# Blacklist Probleme



## Falloutboy6 (18. Nov. 2014)

Hallo,
ich lande immer wieder mit meinem Server auf der Blacklist. Bei der Blacklistseite bekomme ich den Hinweis, dass z. B. folgender E-Mailheader das Problem ist.


```
Return-Path: <www-data@loft1096.serverloft.de>
X-Original-To: afrikanetto@SPAMTRAP.INVALID
Received: from hosting-hanna.de (loft1096.serverloft.de [85.25.120.187])
    by mx.selfip.biz (Spamtrap) with ESMTP
    for afrikanetto@SPAMTRAP.INVALID; Wed, 08 Oct 2014 14:50:22 +0200 (CEST)
Received: by hosting-hanna.de (Postfix, from userid 33)
    id 020D66B4026; Wed,  8 Oct 2014 14:50:21 +0200 (CEST)
To: afrikanetto@SPAMTRAP.INVALID
Subject: Starbucks Card eGift
From: "Starbucks" <support@motorsport-karriere.de>
X-Mailer: lightbulbruffiansof6
Reply-To: "Starbucks" <support@motorsport-karriere.de>
Mime-Version: 1.0
Content-Type: multipart/alternative;boundary="----------14127726215435330DD5F6F"
Message-Id: <20141008125022.020D66B4026@hosting-hanna.de>
Date: Wed,  8 Oct 2014 14:50:21 +0200 (CEST)
```
Die E-Mailadresse support@ gibt es aber nicht. Wo kann ich das sperren? Ich habe ispConfig Version: 2.2.38 installiert.

Vielen Dank.


----------



## F4RR3LL (19. Nov. 2014)

Verpass dem Server mal einen ordentlichen FQDN. Wenn Du diese ReverseDNS und Hostnamen der Hoster nutzt kommt genau sowas gern dabei raus. Das ist mittlerweile fast so schlimm wie eine Heimleitung als Mailserver zu nutzen ohne feste IP.
Gruß Sven


----------



## Falloutboy6 (12. Dez. 2014)

Hallo,
leider alles ohne Erfolg. Ich lande wieder ständig auf irgendwelchen Listen. Der Server wird am 31.01.15 abgeschalten aber bis dahin muss ich noch eine kostengünstige Lösung finden. Wer kann mir helfen?
Gruß Benny


----------



## Till (12. Dez. 2014)

Man landet an sich nur auf Listen, wenn der Server Spam versendet. Wenn du also einen neuen Server hast dann wird der neue sicher auch dort landen falls Du die Webseiten oder accounts die jetzt für das problem sorgen auf den neuen umziehst.

Schau also mal in die mailqueue um rauszufinden, woher der spam kommt und fixe dann die webseite bzw. sperre das gehackte mailkonto. Absenderadressen kann man beliebig setzen, daher hat es nichst zu bendeuten dass es die adresse nicht gibt.

Der return-path www-data@loft____.serverloft.de deutet ja darauf hin, dass eine website gehacked wurde.


----------



## Falloutboy6 (12. Dez. 2014)

Es wird dann keinen Server mehr geben. Zum 31.01. ist Schluss.
Du hast doch selber schon bei mir geschaut.


----------



## Till (12. Dez. 2014)

Achja, da hatten wir doch auch was gefunden in einer website, wenn ich mich recht entsinne?


----------



## Falloutboy6 (12. Dez. 2014)

Genau das habe ich dann gelöscht. Aber scheinbar ohne Erfolg


----------



## Till (12. Dez. 2014)

Ich hatte ja für die Ursache des Problems gesucht dass zu dem damaligen Zeitpunkt auftrat, also nach dem Verursacher der mails die seinerzeit in der mailqueue waren. Es ist ja durchaus denkbar dass eine weitere Seite auf dem Server gehacked ist.


----------



## Falloutboy6 (12. Dez. 2014)

wie finde ich das heraus welche Seite der Verursacher ist?


----------



## F4RR3LL (12. Dez. 2014)

mailqueue und logfiles wäre der erste Ansatz.

Gruß Sven


----------



## Falloutboy6 (12. Dez. 2014)

Ich finde in der mail.log folgendes

Dec 12 06:33:34 loft1096 postfix/qmgr[19256]: 306CD74D7BB: from=<www-data@mail.hosting-hanna.de>, size=4226, nrcpt=1 (queue active)

Woher weiß ich aber welche Website das ist?


----------



## Till (12. Dez. 2014)

Du kannst mal in die php.ini sehen, Ich glaube ich hatte da ich ein script eingebaut welches die mit php mail() versendeten mails separat in /tmp/ logged. das hatte ich nach dem debugging deaktiviert. such mal nach sendmail_path in der php.ini und aktivier es wieder, dann starte postfix neu und schau mal was in das Log in /tmp geschrieben wird.


----------



## Falloutboy6 (12. Dez. 2014)

da steht nur

;sendmail_path =
;sendmail_path = /usr/local/bin/phpsendmail

drin


----------



## Till (12. Dez. 2014)

entferne mal das ; vor der längeren Zeile und starte apache neu. /usr/local/bin/phpsendmail ist ein wrapper script welches das log schreibt bevor es die mail and das sendmail binary weiter reicht.


----------



## Falloutboy6 (12. Dez. 2014)

getan. Da steht jetzt dann drin

2014-12-12 16:51:28 /usr/local/bin/phpsendmail -- To: *@*.us From: "Facebook" <notification@*.de>


----------



## Till (12. Dez. 2014)

Ok, da kein Pfad drin steht konnte das script ihn nicht feststellen. Hast Du noch eine Webseite motorsport-k........de auf dem Server?

Und bitte zensiere mal die Adressen in Deinem Post.


----------



## Falloutboy6 (12. Dez. 2014)

ja die Seite liegt noch da. Jetzt muss man rausbekommen welches Script das schuldige ist.


----------



## Till (12. Dez. 2014)

Geh mal in den web folder und rufe dort auf der shell auf:

grep -r eval *

Die dateien die Du dann angezeigt bekommst solltest Du mal checken, da ist häufig was gehacktes dabei.


----------

