[Postfixbuch-users] Spam und www-data

Christian Schoepplein chris at schoeppi.net
So Feb 19 23:54:16 CET 2006 

Hallo,

ich habe z.Z. auf einem Server ein Problem mit der Zustellung an AOL.  
Problem ist IMHO ein Skript, das versucht hat bzw. immernoch versucht 
tonnenweise Mails an AOL zuzustellen. AOL blockt nun die IP des Servers 
und es hängen mehrere hundert Mails in der Queue..., und ich als Admin 
bekomme Tonnen of bounce-Meldungen :(.

aus dem Log, gefiltert nach ID:

Feb 19 22:43:43 as-6 postfix/pickup[19959]: 1739792853F: uid=33 
from=<www-data>
Feb 19 22:43:43 as-6 postfix/cleanup[25258]: 1739792853F: 
message-id=<20060219214343.1739792853F at mail.as-6.de>
Feb 19 22:43:43 as-6 postfix/qmgr[23013]: 1739792853F: 
from=<www-data at mail.as-6.de>, size=60242, nrcpt=400 (queue active)
Feb 19 22:43:43 as-6 postfix/error[31482]: 1739792853F: 
to=<ThePickOfTheMonth at eckhardt-sachsen.de>, relay=none, delay=0, 
status=bounced (User unknown in virtual alias table)
Feb 19 22:43:49 as-6 postfix/smtp[10019]: 1739792853F: host 
mailin-02.mx.aol.com[205.188.155.89] said: 421-:  (DYN:T1)  
http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT 
AVAILABLE (in reply to end of DATA command)
Feb 19 22:43:49 as-6 postfix/smtp[12426]: 1739792853F: host 
mailin-03.mx.aol.com[205.188.157.217] said: 421-:  (DYN:T1)  
http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT 
AVAILABLE (in reply to end of DATA command)
Feb 19 22:43:49 as-6 postfix/smtp[16835]: 1739792853F: host 
mailin-03.mx.aol.com[205.188.159.57] said: 421-:  (DYN:T1)  
http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT 
AVAILABLE (in reply to end of DATA command)
Feb 19 22:43:50 as-6 postfix/smtp[12305]: 1739792853F: host 
mailin-03.mx.aol.com[64.12.138.57] said: 421-:  (DYN:T1)  
http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT 
AVAILABLE (in reply to end of DATA command)
Feb 19 22:43:53 as-6 postfix/smtp[12515]: 1739792853F: host 
mailin-01.mx.aol.com[64.12.137.249] said: 421-:  (DYN:T1)  
http://postmaster.info.aol.com/errors/421dynt1.html 421 SERVICE NOT 
AVAILABLE (in reply to end of DATA command)
Feb 19 22:43:55 as-6 postfix/smtp[16835]: 1739792853F: 
to=<jxixnxnxy at aol.com>, relay=mailin-03.mx.aol.com[205.188.157.217], 
delay=12, status=deferred (host mailin-03.mx.aol.com[205.188.157.217] 
said: 421-:  (DYN:T1) http://postmaster.info.aol.com/errors/421dynt1.html 
421 SERVICE NOT AVAILABLE (in reply to end of DATA command))
Feb 19 22:43:55 as-6 postfix/smtp[16835]: 1739792853F: 
to=<jyvmd at aol.com>, relay=mailin-03.mx.aol.com[205.188.157.217], delay=12, 
status=deferred (host mailin-03.mx.aol.com[205.188.157.217] said: 421-:  
(DYN:T1)  http://postmaster.info.aol.com/errors/421dynt1.html 421 
SERVICE NOT AVAILABLE (in reply to end of DATA comm
...

Meine Fragen:

1. Kann man an den Logeinträgen sehen, ob das alles wirklich durch ein 
   Skript auf dem Webserver ausgelöst wird? Ich gehe davon aus, weil 
   www-data als Envelope-From imLog auftaucht. Ist das richtig?
2. Wie bekomme ich raus, welches Skript genau der Übeltäterist?
3. Was soll mir die 2. Logzeile sagen:

Feb 19 22:43:43 as-6 postfix/error[31482]: 1739792853F:
to=<ThePickOfTheMonth at eckhardt-sachsen.de>, relay=none, delay=0,
status=bounced (User unknown in virtual alias table)

   Kann ich aus diesem Logeintrag schließen, dass ein Skript in dieser 
   Domain benutzt wird? Oder kann ich durch diesen Eintrag irgendwie die 
   Suche nach den Übeltäter eingrenzen?
4. Wie kann man generell verhindern, dass Mails über Skripte mit nicht 
   gültigen Envelope-From versendet werden können? Macht das auf einem 
   Server mit hunderten von Domains Sinn? Wie stellt man sicher, das die 
   Absender über Bounces durch ihr Skript benachrichtigt werden?

Oder liege ich überhaupt total falsch und auf dem Server läuft was ganz 
Anderes falsch?

Schon mal danke für jeden Tipp!

Viele Grüße,
Schöpp

-- 
Christian Schoepplein <chris at schoeppi.net>
Manage your communication:     http://www.otrs.com
Linux for the blind:           http://www.blinux.suse.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20060219/bf3bc2b9/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users