Wer od was ist "pinukuom6926@ipv4ilink.net"

Debian, Gentoo, Yellow Dog, Mandrake, SuSe, FedoraCore, Ubuntu,...

Moderatoren: analogkid, roschmyr

hawe
Tastaturkiller
Tastaturkiller
Beiträge: 379
Registriert: 30 Mai 2005, 07:33
Kontaktdaten:

Wer od was ist "pinukuom6926@ipv4ilink.net"

Beitragvon hawe » 21 Jul 2010, 22:04

Mein Server verucht mir jede Stunde eine Mail zuzustellen. Sie wird abgeweiesen und ich bekomme eine Warnung gesendet.
Es sieht so aus als wenn mein eigener Server verucht mir eine mail zu senden.

In: MAIL FROM:<pinukuom6926@ipv4ilink.net> SIZE=3911
Out: 250 2.1.0 Ok

wenn ich jetzt mal ein Ping auf ipv4ilink.net absetze bekomme ich antworten von 127.0.0.1 zurück.

Das kommt mir alles sehr sehr merkwürdig vor. Kennt das jemand?
in den Logs finde ich nichts


cu
hawe

Thore
Blue Morpho
Blue Morpho
Beiträge: 2621
Registriert: 30 Jul 2006, 18:09
Wohnort: Reutlingen
Kontaktdaten:

Beitragvon Thore » 21 Jul 2010, 22:22

was für eine Mailsoftware hast Du? Sendmail?
http://www.disk-doktor.de

hawe
Tastaturkiller
Tastaturkiller
Beiträge: 379
Registriert: 30 Mai 2005, 07:33
Kontaktdaten:

Beitragvon hawe » 21 Jul 2010, 23:02

Thore hat geschrieben:was für eine Mailsoftware hast Du? Sendmail?

Postfix als SMTP-Server
und Dovecot als POP und IMAP Server
dnsmasq als DNS Server. Hier habe ich mal das debugging eingeschaltet und ich bekomme die IP 127.0.0.1 von den übergeordneten DNS Servern geliefert.

cu
hawe

Benutzeravatar
DrB
FireWire-Beschwörer
FireWire-Beschwörer
Beiträge: 1329
Registriert: 19 Sep 2004, 18:01
Wohnort: Hamburg-Harburg

Re: Wer od was ist "pinukuom6926@ipv4ilink.net"

Beitragvon DrB » 21 Jul 2010, 23:52

hawe hat geschrieben:Mein Server verucht mir jede Stunde eine Mail zuzustellen. Sie wird abgeweiesen und ich bekomme eine Warnung gesendet.
Es sieht so aus als wenn mein eigener Server verucht mir eine mail zu senden.

In: MAIL FROM:<pinukuom6926@ipv4ilink.net> SIZE=3911
Out: 250 2.1.0 Ok

wenn ich jetzt mal ein Ping auf ipv4ilink.net absetze bekomme ich antworten von 127.0.0.1 zurück.


Das ist irgendein Spammer, die mailadresse im FROM ist vollkommen egal, diese
ist beliebig setzbar. Unabhaengig davon hat jemand fuer ipv4ilink.net einen A
record auf 127.0.0.1 eingetragen. Das muss nichts miteinander zu tun haben,
Spammbots verwenden beliebige Absender Adressen welche irgendwo mal
aufgesammelt wurden.

hawe
Tastaturkiller
Tastaturkiller
Beiträge: 379
Registriert: 30 Mai 2005, 07:33
Kontaktdaten:

Re: Wer od was ist "pinukuom6926@ipv4ilink.net"

Beitragvon hawe » 22 Jul 2010, 00:23

DrB hat geschrieben:
hawe hat geschrieben:Mein Server verucht mir jede Stunde eine Mail zuzustellen. Sie wird abgeweiesen und ich bekomme eine Warnung gesendet.
Es sieht so aus als wenn mein eigener Server verucht mir eine mail zu senden.

In: MAIL FROM:<pinukuom6926@ipv4ilink.net> SIZE=3911
Out: 250 2.1.0 Ok

wenn ich jetzt mal ein Ping auf ipv4ilink.net absetze bekomme ich antworten von 127.0.0.1 zurück.


Das ist irgendein Spammer, die mailadresse im FROM ist vollkommen egal, diese
ist beliebig setzbar. Unabhaengig davon hat jemand fuer ipv4ilink.net einen A
record auf 127.0.0.1 eingetragen. Das muss nichts miteinander zu tun haben,
Spammbots verwenden beliebige Absender Adressen welche irgendwo mal
aufgesammelt wurden.

Habe ich irgend eine Chance raus zu finden übommt? Dann könnte ich ihn mittels Firewall geziehlt aussperren.

Postfix sendet in diesem speziellen Fall ein 4xx Code anstatt eines 5xx Codes und so kommt er wohl immer wieder.

cu
hawe

Benutzeravatar
DrB
FireWire-Beschwörer
FireWire-Beschwörer
Beiträge: 1329
Registriert: 19 Sep 2004, 18:01
Wohnort: Hamburg-Harburg

Re: Wer od was ist "pinukuom6926@ipv4ilink.net"

Beitragvon DrB » 22 Jul 2010, 04:04

hawe hat geschrieben:Habe ich irgend eine Chance raus zu finden übommt? Dann könnte ich ihn mittels Firewall geziehlt aussperren.


Im log sollte normalerweise auch die IP Adresse des MTA stehen, welcher die Email
einliefern moechte. Im Zweifelsfall tcpdump mitlaufen lassen, sofern auf dem Server
nicht allzu so viel los ist.


hawe hat geschrieben:Postfix sendet in diesem speziellen Fall ein 4xx Code anstatt eines 5xx Codes und so kommt er wohl immer wieder.


Naja, das versucht er drei Tage und dann ist gut. Wie du schon festgestellt hast darf der
mailserver auch kein 4.x.x zurueckgeben, da der MTA bei einem temopraeren Fehler
natuerlich wieder zustellen will. Greylisting nutzt dieses Verhalten aus, in der
Annahme das Spambots die mails nicht queuen um eine erneute Zustellung zu
versuchen.

hawe
Tastaturkiller
Tastaturkiller
Beiträge: 379
Registriert: 30 Mai 2005, 07:33
Kontaktdaten:

Re: Wer od was ist "pinukuom6926@ipv4ilink.net"

Beitragvon hawe » 22 Jul 2010, 16:40

DrB hat geschrieben:
hawe hat geschrieben:Habe ich irgend eine Chance raus zu finden übommt? Dann könnte ich ihn mittels Firewall geziehlt aussperren.


Im log sollte normalerweise auch die IP Adresse des MTA stehen, welcher die Email
einliefern moechte. Im Zweifelsfall tcpdump mitlaufen lassen, sofern auf dem Server
nicht allzu so viel los ist.

Das steht im mail.log
    Jul 22 16:00:03 hoshi postfix/smtpd[397]: connect from localhost[127.0.0.1]
    Jul 22 16:00:03 hoshi postfix/smtpd[397]: warning: valid_hostname: invalid character 42(decimal): mx.*
    Jul 22 16:00:03 hoshi postfix/smtpd[397]: warning: malformed domain name in resource data of MX record for ipv4ilink.net: mx.
    Jul 22 16:00:03 hoshi postfix/smtpd[397]: NOQUEUE: reject: RCPT from localhost[127.0.0.1]: 450 4.1.8 <pinukuom6926@ipv4ilink.
Kann ich tcpdump so einstellen das es nur den SMTP Port loggt?
Die IP 127.0.0.1 kommt wohl vom DNS oder was kann ich noch anderes einstellen?
Ich habe mal den Virenscanner die Platte scannen lassen, nichts gefunden

hawe hat geschrieben:Postfix sendet in diesem speziellen Fall ein 4xx Code anstatt eines 5xx Codes und so kommt er wohl immer wieder.


Naja, das versucht er drei Tage und dann ist gut. Wie du schon festgestellt hast darf der
mailserver auch kein 4.x.x zurueckgeben, da der MTA bei einem temopraeren Fehler
natuerlich wieder zustellen will. Greylisting nutzt dieses Verhalten aus, in der
Annahme das Spambots die mails nicht queuen um eine erneute Zustellung zu
versuchen.

Ja, funktioniert wohl auch grundsätzlich. Aber seit dem update von etch auf lenny zicket mein mailserver rum. Postfix mecker das manche Dateien nicht dem root gehören, sind sie dann root wird gemeckert das sie root sind und andere Dateien genutzt werden. amavis läuft nicht mehr in der version 96.1 und dann das ...



cu
hawe

Thore
Blue Morpho
Blue Morpho
Beiträge: 2621
Registriert: 30 Jul 2006, 18:09
Wohnort: Reutlingen
Kontaktdaten:

Beitragvon Thore » 22 Jul 2010, 16:49

In der main.cf kann man Regeln für Blacklisten eingeben.

Hier eine Seite, die Dir helfen kann:

http://www.cyberciti.biz/tips/postfix-s ... howto.html
http://www.disk-doktor.de

Benutzeravatar
DrB
FireWire-Beschwörer
FireWire-Beschwörer
Beiträge: 1329
Registriert: 19 Sep 2004, 18:01
Wohnort: Hamburg-Harburg

Re: Wer od was ist "pinukuom6926@ipv4ilink.net"

Beitragvon DrB » 22 Jul 2010, 23:19

hawe hat geschrieben:Kann ich tcpdump so einstellen das es nur den SMTP Port loggt?


Ja, klar. einfach "tcpdump port 25".

hawe hat geschrieben:Die IP 127.0.0.1 kommt wohl vom DNS oder was kann ich noch anderes einstellen?


In zusammenhang mit deinem Log sieht mir das aber eher so aus, als
ob die Email lokal gequeued wird und rausgeschickt werden soll. Ist
die queue leer? Kannst das mit dem "mailq" Kommando nachschauen.


Zurück zu „Linux“



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste