Discussion:
Frozen test@hostxbay.com?
(zu alt für eine Antwort)
Michael Schütz
2023-07-04 06:13:04 UTC
Permalink
Hallo Gruppe,

ich habe heute von meinem Exim die Info bekommen, dass eine eMail an
***@hostxbay.com frozen ist. Ich kenne diese Adresse jedoch nicht und
habe sicher nicht dorthin geschrieben. Den Exim nutze nur ich aus
meinem privaten Netz.

Ist dazu etwas bekannt? Einbruch ins System?

Schultze
--
I know not with what weapons World War III will be fought,
but World War IV will be fought with sticks and stones.
Albert Einstein
Marco Moock
2023-07-04 06:48:39 UTC
Permalink
Post by Michael Schütz
ich habe heute von meinem Exim die Info bekommen, dass eine eMail an
habe sicher nicht dorthin geschrieben. Den Exim nutze nur ich aus
meinem privaten Netz.
Ist dazu etwas bekannt? Einbruch ins System?
Kannst du die Mail anschauen?
Dann könnte man anhand von Received: gucken, ob die von deinem System
kommt.
Es könnte auch ein Bounce sein, der an den Absender geht.
Arno Welzel
2023-07-04 07:18:26 UTC
Permalink
Post by Marco Moock
Post by Michael Schütz
ich habe heute von meinem Exim die Info bekommen, dass eine eMail an
habe sicher nicht dorthin geschrieben. Den Exim nutze nur ich aus
meinem privaten Netz.
Ist dazu etwas bekannt? Einbruch ins System?
Kannst du die Mail anschauen?
Dann könnte man anhand von Received: gucken, ob die von deinem System
kommt.
Es könnte auch ein Bounce sein, der an den Absender geht.
Ein System, das *nach* der Einlieferung einer E-Mail einen Bounce an den
Absender schickt, würde ich als kaputt ansehen, wenn der Absender kein
authentifizierter Benutzer des Systems ist.
--
Arno Welzel
https://arnowelzel.de
Marco Moock
2023-07-04 07:37:25 UTC
Permalink
Post by Arno Welzel
Post by Marco Moock
Post by Michael Schütz
ich habe heute von meinem Exim die Info bekommen, dass eine eMail
nicht und habe sicher nicht dorthin geschrieben. Den Exim nutze
nur ich aus meinem privaten Netz.
Ist dazu etwas bekannt? Einbruch ins System?
Kannst du die Mail anschauen?
Dann könnte man anhand von Received: gucken, ob die von deinem
System kommt.
Es könnte auch ein Bounce sein, der an den Absender geht.
Ein System, das *nach* der Einlieferung einer E-Mail einen Bounce an
den Absender schickt, würde ich als kaputt ansehen, wenn der Absender
kein authentifizierter Benutzer des Systems ist.
Ist aber leider mancherorts Standard.
Heiko Schlichting
2023-07-04 07:57:12 UTC
Permalink
Post by Michael Schütz
ich habe heute von meinem Exim die Info bekommen, dass eine eMail an
habe sicher nicht dorthin geschrieben. Den Exim nutze nur ich aus
meinem privaten Netz.
Ist dazu etwas bekannt? Einbruch ins System?
Schau Dir doch die E-Mail bzw. den Header an.

Queue auflisten:

exim -bp

Die Exim-ID der entsprechenden E-Mail merken und diese mit

exim -Mvc "Exim-ID"

anzeigen lassen. Dann kannst Du sehen, woher die E-Mail stammt.

Heiko
Michael Schütz
2023-07-04 12:53:31 UTC
Permalink
Post by Heiko Schlichting
Schau Dir doch die E-Mail bzw. den Header an.
exim -bp
Die Exim-ID der entsprechenden E-Mail merken und diese mit
exim -Mvc "Exim-ID"
anzeigen lassen. Dann kannst Du sehen, woher die E-Mail stammt.
Danke für die Hinweise. Ich kann mir da keinen rechten reim draus
machen. Deshalb poste ich mal die ganze Ausgabe. "ardbeg" ist mein
Netzwerkserver, "whisky.at.home" mein Netz.
-----------------------
Received: from Debian-exim by ardbeg with local (Exim 4.94.2)
id 1qGMna-000mRP-8O
for ***@ip4d17e779.dynamic.kabel-deutschland.de; Mon, 03 Jul 2023 18:53:14 +0200
X-Failed-Recipients: ***@hostxbay.com
Auto-Submitted: auto-replied
From: Mail Delivery System <Mailer-***@whisky.at.home>
To: ***@ip4d17e779.dynamic.kabel-deutschland.de
References: <E1qGMnY-000mRL-***@ardbeg.whisky.at.home>
Content-Type: multipart/report; report-type=delivery-status; boundary=1688403194-eximdsn-705792804
MIME-Version: 1.0
Subject: Mail delivery failed: returning message to sender
Message-Id: <E1qGMna-000mRP-***@ardbeg>
Date: Mon, 03 Jul 2023 18:53:14 +0200

