Gerade bin ich am Aufsetzen eines Mailclusters für einen Kunden. Der erste Server läuft seit gut einer Woche fertig konfiguriert als Testsystem, die anderen werden grade nach und nach aufgesetzt und eingebunden. Neues System=neue Domain mit dem ersten Testserver registriert, die ist also wirklich frisch, noch keine User außer den üblichen Verwaltungsadressen (noch nicht mal eine info@)

Heute schau ich mir mal zum Spaß meine Logfiles an, wer da schon alles versucht, ein offenes Relay zu finden, und entdecke diese Zeilen:

2005-12-01 X tcpserver: status: 1/20
2005-12-01 X tcpserver: pID: [ID filtered]
2005-12-01 X tcpserver: ok 23774 0:my.ser.vers.ip:25 :213.203.202.168::47304
2005-12-01 X CHKUSER rejected rcpt: from <wwwrun [at] linux.db-ad.de::> remote <linux.db-ad.de:unknown:213.203.202.168> rcpt <X [at] meine.neue.domain> : not existing recipient
2005-12-01 X tcpserver: end 23774 status 0
2005-12-01 X tcpserver: status: 0/20

Ich werd heute mal meine anderen Mailer untersuchen ob auch hier dieser Spaßvogel versucht, seinen Müll abzusondern.

PS: Sollte ein Admin der Meinung sein, dieser Post gehört in einen anderen Thread (http://www.antispam-ev.de/forum/showthread.php?t=9243), bitte verschieben.

Ging mir bei der Erstkonfiguration eines Systems ähnlich. Logfiles waren teilweise schier unlesbar, manche Tests nur ohne Strippe möglich (snort, etc.).

Interessant zu wissen wäre hier, ob da jemand versucht, neu konnektierte Domains aus irgendeiner whois-Datenbank oder sonstigem zu lesen, um relativ schnell ein rootkit (etc.) plazieren zu können

<wwwrun [at] linux.db-ad.de> stellt die Rechnungen und Mahnungen von Probino/Winow zu...
(Die IP-Nummer stimmt - ist also keine "Spaßvogel-Post".)

Vielleicht war das eine der schriftlichen Stellungnahmen, auf die alle warten?

Kann ich nur sagen: rofl

<wwwrun [at] linux.db-ad.de> stellt die Rechnungen und Mahnungen von Probino/Winow zu...
Aus genau diesem Grund fand ich diese Zeilen so interessant. Der ganze übliche Relay-Check geht mir sonstwo vorbei.

Vielleicht war das eine der schriftlichen Stellungnahmen, auf die alle warten?
An den User einer Domain, die es bis vor einer Woche noch gar nicht gab?
BTW: Unter "schriftlich" verstehe ich "auf Papier", "anfassbar", oder zumindest vernünftig digital signiert. Wobei, eine "digitale Signatur" soll ja auch schon aus IP-Adresse und Timestamp bestehen können ;)

Hallo homer

An einen Zufall kann ich nicht glauben.

Ist die Empfänger-Domain tatsächlich neu oder hatte sie bereits einen Vorbesitzer?
Hat die Domain einen Wegwerfnamen wie "nirgendwohin.de" oder "nowhere.com"?
Dann wäre es erklärlich.

Vielleicht war es auch ein Kombipaket: Domain+Abo.
Oder eine von Brains Präsentsendungen: Feuerzeuge, Lollies in einem blauen Fass und Wasserbett-Konditioner (http://www.affiliate.de/forum/viewtopic.php?t=7216) :D

An einen Zufall kann ich nicht glauben.
Ist die Empfänger-Domain tatsächlich neu oder hatte sie bereits einen Vorbesitzer?
Ich hab grade mal bei Google und archive.org nachgeschaut. Diese Domain ist dort nicht bekannt, Google liefert auf die Suche nach dem Namen ausschließlich französische Webseiten mit dem Domainnamen als Satzbestandteil (ohne Satzzeichen). Die Domain wurde frisch registriert, kein CHPROV oder ähnliche Spielchen.

Hat die Domain einen Wegwerfnamen wie "nirgendwohin.de" oder "nowhere.com"?
Vielleicht war es auch ein Kombipaket: Domain+Abo.
Nein. Wie gesagt, das ist ein größeres Projekt für einen Kunden, soll auch eine seriöse Geschichte werden. Der Domainname ist auch nur für Verwaltungszwecke gedacht, er soll später nicht aktiv als Maildomain genutzt werden.

Oder eine von Brains Präsentsendungen: Feuerzeuge, Lollies in einem blauen Fass und Wasserbett-Konditioner (http://www.affiliate.de/forum/viewtopic.php?t=7216) :D
WTF ist ein Wasserbett-Konditionierer? Und wie kann BC im "Fass ohne Boden" Präsente einpacken, so ohne Boden? ;)

Das ist ein Wasserbett-Conditioner: http://cgi.ebay.de/ws/eBayISAPI.dll?ViewItem&category=107501&item=4402972740
(Im Thread steht Conditioner mit "K" drin (letztes Posting). Brain schreibt: "WASSERBETT KONDITIONIERER CONDITIONER" - ist aber alles dasselbe.)