* Dominic Pratt <[email protected]>: > Hi Leute, > > momentan habe ich einen Kunden, von dessen Server Spam versendet > wird - vermutlich über den Apachen. > > Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from > localhost.localdomain[127.0.0.1]
Das könnte natürlich auch via content_filter reinkommen > Jan 18 18:33:14 server17 postfix/smtpd[19381]: > DBA97B10BA5:client=localhost.localdomain[127.0.0.1] > Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5: > message-id=<[email protected]> > Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5: > from=<[email protected]>, size=1331, nrcpt=2 (queue active) > Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5: > to=<[email protected]>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0, > dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself) > Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed > > server17.xxx.de ist die betroffene Maschine, die einen > Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail > hier zu suchen hat, weiß ich auch nicht, es läuft ein Postfix. Ist ja nur die Message-ID, das muss nichts heissen. > Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige > Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost > kommen. Du kannst nur zeitlich um "Jan 18 18:33:14" im Log gucken und nach verdächtigen POST requests suchen. -- [*] sys4 AG http://sys4.de, +49 (89) 30 90 46 64 Franziskanerstraße 15, 81669 München Sitz der Gesellschaft: München, Amtsgericht München: HRB 199263 Vorstand: Patrick Ben Koetter, Axel von der Ohe, Marc Schiffbauer Aufsichtsratsvorsitzender: Joerg Heidrich _______________________________________________ postfix-users mailing list [email protected] http://de.postfix.org/cgi-bin/mailman/listinfo/postfix-users