--1688403194-eximdsn-705792804
Content-type: text/plain; charset=us-ascii

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

***@hostxbay.com
host smtp.vodafonemail.de [2.207.150.234]
SMTP error from remote mail server after pipelined end of data:
550 5.7.1 Policy violation: Service unavailable

--1688403194-eximdsn-705792804
Content-type: message/delivery-status

Reporting-MTA: dns; ardbeg

Action: failed
Final-Recipient: rfc822;***@hostxbay.com
Status: 5.0.0
Remote-MTA: dns; smtp.vodafonemail.de
Diagnostic-Code: smtp; 550 5.7.1 Policy violation: Service unavailable

--1688403194-eximdsn-705792804
Content-type: message/rfc822

Return-path: <***@ip4d17e779.dynamic.kabel-deutschland.de>
Received: from [192.100.188.194] (helo=DESKTOP-OKJ1FG7)
by ardbeg.whisky.at.home with esmtp (Exim 4.94.2)
(envelope-from <***@ip4d17e779.dynamic.kabel-deutschland.de>)
id 1qGMnY-000mRL-Tl
for ***@hostxbay.com; Mon, 03 Jul 2023 18:53:13 +0200
MIME-Version: 1.0
From: "Rose Amag4" <***@ip4d17e779.dynamic.kabel-deutschland.de>
To: ***@hostxbay.com
Date: 3 Jul 2023 10:53:14 -0600
Subject: NOUTH ip4d17e779.dynamic.kabel-deutschland.de
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
Message-Id: <E1qGMnY-000mRL-***@ardbeg.whisky.at.home>

~~~ip4d17e779.dynamic.kabel-deutschland.de,587,nouth,,ip4d17e779.=
dynamic.kabel-deutschland.de|||ffvvb
-----------------------

Hat da Kabel-Deutschland aka Vodafone irgendwie was versucht?
Post by Heiko Schlichting
Heiko
Lauter Fragezeichen,
Schultze
--
Nur die Narren und die Toten ändern niemals ihre Meinung.
James Russell Lowell
Peter J. Holzer
2023-07-04 15:50:19 UTC
Permalink
Post by Michael Schütz
host smtp.vodafonemail.de [2.207.150.234]
550 5.7.1 Policy violation: Service unavailable
--1688403194-eximdsn-705792804
Content-type: message/delivery-status
Reporting-MTA: dns; ardbeg
Action: failed
Status: 5.0.0
Remote-MTA: dns; smtp.vodafonemail.de
Diagnostic-Code: smtp; 550 5.7.1 Policy violation: Service unavailable
--1688403194-eximdsn-705792804
Content-type: message/rfc822
Received: from [192.100.188.194] (helo=DESKTOP-OKJ1FG7)
1017% whois 192.100.188.194
...
inetnum: 192.100.188.0/24
status: assigned
aut-num: N/A
owner: Universidad Tecnológica de Nezahualcóyotl
...

Gehe ich recht in der Annahme, dass Du Dich nicht gerade an der
Universität von Nezahualcóyotl aufhältst?
Post by Michael Schütz
by ardbeg.whisky.at.home with esmtp (Exim 4.94.2)
id 1qGMnY-000mRL-Tl
MIME-Version: 1.0
Date: 3 Jul 2023 10:53:14 -0600
Subject: NOUTH ip4d17e779.dynamic.kabel-deutschland.de
Im günstigsten Fall ist das ein Test, der von einem Sicherheitsforscher
durchgeführt wurde. Im schlechteren Fall, hat ein Spammer versucht, Dein
offenes Relay zu identifizieren.

Glücklicherweise hat Vodafone das verhindert.

Du solltest aber trotzdem unverzüglich das Leck stopfen. (Das heißt, den
Exim abdrehen, bis Du weißt, warum der offen ist und wie Du das ändern
kannst).
Post by Michael Schütz
Hat da Kabel-Deutschland aka Vodafone irgendwie was versucht?
