[Postfixbuch-users] Seltsame Mail (angeblich Kaspersky Lizenzueberschreitung)

Patrick Ben Koetter p at state-of-mind.de
Fr Mai 25 19:04:31 CEST 2007 

* Joachim Schoenberg <joe at pdi-berlin.de>:
> Hallo allerseits,
> 
> hat jemand den Anti-Virus SMTP Scanner von Kaspersky im Einsatz?
> 
> Ich bekam schon mehrfach folgende Mail:
> 
> "You are about to exceed the number of permissible protected addresses or the
> volume of mail traffic defined by the scope of your license. If you do exceed
> this number, the program will function in a specialized mode until this issue
> is resolved.  Program component and antivirus database updates will still be
> downloaded.
> You can also find out more about renewing your license at sales at kaspersky.com
> This message was generated by Kaspersky (C) Anti-Virus SMTP Scanner 
> 5.5.3/RELEASE running at host manage
> Visit our web-site: <http://www.kaspersky.com>, <http://www.viruslist.com>"

exceed
number
scope
specialized
Visit
website

Mögliche Interpretation:

    Diese neue Aktie übertrifft in Anzahl alles bisher dagewesene.
    XYZ hat sich im Bereich foobar spezialisiert.
    Besuchen Sie noch heute deren Web-Site.


> 
> Die Mail kommt von einem Server aus Indien, enthält keine Anhänge oder
> weitere Botschaften.
> Der Witz dabei: wir setzen und setzten auf unserem Mailrelay gar kein Produkt
> von Kasperksy ein.
> Der deutsche Support von Kaspersky war zwar hilfsbereit, aber eher ratlos.
> Eine Vertretung in Indien haben sie nicht.
> 
> Im Maillog sieht das so aus:
> 
> May 21 08:05:30 agent-j postfix/smtpd[11737]: warning: 59.165.155.50: hostname 
> 59.165.155.50.man-static.vsnl.net.i
> n verification failed: Name or service not known
> May 21 08:05:30 agent-j postfix/smtpd[11737]: connect from unknown[59.165.155.50]
> May 21 08:05:30 agent-j postfix/smtpd[12261]: warning: 59.165.155.50: hostname 
> 59.165.155.50.man-static.vsnl.net.i
> n verification failed: Name or service not known
> May 21 08:05:30 agent-j postfix/smtpd[12261]: connect from unknown[59.165.155.50]
> May 21 08:05:31 agent-j postfix/smtpd[12261]: NOQUEUE: reject: RCPT from 
> unknown[59.165.155.50]: 554 <rediffcustca
> re at rediff.co.in>: Relay access denied; from=<> 
> to=<rediffcustcare at rediff.co.in> proto=ESMTP helo=<walchandsangli.a
> c.in>
> 
> (Relaying-Versuch - Ist das eine gefakete DSN?)
> 
> May 21 08:05:31 agent-j postgrey[3142]: request age 0
> May 21 08:05:31 agent-j postgrey[3142]: request: ccert_fingerprint= 
> ccert_issuer= ccert_subject= client_address=59
> .165.155.50 client_name=unknown helo_name=walchandsangli.ac.in 
> instance=2dd9.465136ab.0 protocol_name=ESMTP protoc
> ol_state=RCPT queue_id= recipient=root at localhost request=smtpd_access_policy 
> sasl_method= sasl_sender= sasl_userna
> me= sender= size=1381 action=DEFER_IF_PERMIT Temporarily rejected (see 
> http://isg.ee.ethz.ch/tools/postgrey/help/l
> ocalhost.html)
> May 21 08:05:31 agent-j postfix/smtpd[11737]: NOQUEUE: reject: RCPT from 
> unknown[59.165.155.50]: 450 <root at localho
> st>: Recipient address rejected: Temporarily rejected (see 
> http://isg.ee.ethz.ch/tools/postgrey/help/localhost.htm
> l); from=<> to=<root at localhost> proto=ESMTP helo=<walchandsangli.ac.in>
> May 21 08:05:32 agent-j postfix/smtpd[12261]: disconnect from 
> unknown[59.165.155.50]
> May 21 08:05:32 agent-j postfix/smtpd[11737]: disconnect from 
> unknown[59.165.155.50]
> 
> Später dann kommt eine Mail durch Greylisting durch:
> 
> May 21 09:52:15 agent-j amavis[15542]: (15542-01) Passed CLEAN, 
> [59.165.155.50] <> -> <root at localhost.bb.fv-berlin
> .de>, Message-ID: <l4LBxwR01301347 at manage>, mail_id: 64dF8qTqomGc, Hits: 
> 2.633, queued_as: 3FEF91A0000F9, 1908 ms
> May 21 09:52:15 agent-j postfix/smtp[14635]: A3D761A0000D3: 
> to=<root at localhost.bb.fv-berlin.de>, orig_to=<root at loc
> alhost>, relay=127.0.0.1[127.0.0.1], delay=3, status=sent (250 2.6.0 Ok, 
> id=15542-01, from MTA([127.0.0.1]:10025):
>   250 Ok: queued as 3FEF91A0000F9)
> 
> Die Sache ist ja erst einmal nicht kritisch sondern lästig, aber eigentlich
> auch kein "richtiger" SPAM. Ich würde es aber ganz gern verstehen.
> 
> Erzeugt die Kaspersky-Engine überhaupt solche Mails bei Lizenzüberschreitung?
> Kann mich jemand erleuchten?
> 
> Frohe Pfingsten
> 
> Joe
> 
> -- 
> -----------------------------------
>   Joachim Schoenberg
>   Paul-Drude-Institut for
>   Solid State Electronics, Berlin
> -----------------------------------
> 
> -- 
> _______________________________________________
> Postfixbuch-users -- http://www.postfixbuch.de
> Heinlein Professional Linux Support GmbH
> 
> Postfixbuch-users at listi.jpberlin.de
> https://listi.jpberlin.de/mailman/listinfo/postfixbuch-users

-- 
Postfix - Einrichtung, Betrieb und Wartung
<http://www.postfix-buch.com>
saslfinger (debugging SMTP AUTH):
<http://postfix.state-of-mind.de/patrick.koetter/saslfinger/>

Mehr Informationen über die Mailingliste Postfixbuch-users