[Postfixbuch-users] unbekannte emails

Matthias Houdek linux at houdek.de
Fr Apr 8 19:24:15 CEST 2005


Am Donnerstag, 7. April 2005 23:54 schrieb Klaus Schuehler p:
> > Ich vermute, die mail kommt mit einem mail from:
> > vonlcomivfeb-ftcjp at updates.microsoft.net
> > rein, TrashScan lehnt ab und da der Empfänger ebenfalls informiert
> > werden soll, läuft das über den Server von microsoft -> relaying
> > denied!
> >
> > hm, ich weis nicht. Ohne detailliertes log schwer zu sagen.
>
> Ich habe den Logeintrag gefunden:
> [...]

Genau das ist eine der Fieslichkeiten dieser Wurm-Mails. 

Zum Verständnis:
Jede Mail wird beim Versand in ein äußeres Konstrukt gepackt, das aus 
naheligenden Gründen "Envelope" heißt. In diesem sind die gültigen 
Sender- und vor allem Empfängerinformationen, damit die Mail ans Ziel 
transportiert werden kann - vergleichbar mit dem Gegenstück bei der 
Gelben Post (ohne Fenster ;-). Da interessieren die Adressdaten, die 
auf dem innenliegenden Briefpapier stehen auch nicht.
Erst auf dem Zielsystem wird der Envelope bei der lokalen Verteilung ins 
Postfach entfernt, die relevanten Daten stehen ja jetzt im 
"Posteingangsbuch" (vgl. deine Logdatei).

Würmer dieser Art machen nun z.B. folgendes: Sie suchen aus dem 
Adressbuch der infizierten Senders beliebige Adressen als Ziel- und 
Absenderangabe der Mail aus (steht dan im Header, also das, was nach 
der lokalen Zustellung übrig bleibt, aber für den eigentlichen Versand 
irrelevant ist) und verschicken die Mails dann (tonnenweise *g*). 
Scansysteme wie deines und auch unbedarfte User informieren nun den 
vermeintlichen (weil gefälschten) Absender über den Virus - und wieder 
gehen "tonnenweise" Mails über die Leitungen. Vielleicht kommen die 
Mails dort sogar an und der beschwert sich wieder über die 
ungerechtfertigten Anschuldigungen ... 

> Ich bin jetzt nicht der Postfixprofi aber ich denke es ist ein
> gefälschter Header. Jetzt Frage ich mich aber immer noch wie
> die durchkommt.

Weil der Header für den Transport der Mail egal ist (Siehe oben)

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.



Mehr Informationen über die Mailingliste Postfixbuch-users