# Spamt mein vServer?



## modr (18. Juli 2007)

Hallo,

aufgrund einiger Emails, die ich erhalten habe, frage ich mich langsam, ob mein vServer Spamt.


```
X-Account-Key: account2
X-UIDL: 645d72b3841c802163be858f2ed4898b
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <uusujoesx@bnstele.com>
X-Flags: 1001
Delivered-To: GMX delivery to meine.emailadresse@gmx.de
Received: (qmail invoked by alias); 17 Jul 2007 18:11:35 -0000
Received: from vz16037.evanzo-server.de (EHLO vz16037.evanzo-server.de) [62.140.16.37]
  by mx0.gmx.net (mx032) with SMTP; 17 Jul 2007 20:11:35 +0200
Received: from 65.105.243.196.ptr.us.xo.net (65.105.243.196.ptr.us.xo.net [65.105.243.196])
	by vz16037.evanzo-server.de (8.13.1/8.13.1/SuSE Linux 0.7) with ESMTP id l6HIBXkT010255
	for <julian.bessenroth@vnox.de>; Tue, 17 Jul 2007 20:11:34 +0200
Received: from [65.105.243.196] by cluster3.eu.messagelabs.com; Tue, 17 Jul 2007 18:11:34 +0700
Date: 	Tue, 17 Jul 2007 18:11:34 +0700
From: "Irene Wooten"@vz16037.evanzo-server.de
X-Mailer: The Bat! (v2.00.2) Business
Reply-To: uusujoesx@bnstele.com
X-Priority: 3 (Normal)
Message-ID: <706214612.20928257302000@bnstele.com>
To: julian.bessenroth@vnox.de
Subject: Say "I can have *** all night long"!
MIME-Version: 1.0
Content-Type: multipart/alternative;
  boundary="----------295E057676E05E21"
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-UID: C3L4NigJZCEXtQIKYGwho5xwIGhpZcZS

------------295E057676E05E21
Content-Type: text/plain; charset=windows-1250
Content-Transfer-Encoding: 7bit
```

dann kommt der Body-Text ...

vz16037.evanzo-server.de ist mein virtueller Server. Mich wundert es nur, das er bei received gleich zwei Mal vorkommt. Ich bin mit den Emailheadern nicht vollständig vertraut, aber einen Absender kann ja so ziemlich jeder fälschen.

Könnte Ihr mir sagen, ob hier jemand meinen vServer misbraucht (woran kann man Anzeichen dafür erkennen?)?

Wenn das der Fall sein sollte: Wie finde ich die Lücke und wie stopfe ich Sie? Kann mit jemand helfen. Tutorials? Tools? Danke im Voraus.

Gruß

Julian


----------



## Big-Tux (19. Juli 2007)

Hast du die Mails direkt bekommen oder haben dir Leute geschrieben sie hätten ne Spammail von deinem Server bekommen?


----------



## Navy (19. Juli 2007)

Welches OS? Welche Dienste/Deamons laufen auf dem Server? Hast Du einen Mailserver eingerichtet? Besitzt dieser einen MX-Record?

Solltest Du einen Mailserver haben, schau Dir die Logfiles dessen an. Es ist ziemlich einfach einen solchen falsch zu konfigurieren, so daß man einen openremailer aufgesetzt hat. In diesem Fall gibt es einige Probleme für Dich...


----------



## Dr Dau (19. Juli 2007)

Hallo!





Navy hat gesagt.:


> .....openremailer.....


Openrelay, Open-Relay, Open Relay. (damit die Suchfunktion, hier im Forum oder z.b. bei Google, auch einen Sinn ergibt  )

Gruss Dr Dau


----------



## Navy (19. Juli 2007)

Ähhh... ja. Damn. Da war die Hand wieder schneller als Brain1.0.

Blöder Vanilla-kernel.


----------



## modr (19. Juli 2007)

Navy hat gesagt.:


> Welches OS? Welche Dienste/Deamons laufen auf dem Server? Hast Du einen Mailserver eingerichtet? Besitzt dieser einen MX-Record?
> 
> Solltest Du einen Mailserver haben, schau Dir die Logfiles dessen an.



Ups ja, sorry für die mangelhaften Informationen:

OS: SuSE9.3
ich benutze den nen Apachen 2.0.x (nicht ganz sicher muss ich mal nachsehen). Es ist kein aufgesetzer mailserver, also relaying sollte nicht das Problem sein. Die mails werden (mein Annahme nach) wenn überhaupt via sendmail versand. Ich gehe mal von einem Mail-abuse via HTTP aus, wenn es denn so ist. 

Wenn es eines meiner Scripten sein sollte, die auf meinem Server liegen (sind alle in PHP geshrieben), gibt es da ggf. eine Möglichkeit zu checken, ob da irgenwo eine Lücke ist? Ich glaube es nicht, aber man kann ja immer mal einen Fehler gemacht haben.

Kann man aus dem Email-Header noch was holen, was bestätigt ob, oder ob nicht?

Danke im Voraus


----------



## modr (19. Juli 2007)

Big-Tux hat gesagt.:


> Hast du die Mails direkt bekommen oder haben dir Leute geschrieben sie hätten ne Spammail von deinem Server bekommen?



Vorerst nur direkt, aber es sind relativ viele (ca. 20/Woche mit ähnlichem Header).


----------