Nein, Dein MTA hat was versucht (eine Mail aus Mexiko weiterzuleiten)
und Vodafone hat "Njet" gesagt.

hp
Arno Welzel
2023-07-10 07:59:17 UTC
Permalink
Post by Michael Schütz
Post by Heiko Schlichting
Schau Dir doch die E-Mail bzw. den Header an.
exim -bp
Die Exim-ID der entsprechenden E-Mail merken und diese mit
exim -Mvc "Exim-ID"
anzeigen lassen. Dann kannst Du sehen, woher die E-Mail stammt.
Danke für die Hinweise. Ich kann mir da keinen rechten reim draus
machen. Deshalb poste ich mal die ganze Ausgabe. "ardbeg" ist mein
Netzwerkserver, "whisky.at.home" mein Netz.
-----------------------
Received: from Debian-exim by ardbeg with local (Exim 4.94.2)
id 1qGMna-000mRP-8O
Auto-Submitted: auto-replied
Content-Type: multipart/report; report-type=delivery-status; boundary=1688403194-eximdsn-705792804
MIME-Version: 1.0
Subject: Mail delivery failed: returning message to sender
Date: Mon, 03 Jul 2023 18:53:14 +0200
--1688403194-eximdsn-705792804
Content-type: text/plain; charset=us-ascii
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
host smtp.vodafonemail.de [2.207.150.234]
550 5.7.1 Policy violation: Service unavailable
--1688403194-eximdsn-705792804
Content-type: message/delivery-status
Reporting-MTA: dns; ardbeg
Action: failed
Status: 5.0.0
Remote-MTA: dns; smtp.vodafonemail.de
Diagnostic-Code: smtp; 550 5.7.1 Policy violation: Service unavailable
--1688403194-eximdsn-705792804
Content-type: message/rfc822
Received: from [192.100.188.194] (helo=DESKTOP-OKJ1FG7)
by ardbeg.whisky.at.home with esmtp (Exim 4.94.2)
id 1qGMnY-000mRL-Tl
MIME-Version: 1.0
Date: 3 Jul 2023 10:53:14 -0600
Subject: NOUTH ip4d17e779.dynamic.kabel-deutschland.de
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: quoted-printable
~~~ip4d17e779.dynamic.kabel-deutschland.de,587,nouth,,ip4d17e779.=
dynamic.kabel-deutschland.de|||ffvvb
-----------------------
Hat da Kabel-Deutschland aka Vodafone irgendwie was versucht?
Ja, Vodafona hat das Versenden von E-Mail durch *deinen* Exim blockiert,
nachdem jemand über die IP-Adresse 192.100.188.194 an den Exim eine
E-Mail an die Adresse ***@hostxbay.com eingekippt hat.

Einlieferung der E-Mail an deinen Exim:

| Received: from [192.100.188.194] (helo=DESKTOP-OKJ1FG7)
| by ardbeg.whisky.at.home with esmtp (Exim 4.94.2)
| (envelope-from <***@ip4d17e779.dynamic.kabel-deutschland.de>)
| id 1qGMnY-000mRL-Tl
| for ***@hostxbay.com; Mon, 03 Jul 2023 18:53:13 +0200

Versuch deines Exims, die E-Mail an ***@hostxbay.com loszuwerden:

| ***@hostxbay.com
| host smtp.vodafonemail.de [2.207.150.234]
| SMTP error from remote mail server after pipelined end of data:
| 550 5.7.1 Policy violation: Service unavailable

Die Fehlermeldung "550 5.7.1 Policy violation: Service unavailable" sagt
sinngemäß "das darfst Du hier nicht!"

Dein Exim ist ein offenes E-Mail-Relay. Bitte stelle das ab.
--
Arno Welzel
https://arnowelzel.de
Thomas Hochstein
2023-07-06 21:55:59 UTC
Permalink
Den Exim nutze nur ich aus meinem privaten Netz.
Andere nutzen ihn offenbar auch von anderswo.
Lesen Sie weiter auf narkive:
Loading...