hi,

wir haben das problem, dass wir innerhalb von 2 monaten 3mal von verschiedenen blacklists geadded wurden. der grund dafür waren spammail mit unserer ip.
im prinzip sind uns nur die headerinformationen der spammails bekannt(wurden uns von dem blacklistbetreiber bereitgestelllt). könntet ihr mir helfen und sagen, was man herauslesen kann.
sehr interessant wäre auch, ob man nachvollziehen kann ob die mail von uns intern gesedet wurden(virus oä) oder von jemanden ausserhalb der den header gefaked hat bzw unsere ip missbraucht.

header:

Code: Alles auswählenAufklappen

ATTFilter

Return-Path: <akinuxede4496@unsereDomain.de>
X-Original-To: egbert.pilz@SPAMTRAP.INVALID
Received: from unsereDomain.de (mail.unsereDomain.de [unsereIP])	
              by mx.selfip.biz (Postfix) with ESMTP	
              for <egbert.pilz@SPAMTRAP.INVALID>; 
Thu,  7 Jan 2010 08:31:17 +0100 (CET)
From: VIAGRA (c) Best Supplier <akinuxede4496@unsereDomain.de>
To: egbert.pilz@SPAMTRAP.INVALID
Subject: Visitor egbert.pilz's personal 80% OFF
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
         

/edit: ach ja das konto "akinuxede4496" gibt es bei uns nicht!

noch zur info:
die mails wurden nicht über unseren mail server versendet, da wir unsere mails über den smtp von 1und1 versenden lassen und keine infos von 1und1 im header stehen(1und1 hat uns dies auch bestätigt).

schonmal danke für alles

Was nutzt denn alles diese IP? Wieviele Rechner haengen daran. Wenn es nicht zu viele sind sollte man eigentlich schon lokal an dem ausgehen Netzwerkverkehr sehen koennen, wer da spamt.

Ansonsten hab ich das noch gefunden:
http://www.heise.de/security/meldung...st-897956.html

Nachtrag: Malware braucht keinen externen smtp, die bringen/installieren ihren eigenen...

wow geil danke für den link. scheint genau das zu sein. problem ist jetzt nur diesen rechner zu finden, da das antivierenprogramm versagt hat. bzw wo möglich port 25 schliessen.

leider nutzt ziemlich alles (2 server 30clients) diese IP.

Da ihr ein Unternehmen zu sein scheint, habt ihr vielleicht (hoffentlich) ein besseres Gateway (Router, Firewallrouter) welches auch protokolliert. Schau "einfach" nach, wer ständig Port 25 nutzt.

ist schon in arbeit, aber hier steckt der fail schon im design....

danke trotzdem für eure hilfe.

ach ja, wenn ich den artikel richtig verstandne habe gibt es noch keinen patch/removaltool/virensignaturupdate. ne idee wie ich den mist wieder runter bekomme?

Rechner/Server ausfindig machen, vom Netz nehmen und neu aufsetzen, bzw Backup/Image zurueckspielen...

Bei 30 Clients wird ein Image doch erstellt worden sein. Die fuer die Rechner verantwortliche Person wird das schon richten. Wir kennen eure Rechner/Infrastruktur ja nicht und moechten/koennen auch kein Support fuer Firmen leisten.

Aber es waere trotzdem sehr nett, wenn du uns sagen koenntest, was bei eurer Recherche herausgekommen ist.

nein sry hab mich blöd ausgedrückt. natürlich sollst du keinen support leisten, wäre ja bisschen fail. mich hätte es nur interessiert ob ihr schon ein tool zu entfernen kenn.

sobald ich nützliche infos hab geb ich sie euch weiter.