/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
(virus) på debian ?
Fra : carsten


Dato : 22-05-06 07:02

Hej NG
jeg har lige opdaget noget udsædvanlig, nemlig at modtage spam mail fra min
Debian server, som har en postfix mail server kørende, jeg er lidt på
barbund med hensyn til hvordan jeg takler problemet.
/Carsten



 
 
Leif Neland (22-05-2006)
Kommentar
Fra : Leif Neland


Dato : 22-05-06 07:17

carsten wrote:
> Hej NG
> jeg har lige opdaget noget udsædvanlig, nemlig at modtage spam mail
> fra min Debian server, som har en postfix mail server kørende, jeg er
> lidt på barbund med hensyn til hvordan jeg takler problemet.

Lad os se det, incl headers.
Så er det nok lidt lettere at råde.

Leif




carsten (22-05-2006)
Kommentar
Fra : carsten


Dato : 22-05-06 07:28

Leif Neland wrote:
>
> Lad os se det, incl headers.
> Så er det nok lidt lettere at råde.
>
> Leif

mail #1

Return-Path: <webmaster@becamo.dk>
X-Original-To: webmaster@becamo.dk
Delivered-To: root@becamo.dk
Received: from dyn216-8-172-49.ADSL.mnsi.net (dyn216-8-172-49.ADSL.mnsi.net
[216.8.172.49])
by debian (Postfix) with SMTP id 0F3A04AF7A
for <webmaster@becamo.dk>; Mon, 22 May 2006 03:33:42 +0200 (CEST)
To: webmaster@becamo.dk
Message-Id: <20060522013342.0F3A04AF7A@debian>
Date: Mon, 22 May 2006 03:33:42 +0200 (CEST)
From: webmaster@becamo.dk
X-UIDL: We7!!oIK!!1O#"!CgF!!
Status: R
X-Status: NPC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

email advertise your web site to 8,000,000 people for free
http://www.broadcastemailcorporation.org

this non-commercial offer is solely intended for non-commercial
charities only. press charity info option on site for details.
this email offer is not a commercial service for sale/lease/trade.

mail #2

Return-Path: <postmaster@becamo.dk>
X-Original-To: postmaster@becamo.dk
Delivered-To: root@becamo.dk
Received: from 212.242.48.198 (unknown [205.161.198.22])
by debian (Postfix) with SMTP id 2A12D4AF79
for <postmaster@becamo.dk>; Mon, 22 May 2006 03:35:03 +0200 (CEST)
To: postmaster@becamo.dk
Message-Id: <20060522013503.2A12D4AF79@debian>
Date: Mon, 22 May 2006 03:35:03 +0200 (CEST)
From: postmaster@becamo.dk
X-UIDL: ?24"!@ZE"!%E+#!e"L!!
Status: R
X-Status: NPC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

email advertise your web site to 8,000,000 people for free
http://www.broadcastemailcorporation.org

this non-commercial offer is solely intended for non-commercial
charities only. press charity info option on site for details.
this email offer is not a commercial service for sale/lease/trade.

mail #3


Return-Path: <root@becamo.dk>
X-Original-To: root@becamo.dk
Delivered-To: root@becamo.dk
Received: from p4188-ipbf203hiraide.tochigi.ocn.ne.jp
(p4188-ipbf203hiraide.tochigi.ocn.ne.jp [124.84.101.188])
by debian (Postfix) with SMTP id 9304F4AF79
for <root@becamo.dk>; Mon, 22 May 2006 03:34:37 +0200 (CEST)
To: root@becamo.dk
Message-Id: <20060522013437.9304F4AF79@debian>
Date: Mon, 22 May 2006 03:34:37 +0200 (CEST)
From: root@becamo.dk
X-UIDL: 8!&#!X*l!!n:f"!>N:"!
Status: R
X-Status: NC
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

email advertise your web site to 8,000,000 people for free
http://www.broadcastemailcorporation.org


this non-commercial offer is solely intended for non-commercial
charities only. press charity info option on site for details.
this email offer is not a commercial service for sale/lease/trade.


Sådan her er de tre mystiske mail's
hvad han man få ud af dem ?
Mail #2 indeholder min egen ip adresse
/Carsten


Peter Makholm (22-05-2006)
Kommentar
Fra : Peter Makholm


Dato : 22-05-06 07:44

carsten <spam@spam.dk> writes:

> mail #1
>
> Received: from dyn216-8-172-49.ADSL.mnsi.net (dyn216-8-172-49.ADSL.mnsi.net
> [216.8.172.49])
> by debian (Postfix) with SMTP id 0F3A04AF7A
> for <webmaster@becamo.dk>; Mon, 22 May 2006 03:33:42 +0200 (CEST)

[...]

> mail #2
> Received: from 212.242.48.198 (unknown [205.161.198.22])
> by debian (Postfix) with SMTP id 2A12D4AF79
> for <postmaster@becamo.dk>; Mon, 22 May 2006 03:35:03 +0200 (CEST)

[...]

