PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : highjacked to spam?



jooki
03.12.2006, 17:03
Hallo, hoffe ich bin hier mit meiner Frage richtig.

Seit eins,zwei Tagen, bekomme ich über den catchall-account meines Anbieters tonnenweise(!) returnmails, wie die weiter unten stehende.
Ich habe die waage vermutung, da wird irgendein mailscript vom guestbook oder dem nucleusblog auf meiner domain missbraucht um wild rumzuspammen, dass ich nen worm hab' der fleißig sinnlose nachrichten verschickt.

Kommt das irgendwem bekannt vor? hilfe, raff ich nich!
gruß, jooki

- - - -


Betreff: Returned mail: see transcript for details
von: MAILER-DAEMON [at] .....de

The original message was received at Sat, 2 Dec 2006 xx:xx:xx +0100
from localhost.localdomain [127.0.0.1]

----- The following addresses had permanent fatal errors -----
<angeldgg[at]caltel.com>
(reason: 501 #5.1.1 bad address angeldgg[at]caltel.com)

----- Transcript of session follows -----
... while talking to iron1.caltel.com.:
>>> >>> RCPT To:<angeldgg [at] caltel.com>
<<< 501 #5.1.1 bad address angeldgg[at]caltel.com
554 5.0.0 Service unavailable



Reporting-MTA: dns; alfa21.isp-service.biz
Received-From-MTA: DNS; localhost.localdomain
Arrival-Date: Sat, 2 Dec 2006 xx:xx:xx +0100

Final-Recipient: RFC822; angeldgg[at]caltel.com
Action: failed
Status: 5.5.4
Remote-MTA: DNS; iron1.caltel.com
Diagnostic-Code: SMTP; 501 #5.1.1 bad address angeldgg[at]caltel.com
Last-Attempt-Date: Sat, 2 Dec 2006 xx:xx:xx +0100



Return-Path: <postmaster [at] ....de>
Received: from alfa21.isp-service.biz (localhost.localdomain [127.0.0.1])
by alfa21.isp-service.biz (8.12.11.20060308/8.12.11) with ESMTP ID: [ID filtered]
for <angeldgg[at]caltel.com>; Sat, 2 Dec 2006 xx:xx:xx +0100
Received: (from apache [at] localhost)
by alfa21.isp-service.biz (8.12.11.20060308/8.12.11/Submit) ID: [ID filtered]
Sat, 2 Dec 2006 xx:xx:xx +0100
Date: Sat, 2 Dec 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
X-Authentication-Warning: alfa21.isp-service.biz: apache set sender to postmaster [at] ....de using -f
To: angeldgg[at]caltel.com
Subject: Update your account for security reasons ®
From: Bank Of America Online ® <security [at] bankofamerica.com>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit

RA Meier-Bading
03.12.2006, 18:12
Ich nehme an, die Header sind die der Returnmail, nicht die in der Email zitierten Header der Originalmail. Dann gibt es zwei Möglichkeiten (mit 99,9% Wahrscheinlichkeit trifft Variante 1 zu):

1. Wenn alfa21.isp-service.biz nicht Dein Server ist, spammt "nur" jemand mit Deiner Absenderadresse, passiert hier auch und überall, man kann ncihts dagegen tun. Leider. Da hilft also nur filtern oder catchall abstellen.

2. Wenn alfa21.isp-service.biz aber Dein Server ist, hast Du ein Sicherheitsloch drin, denn da sendet jemand über Deinen Rechner. Den kannst Du entwurmen, z.B. mit Knoppixillin, falls Du physikalischen Zugriff hast. Vor Variante 1 bist Du natürlich trotzdem nicht verschont.
Es ist aber sehr unwahrscheinlich, dass auch noch als return-Path Deine Adresse angegeben ist, so blöd sind die Spammer nun auch wieder nciht.

Obwohl...:)


TooniX