danke im Voraus!

sigi


----------



## Till (21. Jan. 2014)

Schau mal hier:

http://www.howtoforge.de/forum/32619-post4.html


----------



## Sigix (21. Jan. 2014)

Zitat von Till:


> Schau mal hier:
> 
> http://www.howtoforge.de/forum/32619-post4.html


Hallo, 

der Open Relay Tester ist nicht mehr verfügbar 
habe es mit mxtoolb**.com getestet..

KEIN OPEN RELAY!

genau der Befehl war es welcher mir geholfen hat
postcat /var/spool/postfix/deferred/E/E06F81CEBAEE

Authentifizierter Sender zeigte den Schuldigen!

Danke dir Till!


----------



## Sigix (21. Jan. 2014)

Hi Till 

scheint doch nicht ganz die Lösung gewesen zu sein, was ich gemacht habe .... Habe das Kennwort des Emailaccounts geändert welcher im Header als Authenticated-Sender steht,... Emails kommen nach wie vor in die Mailq!

Was kann ich weiter machen... hier so eine Mail:

root@mail2:/usr/share# postcat /var/spool/postfix/deferred/3/3AC3ECC28076
*** ENVELOPE RECORDS /var/spool/postfix/deferred/3/3AC3ECC28076 ***
message_size:            2930             638               1               0            2930
message_arrival_time: Tue Jan 21 12:20:04 2014
create_time: Tue Jan 21 12:20:04 2014
named_attribute: rewrite_context=local
sender: Telekom@mail2.test.com
named_attribute: encoding=8bit
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=44979
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=44979
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;spammer@adresse.xyz
original_recipient: spammer@adresse.xyz
recipient: spammer@adresse.xyz
*** MESSAGE CONTENTS /var/spool/postfix/deferred/3/3AC3ECC28076 ***
Received: from localhost (localhost [127.0.0.1])
        by mail2.sx-it.com (Postfix) with ESMTP id 3AC3ECC28076
        for <s.pollmann@megens-straelen.de>; Tue, 21 Jan 2014 12:20:04 +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at mail2.test.com
Received: from mail2.test.com ([127.0.0.1])
        by localhost (mail2.test.com [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id iU0bxNY3A5Bi for <spammer@adresse.xyz>;
        Tue, 21 Jan 2014 12:20:04 +0100 (CET)
Received: from egger-pc (unknown [80.122.146.186])
        (Authenticated sender: info@sender.at)
        by mail2.sx-it.com (Postfix) with ESMTPA id 0C4E6CC28073
        for <spammer@adresse.xyz>; Tue, 21 Jan 2014 12:20:04 +0100 (CET)
Date: Tue, 21 Jan 2014 12:20:02 +0100
From: Telekom Deutschland
 <info@sender.at>
To: spammer@adresse.xyz
X-MSMail-Priority: High
X-Priority: 1
Priority: urgent
Importance: high
X-MimeOLE: Produced by Blat v3.1.1
X-Mailer: Blat v3.1.1, a Win32 SMTP/NNTP mailer happy mailing : Blat online
Message-ID: <01cf169a$Blat.v3.1.1$bbccfe8e$101854888020@test.com>
Subject: RechnungOnline Monat Januar 2014 Buchungskonto: 9576001742
Content-Transfer-Encoding: 8BIT
Content-Type: text/html;
 charset="ISO-8859-1"

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 08.01.0240.003">

<TITLE>Telekom Deutschland GmbH.</TITLE>

</HEAD>

<BODY>

<!-- Converted from text/plain format -->

<img width="600" height="77" title="TELEKOM - ERLEBEN, WAS VERBINDET." style="color: #e20074; font-family: arial; font-size: 12px; border-top-style: none; border-right-style: none; border-bottom-style: none; border-left-style: none; display: block;" alt="TELEKOM - ERLEBEN, WAS VERBINDET." src="" border="0"/>

<P><FONT SIZE=2>Sehr geehrte Kundin,<BR>

sehr geehrter Kunde<BR>

<BR>

Im Anhang finden Sie die gewünschten Dokumente und Daten zu Ihrer Telekom Mobilfunk RechnungOnline für Geschäftskunden vom Monat Januar,


<BR>
<BR>
<A HREF=""</A><BR>

<BR>

Mit freundlichen Grüßen,<BR>

Geschäftskundenservice<BR>

<BR>

Telekom Deutschland GmbH<BR>

Aufsichtsrat: Timotheus Höttges Vorsitzender<BR>

Geschäftsführung: Niek Jan van Damme Sprecher, Thomas Dannenfeldt, Thomas Freude, Michael Hagspihl, Dr. Bruno Jacobfeuerborn, Dietmar Welslau, Dr. Dirk Wössner<BR>

Eintrag: Amtsgericht Bonn, HRB 59 19, Sitz der Gesellschaft Bonn<BR>

USt-Id.Nr.: DE 989100715531<BR>

WEEE-Reg.-Nr.: 563240639100<BR>

<BR>
---
<BR>
This email was Virus checked by NOD32.

Mail wurde auf Viren geprüft.

</FONT>

</P>




</BODY>

</HTML>
*** HEADER EXTRACTED /var/spool/postfix/deferred/3/3AC3ECC28076 ***
named_attribute: encoding=8bit
*** MESSAGE FILE END /var/spool/postfix/deferred/3/3AC3ECC28076 ***
root@mail2:/usr/share#


Was kann ich noch machen damit ich das in den Griff bekomme ?

Danke im Voraus


----------



## Till (21. Jan. 2014)

Starte mal postfix, sslauthd, courier-authdaemon und dovecot neu (also alles, was davon installiert ist). Dann sollte das aufhören, da es ein kann dass die logins gecached sind.


----------



## Till (21. Jan. 2014)

p.s. Wegen genau der Email hab ich heute Morgen einen Anruf meines Vaters bekommen  Also nicht von Dir verschickt, aber vom selben Spammer. Wenn ihm Emails suspekt sind, ruft er mich an und öffnet sie nicht und ich checke sie dann per webmail. Wenn dass alle technisch nicht so versierten machen würden, könnten die spammer einpacken 

Löschst Du die email bitte noch aus Deinem Post wieder raus oder machst zumindest die email adressen und links darin unkenntlich?


----------



## Sigix (21. Jan. 2014)

Zitat von Till:


> p.s. Wegen genau der Email hab ich heute Morgen einen Anruf meines Vaters bekommen  Also nicht von Dir verschickt, aber vom selben Spammer. Wenn ihm Emails suspekt sind, ruft er mich an und öffnet sie nicht und ich checke sie dann per webmail. Wenn dass alle technisch nicht so versierten machen würden, könnten die spammer einpacken
> 
> Löschst Du die email bitte noch aus Deinem Post wieder raus oder machst zumindest die email adressen und links darin unkenntlich?


Ja genau das wäre die Lösung..... kein Klick auf die Files/Anhänge --> keine SPAM-Flut!

Weiters würde es uns als Mailbox-Hoster viel ärger ersparen!! 

Links und Emailadressen habe ich entfernt..... 

Danke nochmals für deine Hilfe !!!

Nach einem kompletten Reboot scheint wieder alles okay zu sein!

Lg Sigi


----------

