[Gelöst] Hilfe: David scheint SPAM-Mails zu generieren

  • Hi all,

    ich habe hier gerade eine sehr mysteriöse Situation: Alle 30 Minuten finde ich exakt 3 Spam-Mails in meinem "Unverteilt"-Ordner, Inhalt variiert:

    Absender ist jeweils eine zufällige Buchstabenkombinaion, gerichtet an "webmaster@meinedomain.de", wobei meinedomain.de meine primäre David-Domain ist.

    Ich versuche irgendwie an den Ursprung der seltsamen Mails zu kommen, aber die Logs meines vorgeschalteten Spam-Proxy sind komplett einwandfrei.

    Im Eingangsprpotokoll des David finde ich die Mails wie folgt (Beispiel):
    Betreff: hfjdksafjsdfzho
    Zeit/Datum: Zeitstempel der Mail
    von: fjlsdlkjdf@fkodpfmk.com
    An: webmaster@meinedomain.de
    Port: Internal (!!!!)
    Benutzer: David Archive

    Nächster Versuch:

    Alle Ports für den Externzugriff (SMTP, AMTP AUTH, IMAP) auf den David blockiert, Mail Access Server-Dienst gestoppt (Holt damit keine Mails mehr von meinem Rootserver ab) - und immer noch "entstehen" diese eMails.

    Postman-Status zeigt mir nur, dass David die Nachrichten mangels lokaler Zustellbarkeit an meinen Smarthost weitersendet, allerdings ist das Fenster auch viel zu klein und zu kurz (FRAGE: Kann ich irgendwie David dazu bringen, "richtige" Logfiles für die Dienste auf die Platte zu schreiben?)

    Ein Rechtsklick im David Client auf solch eine Mail -> Eigenschaften -> Erweitert: Es kommt nur das Fenster "Keine erweiterten Eigenschaften vorhanden" - also keinerlei SMTP-Kommunikation, Headerinformationen etc.

    Im Moment bin ich völlig ratlos und für jeden Hinweis dankbar, wie ich Informationen über die Entstehung der Spam-Mails erhalten kann!

    Einmal editiert, zuletzt von netmax (31. Mai 2012 um 20:02)

  • Könnte ein SPAM versand per webbox (Gästebuch oder Kontaktformular) sein. Würde mal testweise die webbox beenden um der Ursache auf den Grund zu gehen oder einfach Gästebuch und Kontaktformular löschen, wenn die Beispielseiten eh nicht benutzt werden.

  • Hi Spike,

    sehr guter Tipp, danke!

    Ich hatte im Ausgangsbuch des David System User eine Art "Autoreply" an den vermeintlichen Absender gefunden mit dem Text:

    Code
    Thanks for your message to meinedomein.de.  
    The message has been forwarded  to  
    the relevant person and will be taken care of immediately. 
    
    
    Your  company name meinedomein.de

    Nachdem ich mir einen Lupus gesucht hatte, wo David diesen Autoresonder erzeugt, fand ich genau dieses Template jetzt in den WWW-Templates der Webbox unter "INTL / Contact". Heiße Spur!

    Letztendlich konnte ich das Problem exakt nachstellen, indem ich den Pfad des Formulars in den Webbrowser eingab ... da ist dann nix mehr mit Passwortabfrage. Also muss der oder "das" Angreifer(tool) doch sehr gezielt auf einen David am Webport abgescannt haben ... eher ungewöhnlich da David nicht gerade ein weltweit sehr verbreiteter Mailserver ist.

    Dann ändere ich mal eben den ganzen Default-Krams in der Webbox um und es sollte damit gut sein.

    Danke nochmal! :D

    Marco

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!