[ext] Re: Spam über CC-Listen

Ralf Hildebrandt Ralf.Hildebrandt at charite.de
Fr Nov 2 10:05:33 CET 2018 

* Peter Buettner <buettnerp at web.de>:
> wie versprochen, die Auswertung des Logfiles. Von den 36 Einlieferungen
> nur die esten sechs.
> 
> Weil der Server von Rcpt1 keine Transportverschlüsselung unterstützt,
> bekommt der Endanwender, ich habe ihn mal Rainer genannt, noch eine
> Benachrichtigung, daß an Rcpt1 nicht verschlüsselt geliefert werden kann
> und die Mail vom Server gelöscht wurde.
> 
> Die Zeitstempel sind sehr merkwürdig. Es wird schon die nächste Mail
> eingeliefert, bevor qmgr angefangen hat zu arbeiten. Evt. habe ich auch
> etwas von der zeitlichen Abfolge der Verarbeitung falsch verstanden.
> 
> Ich glaube nicht, daß Outlook von sich aus den Absender und die CC-Liste
> ändert. Der Endanwender hat Postfächer für zwei Domains.
> 
> Peter Büttner
> AlsterCom e.K.
> 
> 
> Oct 27 00:17:32 nge postfix/smtps/smtpd[3393]: F38FC1201131: client=pentiv.net.a
> Oct 27 00:17:39 nge postfix/cleanup[3385]: F38FC1201131: message-id=<007c01d46d7
> Oct 27 00:19:36 nge postfix/qmgr[14998]: F38FC1201131: from=<Rainer at Domain1

Hier ist fertig eingeliefert; nun wird per SMTP zugestellt:

> Oct 27 00:19:36 nge postfix/encrypted/smtp[3434]: F38FC1201131: to=<Rcpt1 at bt
> Oct 27 00:19:36 nge postfix/encrypted/smtp[3435]: F38FC1201131: host eu-smtp-inb
> Oct 27 00:19:37 nge postfix/encrypted/smtp[3435]: F38FC1201131: to=<Rcpt2
> Oct 27 00:19:38 nge postfix/encrypted/smtp[3443]: F38FC1201131: to=<undisclosed@
> Oct 27 00:19:39 nge postfix/encrypted/smtp[3439]: F38FC1201131: to=<Rcpt3
> Oct 27 00:19:40 nge postfix/encrypted/smtp[3444]: F38FC1201131: to=<Rcpt4
> Oct 27 00:19:41 nge postfix/encrypted/smtp[3442]: F38FC1201131: to=<Rcpt5
> Oct 27 00:19:41 nge postfix/encrypted/smtp[3442]: F38FC1201131: to=<Rcpt6
> Oct 27 00:19:41 nge postfix/encrypted/smtp[3437]: F38FC1201131: to=<Rcpt7
> Oct 27 00:19:43 nge postfix/encrypted/smtp[3436]: F38FC1201131: to=<Rcpt8
> Oct 27 00:19:43 nge postfix/encrypted/smtp[3436]: F38FC1201131: to=<Rcpt9
> Oct 27 00:19:43 nge postfix/encrypted/smtp[3436]: F38FC1201131: to=<Rcpt10
> Oct 27 00:19:44 nge postfix/encrypted/smtp[3441]: F38FC1201131: to=<Rcpt11>,
> Oct 27 00:19:45 nge postfix/encrypted/smtp[3446]: F38FC1201131: to=<Rcpt12
> Oct 27 00:19:46 nge postfix/encrypted/smtp[3440]: F38FC1201131: to=<Rcpt13
> Oct 27 00:19:54 nge postfix/encrypted/smtp[3445]: F38FC1201131: to=<Rcpt14
> Oct 27 00:20:06 nge postfix/encrypted/smtp[3438]: F38FC1201131: to=<Rcpt15
> Oct 27 00:20:06 nge postfix/bounce[3450]: F38FC1201131: sender non-delivery noti
> Oct 27 00:20:07 nge postfix/bounce[3447]: F38FC1201131: sender delay notificatio
Eine Minute Pause?
> Oct 27 00:21:01 nge postfix/postsuper[3476]: F38FC1201131: removed

Fertig.  Eine nicht zugestellt.

Das ist eine neue Mail (neue QueueID, neu Message-id):

> Oct 27 00:19:23 nge postfix/smtps/smtpd[3420]: CF8A412013D5: client=pentiv.net.a
> Oct 27 00:19:31 nge postfix/cleanup[3428]: CF8A412013D5: message-id=<008f01d46d7
> Oct 27 00:21:34 nge postfix/qmgr[14998]: CF8A412013D5: from=<Rainer at Domain1

Ich bin fasziniert davon, daß da zwei Minuten zwischen smptd
bzw. cleanup und dann dem qmgr liegen. Was passiert denn da?

