# Server versendet SPAM



## cokotech (23. Nov. 2010)

Hallo Profis,


ich habe ein kleines Problem.
Mein Server versendet SPAM in Massen und ich kann nicht genau herausfinden woher.
Meine Log-Dateien mail.log und mail.info sind je rund 700MB groß, deshlab poste ich die mal lieber nicht hier 
Meine Frage ist folgende... wie bzw. woran kann ich erkennen, wenn zum Beispiel ein Script/Formular der Angríffpunkt ist? Normalerweise muss man sich ja einloggen um Nachrichten senden zu können. Auch dürfte der SMTP Server nach der Anleitung des Perfect Servers kein Relaying machen. 
ABER keines der Scripts, was per sendmail arbeitet braucht ja Zugangsdaten. 
Mein Ansatzpunkt ist, dass wahrscheinlich mein Rechner sich was eingefangen hat zumindest davon ausgehend, 


```
Nov 21 08:01:02 srv1 pop3d: LOGOUT, [EMAIL="user=ab@xxxx.de"]user=ab@xxxx.de[/EMAIL], ip=[::ffff:92.206.xx.xx], port=[58585], top=0, retr=0, rcvd=24, sent=456, time=0
```
dass send=456 456 Nachrichten bedeutet und nicht Bytes... wobei es in dem Part ja eigentlich um pop3 geht und nicht SMTP... hmmmm
Was aber nun wenn es ein Script auf dem Servr ist?

Hier wäre nochmal ein Ausschnitt, aber ich komme nicht dahinter wie die Mails "eingeliefert" werden, auch wenn das client=localhost... wohl auf ein Script hindeutet....

```
Nov 21 13:44:45 srv1 postfix/qmgr[2909]: DF01839A0139: from=<[EMAIL="order-update@amazon.com"]order-update@amazon.com[/EMAIL]>, size=2307, nrcpt=50 (queue active)
Nov 21 13:44:51 srv1 postfix/smtp[23325]: DF01839A0139: to=<[EMAIL="nurseco1@attbi.com"]nurseco1@attbi.com[/EMAIL]>, relay=none, delay=164261, delays=164254/0.02/6.4/0, dsn=4.4.3, status=deferred (Host or domain name not found. Name service error for name=attbi.com type=MX: Host not found, try again)
```


```
mail.log.1:Nov 19 16:07:10 srv1 postfix/smtpd[17536]: DF01839A0139: client=localhost.localdomain[127.0.0.1]
mail.log.1:Nov 19 16:07:10 srv1 postfix/cleanup[19037]: DF01839A0139: message-id=<[EMAIL="20101119150710.DF01839A0139@srv1.xxxx.de"]20101119150710.DF01839A0139@srv1.xxxx.de[/EMAIL]>
mail.log.1:Nov 19 16:07:10 srv1 postfix/qmgr[2909]: DF01839A0139: from=<[EMAIL="order-update@amazon.com"]order-update@amazon.com[/EMAIL]>, size=2307, nrcpt=50 (queue active)
```
 
Ich wäre super dankbar für jegliche Tipps, habe erstmal postfix gestoppt, um nicht gesperrt zu werden.


Gruß Sven Lehnert


----------



## Till (23. Nov. 2010)

> dass send=456 456 Nachrichten bedeutet und nicht Bytes... wobei es in dem Part ja eigentlich um pop3 geht und nicht SMTP... hmmmm
> Was aber nun wenn es ein Script auf dem Servr ist?


Es sind bytes und nicht Nachrichten und es geht dabei um pop3, also mail empfang und nicht ums senden.

Die wahrscheinlichste Ursache Deines Problems ist ein bug in einem cms system oder Kontaktformular, welches das versenden von spam emails ermöglicht. Welches script das ist kannst Du z.B. hiermit rausfinden:

http://www.howtoforge.com/how-to-log-emails-sent-with-phps-mail-function-to-detect-form-spam


----------



## cokotech (23. Nov. 2010)

Hallo Till!


Super, ich wusste doch das hier das richtige Forum ist!
Ich probiere das gleich aus!
Vielen Dank!


Gruß Sven!


----------