> mail #3
> Received: from p4188-ipbf203hiraide.tochigi.ocn.ne.jp
> (p4188-ipbf203hiraide.tochigi.ocn.ne.jp [124.84.101.188])
> by debian (Postfix) with SMTP id 9304F4AF79
> for <root@becamo.dk>; Mon, 22 May 2006 03:34:37 +0200 (CEST)

Den relevante header er den received-header din egen mailserver sætter
ind. Det burde være den jeg har klippet ud ovenfor. Postfix bruger
cirka følgende format:

Received: from <helo-adresse> (<reverse-DNS> [IP-nummer])
by <din maskine> (Postfix) with SMTP id <Postfix-ID>
for <modtager>; <dato>

"helo-adresse" er hvad afsender-serveren selv kalder sig. Dette kan du
ikke regne med har noget hold i virkeligheden. "IP-nummer" er
afsender-serverens IP-nummer og "reverse-DNS" er et muligt navn for
dette IP-nummer. Du kan stole på IP-nummeret, men ikke reverse-DNS[0].
"Postfix-ID" er hvad Postfix kalder den mail i denne session, det kan
du finde i din log-fil. Modtager og dato giver sig selv.

Jeg går ud fra at din ip-adresse er 212.242.48.198 (en cybercity-
adresse). Som du kan se står den i et felt som du ikke kan stole på,
den rigtige afsender er 205.161.198.22.



0) Jeg kan ikke lige huske om Postfix bare laver et rdns-opslag eller
om den slår op begge veje.

--
Peter Makholm | What if:
peter@makholm.net | IBM bought Xenix from Microsoft instead of buying
http://hacking.dk | DOS?

carsten (22-05-2006)
Kommentar
Fra : carsten


Dato : 22-05-06 08:08

Peter Makholm wrote:

> Den relevante header er den received-header din egen mailserver sætter
> ind. Det burde være den jeg har klippet ud ovenfor. Postfix bruger
> cirka følgende format:
>
> Received: from <helo-adresse> (<reverse-DNS> [IP-nummer])
> by <din maskine> (Postfix) with SMTP id <Postfix-ID>
> for <modtager>; <dato>
>
> "helo-adresse" er hvad afsender-serveren selv kalder sig. Dette kan du
> ikke regne med har noget hold i virkeligheden. "IP-nummer" er
> afsender-serverens IP-nummer og "reverse-DNS" er et muligt navn for
> dette IP-nummer. Du kan stole på IP-nummeret, men ikke reverse-DNS[0].
> "Postfix-ID" er hvad Postfix kalder den mail i denne session, det kan
> du finde i din log-fil. Modtager og dato giver sig selv.
>
> Jeg går ud fra at din ip-adresse er 212.242.48.198 (en cybercity-
> adresse). Som du kan se står den i et felt som du ikke kan stole på,
> den rigtige afsender er 205.161.198.22.
>
>
>
> 0) Jeg kan ikke lige huske om Postfix bare laver et rdns-opslag eller
> om den slår op begge veje.
>

Med andre ord det er ikke min mail server der pludselig er gået grasat
og begyndt at sende spam til gud og hvermand !?

/Carsten

Peter Makholm (22-05-2006)
Kommentar
Fra : Peter Makholm


Dato : 22-05-06 08:10

carsten <spam@spam.dk> writes:

> Med andre ord det er ikke min mail server der pludselig er gået grasat
> og begyndt at sende spam til gud og hvermand !?

Det mener jeg ikke man kan gå ud fra med de oplysninger du har sendt.

--
Peter Makholm | I have no caps-lock but I must scream...
peter@makholm.net | -- Greg
http://hacking.dk |

carsten (22-05-2006)
Kommentar
Fra : carsten


Dato : 22-05-06 08:45

Peter Makholm wrote:

> carsten <spam@spam.dk> writes:
>
>> Med andre ord det er ikke min mail server der pludselig er gået grasat
>> og begyndt at sende spam til gud og hvermand !?
>
> Det mener jeg ikke man kan gå ud fra med de oplysninger du har sendt.
>
Tak, så vil jeg tørre af panden
/Carsten

Niels Callesøe (23-05-2006)
Kommentar
Fra : Niels Callesøe


Dato : 23-05-06 02:26

carsten wrote in <news:44716be3$0$15790$14726298@news.sunsite.dk>:

>>> Med andre ord det er ikke min mail server der pludselig er gået
>>> grasat og begyndt at sende spam til gud og hvermand !?
>>
>> Det mener jeg ikke man kan gå ud fra med de oplysninger du har
>> sendt.
>>
> Tak, så vil jeg tørre af panden

Du har nok brug for en tur eller to mere forbi postfix.org og
dokumentationen. Men hvis du bare gerne vil undgå den slags forvirrende
mails i fremtiden, så ret i din main.cf således at

smtpd_recipient_restrictions =
reject_invalid_hostname,
permit_mynetworks,
reject_unauth_destination,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,

   [etc, etc]

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Don't buy D-Link. Thanks!

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408847
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste