Ich habe in meinem Yahoo-Konto einige Übermittlungsfehler festgestellt. Darin werden einige meiner Daten/E-Mails/Server erwähnt:
h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address
Ich kann nicht sagen, ob dieser Spam von meinem Server stammt h2.adriantnt.comoder ob es sich nur um einen Fake-Bounce handelt.
Es ist sehr seltsam, dass ich dies in meinem Yahoo-Konto gefunden habe, denn soweit ich mich erinnere, gibt es keine Verbindung zwischen diesem Server und meiner Yahoo-E-Mail.
Vollständiger Nachrichtenkopf:
From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
_4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com from=h2.adriantnt.com; domainkeys=neutral (no sig); from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO h2.adriantnt.com) (176.9.76.194)
by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935
E-Mail-Inhalt http://pastebin.com/yW4cLJ53
Ich habe es angehängt ^, weil es asiatische Zeichen enthält, die von diesem SuperUser-Textfeld nicht unterstützt werden
Unter anderem sehe ich
Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)
Das ist eine gültige Facebook-IP. Wird diese Nachricht von der Facebook-Schnittstelle initiiert?
Antwort1
Ich kann nicht sagen, ob dieser Spam von meinem Server stammt
Die Nachricht kam von Ihrem Server 176.9.76.194. Es handelt sich jedoch um eine „Bounce“-Nachricht und nicht um Spam.
Dies bedeutet, dass jemand versucht hat, eine E-Mail mit Ihrer Absenderadresse an eine nicht vorhandene Empfängeradresse zu senden und die E-Mail zurückgewiesen wurde.
Es gibt zwei Möglichkeiten:
Ihr Server wurde gehackt und die Original-E-Mail kam von Ihrem Server.
Jemand hat die E-Mail mit Ihrer Absenderadresse gefälscht.
Spammer tun dies ständig und die meisten E-Mail-Header können leicht gefälscht werden.
- "Von der Adresse
Auch einige „Received:“-Header können gefälscht sein.
SMTP-Nachrichten-Spoofingzeigt, wie einfach dies mit einem offenen (ungesicherten) Relay-Mailserver möglich ist.
In Ihrer Pastebin-Kopie der vollständigen Nachricht heißt es jedoch:
Hallo. Dies ist das qmail-send-Programm bei h2.adriantnt.com. Leider konnte ich Ihre Nachricht nicht an die folgenden Adressen übermitteln. Dies ist ein permanenter Fehler; ich habe aufgegeben. Es tut mir leid, dass es nicht geklappt hat.
Die Lieferadresse war [email protected].
Es sieht also so aus, als ob Ihr Qmail-Server kompromittiert wurde, da er Ihnen mitteilt, dass er die E-Mail nicht zustellen konnte (was darauf hindeutet, dass er zunächst versucht hat, sie zu senden).
Die Zustellung war nicht möglich, da Gmail sie für Spam hielt:
Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2 12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp
Aktualisieren
Während der Unterhaltung im Chat adriantnt.comwird die E-Mail automatisch an Gmail weitergeleitet.
Die wahrscheinlichste Erklärung ist ein Bounce von einer gefälschten E-Mail, die empfangen adriantnt.com, an Gmail weitergeleitet und dann von Gmail als Spam abgelehnt wurde.
Dies erklärt die obige Qmail-Nachricht.
Was ist eine Bounce-Nachricht?
Im Standard-E-Mail-Protokoll SMTP des Internets ist eine Bounce-Nachricht, auch Non-Delivery Report/Receipt (NDR), (fehlgeschlagene) Delivery Status Notification (DSN)-Nachricht, Non-Delivery Notification (NDN) oder einfach Bounce genannt, eine automatisierte elektronische Mail-Nachricht eines Mailsystems, die den Absender einer anderen Nachricht über ein Zustellungsproblem informiert. Die ursprüngliche Nachricht gilt als zurückgewiesen.
Bei der Zustellung von E-Mails können an mehreren Stellen Fehler auftreten. Ein Absender erhält manchmal eine Bounce-Nachricht von seinem eigenen Mailserver, die besagt, dass eine Nachricht nicht zugestellt werden konnte, oder alternativ vom Mailserver eines Empfängers, der besagt, dass die Nachricht zwar angenommen wurde, nun aber nicht zugestellt werden kann. Wenn ein Server eine Nachricht zur Zustellung annimmt, übernimmt er auch die Verantwortung, einen DSN zuzustellen, falls die Zustellung fehlschlägt.
Aus verschiedenen Gründen, insbesondere aufgrund von gefälschtem Spam und E-Mail-Viren, erhalten Benutzer möglicherweise irrtümlicherweise Bounce-Nachrichten als Antwort auf Nachrichten, die sie nie gesendet haben.
QuelleUnzustellbare Nachricht
Wie kann ich die E-Mail-Header analysieren?
Es gibt viele Tools zum Analysieren von E-Mail-Headern. Einige davon können anzeigen, ob eine der IP-Adressen in der Kette auf Spam-Blacklists steht.
Diese Tools können auch feststellen, ob einer der „Received:“-Header in der Kette gefälscht ist.
MxToolbox E-Mail-Header-Analysator
Wenn Sie Ihre E-Mail-Header in dieses Tool eingeben, wird die folgende Ausgabe erzeugt:
