Ich erhalte momentan unmengen an Mailer-Daemons auf eine Emai-Adresse.
Der Inhalt der Mail ist Spam in Bezug auf nicht bezahlte (fingierte) Telekom oder Vodaphone-Rechnungen.

Hier der Quelltext der Nachricht:

Code: Alles auswählenAufklappen

ATTFilter

Return-Path: <MAILER-DAEMON>
X-Original-To: info@mydomain.de
Delivered-To: info@mydomain.de
Received: by mail.myserver.de (Postfix)
        id 22EC32C80454; Wed, 12 Nov 2014 09:12:34 +0100 (CET)
Date: Wed, 12 Nov 2014 09:12:34 +0100 (CET)
From: MAILER-DAEMON@mail.myserver.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: info@mydomain.de
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
        boundary="8801D2C804F8.1415779954/mail.myserver.de"
Message-Id: <20141112081234.22EC32C80454@mail.myserver.de>

This is a MIME-encapsulated message.

--8801D2C804F8.1415779954/mail.myserver.de
Content-Description: Notification
Content-Type: text/plain; charset=us-ascii

This is the mail system at host mail.myserver.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                   The mail system

<MAILER-DAEMON@ri-solution.com>: host mgate1.ri-solution.com[194.76.180.121]
    said: 550 #5.1.0 Address rejected. (in reply to RCPT TO command)

--8801D2C804F8.1415779954/mail.myserver.de
Content-Description: Delivery report
Content-Type: message/delivery-status

Reporting-MTA: dns; mail.myserver.de
X-Postfix-Queue-ID: 8801D2C804F8
X-Postfix-Sender: rfc822; info@mydomain.de
Arrival-Date: Wed, 12 Nov 2014 09:12:07 +0100 (CET)

Final-Recipient: rfc822; MAILER-DAEMON@ri-solution.com
Original-Recipient: rfc822;MAILER-DAEMON@ri-solution.com
Action: failed
Status: 5.0.0
Remote-MTA: dns; mgate1.ri-solution.com
Diagnostic-Code: smtp; 550 #5.1.0 Address rejected.

--8801D2C804F8.1415779954/mail.myserver.de
Content-Description: Undelivered Message
Content-Type: message/rfc822

Return-Path: <info@mydomain.de>
Received: from localhost (localhost.localdomain [127.0.0.1])
        by mail.myserver.de (Postfix) with ESMTP id 8801D2C804F8
        for <MAILER-DAEMON@ri-solution.com>; Wed, 12 Nov 2014 09:12:07 +0100 (CET)
X-Quarantine-ID: <gzOyoKqrTr64>
X-Virus-Scanned: Debian amavisd-new at 
X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date"
Received: from mail.myserver.de ([127.0.0.1])
        by localhost (mail.myserver.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id gzOyoKqrTr64 for <MAILER-DAEMON@ri-solution.com>;
        Wed, 12 Nov 2014 09:11:47 +0100 (CET)
Received: from localhost (unknown [188.20.108.102])
        (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
        (No client certificate requested)
        (Authenticated sender: info@mydomain.de)
        by mail.myserver.de (Postfix) with ESMTPSA id 36CED2C80076
        for <MAILER-DAEMON@ri-solution.com>; Wed, 12 Nov 2014 09:11:47 +0100 (CET)
Subject: Ihre Mobilfunk-Rechnung vom 12.11.2014 im Anhang als PDF
From: "Vodafone <33073474_3474414-L3ajXU3g2{3X3307m{aXM0@rechnung.voda"<info@mydomain.de>
To: MAILER-DAEMON@ri-solution.com
X-Mailer: Microsoft Office Outlook 12.0
X-Copyright: AOL Webmail STANDARD
Mime-version: 1.0
Content-Type: text/html; charset=utf-8
Message-Id: <20141112081207.8801D2C804F8@mail.myserver.de>
Date: Wed, 12 Nov 2014 09:12:07 +0100 (CET)

<HTML>
<HEAD>
<title>Vodafone-OnlineRechnung
</title>
<META content="text/html; charset=utf-8" http-equiv=Content-Type>
</HEAD>
<BODY bottomMargin=0 leftMargin=0 rightMargin=0 topMargin=0>


### Schnip Schnapp, Inhalt unwichtig, daher entfernt###

</BODY></HTML>

--8801D2C804F8.1415779954/mail.myserver.de--
         

Kann mir jemand ein wenig Hilfestellung geben, wie man die Mail-Header richtig liest, um daraus wertvolle Schlüsse ziehen zu können?

also mail.mydomain.de ist "mein Mailserver", und die die Mailadresse info@mydomain.de ist jene, welche mit den MailerDaemons zugemüllt wird.

Also intuitiv würde ich schon mal an den letzten Header gehen, und dort den Wert für Recieved auslesen. Heist das auftauchen von 127.0.0.1, dass die Mail auch ursprünglich von meinem Server gekommen ist, also ggf. mein Mailserver gehackt oder ein Kundenmailkonto bzw. ein Kontaktformular einer Webseite auf dem gleichen Server gehackt wurde?

Hallo rethus,

Zitat:

Heist das auftauchen von 127.0.0.1, dass die Mail auch ursprünglich von meinem Server gekommen ist, also ggf. mein Mailserver gehackt oder ein Kundenmailkonto bzw. ein Kontaktformular einer Webseite auf dem gleichen Server gehackt wurde?

Im Normalfall eher nicht - denn meist handelt es sich um eine Adressfälschung, d.h., "sie" haben einfach deine Adresse zum Spammen benutzt.....

Liebe Grüße, Alois

Post © Alois 2014 – Alle Rechte vorbehalten – kein Teil darf in irgendeiner Form ohne schriftliche Genehmigung des Autors kritisiert werden!

Habe folgendes Tool gefunden um Mailheader lesbarer zu machen: hxxp://www.gaijin.at/olsmailheader.php


Heißt das im vorliegenden Fall, bei meinen Headern, dass:

1. ursprünglich 188.20.108.102 die Spammail (mit meiner Adresse als Absender) gesendet hat
2. MAILER-DAEMON@ri-solution.com seine Message an meinen Server zurücksendet

Die letzen beiden Header verstehe ich nicht, wenn die Mail schon bei mir eingegangen ist, warum werden dann 2 Header noch hinzugefügt... oder bekommt er beim internen Zustellen auch jeweils einen weiteren Header?

Ich gehe nun auch davon aus, das über einen fremden Server der Spam versendet wurde, und meine Mail als Absendeadresse eingetragen wurde.

Die Frage ist, warum macht jemand sowas? Ist das Zufall? Im vorliegenden Fall handelt es sich um eine Domain für Seniorenbetreuung. Ich gehe nicht davon aus, das ein Konkurent die Adresse eingetragen hat um Ärger zu machen...
Themenverwand ist die Maildomain und der Inhalt des Spams ja auch nicht (Telefonrechnung von ner Seniorenbetreuung )?!

Und die letzte Frage, wie schützt man sich vor so etwas... also dass der Server nicht mit diesen MailerDeamon-Messages belastet wird (greift da fail2ban irgendwie)?

Hallo rethus,

wenn du noch Zugriff auf deinen Account hast - dann war es Adressfälschung - bei einem echten Hack wird meist sofort das Passwort geändert.....

Nun zu deinen Fragen:

1) Wenn jemand Spam oder Malware verschicken will, tut er es sicher nicht mit seiner eigenen Adresse

2) Ja, es werden Header hinzugefügt, je nach System

3) Ja, es ist mehr oder weniger Zufall - ich würde es eher Pech nennen.....(gezielte Aktionen dieser Art gibt es fast nur in der "Szene")

Noch ein Rat: Aus Sicherheitsgründen solltest du deinen Rechner einmal auf Malware überprüfen (lassen) - das geht zum Beispiel auch hier.

Liebe Grüße, Alois