> Oct 27 00:21:34 nge postfix/encrypted/smtp[3438]: CF8A412013D5: to=<Rcpt1 at bt
> Oct 27 00:21:36 nge postfix/encrypted/smtp[3493]: CF8A412013D5: to=<undisclosed@
> Oct 27 00:21:37 nge postfix/encrypted/smtp[3492]: CF8A412013D5: to=<Rcpt5
> Oct 27 00:21:37 nge postfix/encrypted/smtp[3492]: CF8A412013D5: to=<Rcpt6
> Oct 27 00:21:39 nge postfix/encrypted/smtp[3487]: CF8A412013D5: to=<Rcpt7
> Oct 27 00:21:40 nge postfix/encrypted/smtp[3489]: CF8A412013D5: to=<Rcpt3
> Oct 27 00:21:41 nge postfix/encrypted/smtp[3486]: CF8A412013D5: to=<Rcpt8
> Oct 27 00:21:41 nge postfix/encrypted/smtp[3486]: CF8A412013D5: to=<Rcpt9
> Oct 27 00:21:41 nge postfix/encrypted/smtp[3486]: CF8A412013D5: to=<Rcpt10
> Oct 27 00:21:41 nge postfix/encrypted/smtp[3494]: CF8A412013D5: to=<Rcpt4
> Oct 27 00:21:42 nge postfix/encrypted/smtp[3491]: CF8A412013D5: to=<Rcpt11>,
> Oct 27 00:21:44 nge postfix/encrypted/smtp[3496]: CF8A412013D5: to=<Rcpt12
> Oct 27 00:21:51 nge postfix/encrypted/smtp[3485]: CF8A412013D5: to=<Rcpt2
> Oct 27 00:21:57 nge postfix/encrypted/smtp[3495]: CF8A412013D5: to=<Rcpt14
> Oct 27 00:22:00 nge postfix/encrypted/smtp[3488]: CF8A412013D5: to=<Rcpt15
> Oct 27 00:22:05 nge postfix/encrypted/smtp[3490]: CF8A412013D5: to=<Rcpt13
> Oct 27 00:22:05 nge postfix/bounce[3450]: CF8A412013D5: sender non-delivery noti
> Oct 27 00:22:05 nge postfix/bounce[3447]: CF8A412013D5: sender delay notificatio
1 Minute pause?
> Oct 27 00:23:01 nge postfix/postsuper[3526]: CF8A412013D5: removed

Ich finde auch die Zustellung recht langsam. Für 15 Mails 30 Sekunden?
process limit vielleicht auf 2?

> Oct 27 00:21:12 nge postfix/smtps/smtpd[3393]: 56C6A1201131: client=pentiv.net.a
> Oct 27 00:21:19 nge postfix/cleanup[3385]: 56C6A1201131: message-id=<009501d46d7
> Oct 27 00:23:14 nge postfix/qmgr[14998]: 56C6A1201131: from=<Rainer at Domain1
> Oct 27 00:23:14 nge postfix/encrypted/smtp[3493]: 56C6A1201131: to=<Rcpt1 at bt
> Oct 27 00:23:17 nge postfix/encrypted/smtp[3488]: 56C6A1201131: to=<undisclosed@
> Oct 27 00:23:17 nge postfix/encrypted/smtp[3495]: 56C6A1201131: to=<Rcpt4
> Oct 27 00:23:20 nge postfix/encrypted/smtp[3494]: 56C6A1201131: to=<Rcpt5
> Oct 27 00:23:20 nge postfix/encrypted/smtp[3494]: 56C6A1201131: to=<Rcpt6
> Oct 27 00:23:20 nge postfix/encrypted/smtp[3489]: 56C6A1201131: to=<Rcpt3
> Oct 27 00:23:21 nge postfix/encrypted/smtp[3496]: 56C6A1201131: to=<Rcpt7
> Oct 27 00:23:23 nge postfix/encrypted/smtp[3486]: 56C6A1201131: to=<Rcpt11>,
> Oct 27 00:23:23 nge postfix/encrypted/smtp[3487]: 56C6A1201131: to=<Rcpt8
> Oct 27 00:23:23 nge postfix/encrypted/smtp[3487]: 56C6A1201131: to=<Rcpt9
> Oct 27 00:23:23 nge postfix/encrypted/smtp[3487]: 56C6A1201131: to=<Rcpt10
> Oct 27 00:23:24 nge postfix/encrypted/smtp[3492]: 56C6A1201131: to=<Rcpt2
> Oct 27 00:23:25 nge postfix/encrypted/smtp[3533]: 56C6A1201131: to=<Rcpt12
> Oct 27 00:23:26 nge postfix/encrypted/smtp[3490]: 56C6A1201131: to=<Rcpt15
> Oct 27 00:23:41 nge postfix/encrypted/smtp[3485]: 56C6A1201131: to=<Rcpt14
> Oct 27 00:23:44 nge postfix/encrypted/smtp[3491]: 56C6A1201131: to=<Rcpt13
> Oct 27 00:23:44 nge postfix/bounce[3450]: 56C6A1201131: sender non-delivery noti
> Oct 27 00:23:44 nge postfix/bounce[3447]: 56C6A1201131: sender delay notificatio
1:20 Pause
> Oct 27 00:25:01 nge postfix/postsuper[3571]: 56C6A1201131: removed

Das sind fast vier Minute für 15 Empfänger, ok. Vielleicht sind die
Mails groß und die Leitung dünn.

Für mich sieht das so aus als würde Outlook mehrfach die Mail
schicken. Immer neue Verbindungen, neue Message-Ids und QueueIds.

qmgr läuft durch, also kein postfix reload

-- 
Ralf Hildebrandt
  Geschäftsbereich IT | Abteilung Netzwerk
  Charité - Universitätsmedizin Berlin
  Campus Benjamin Franklin
  Hindenburgdamm 30 | D-12203 Berlin
  Tel. +49 30 450 570 155 | Fax: +49 30 450 570 962
  ralf.hildebrandt at charite.de | https://www.charite.de

Mehr Informationen über die Mailingliste Postfixbuch-users