[postfix-users] Spam-Versand via Localhost

Dominic Pratt hallo at dominicpratt.de
Sa Jan 19 10:57:34 CET 2013 

Hi Leute,

momentan habe ich einen Kunden, von dessen Server Spam versendet wird - 
vermutlich über den Apachen.

    Jan 18 18:33:14 server17 postfix/smtpd[19381]: connect from
    localhost.localdomain[127.0.0.1]
    Jan 18 18:33:14 server17 postfix/smtpd[19381]: DBA97B10BA5:
    client=localhost.localdomain[127.0.0.1]
    Jan 18 18:33:14 server17 postfix/cleanup[21842]: DBA97B10BA5:
    message-id=<20130118221605.41453.qmail at officeax.server17.xxx.de>
    Jan 18 18:33:15 server17 postfix/qmgr[29397]: DBA97B10BA5:
    from=<vivienr at simamaung.com>, size=1331, nrcpt=2 (queue active)
    Jan 18 18:33:15 server17 postfix/smtp[21844]: DBA97B10BA5:
    to=<asdf at sdf.com>, relay=none, delay=0.45, delays=0.26/0.02/0.17/0,
    dsn=5.4.6, status=bounced (mail for sdf.com loops back to myself)
    Jan 18 18:33:19 server17 postfix/cleanup[21842]: ABF30B10BA7:
    message-id=<20130118173319.ABF30B10BA7 at server17.xxx.de>
    Jan 18 18:33:19 server17 postfix/bounce[21845]: DBA97B10BA5: sender
    non-delivery notification: ABF30B10BA7
    Jan 18 18:33:19 server17 postfix/qmgr[29397]: ABF30B10BA7: from=<>,
    size=3206, nrcpt=1 (queue active)
    Jan 18 18:33:19 server17 postfix/qmgr[29397]: DBA97B10BA5: removed

server17.xxx.de ist die betroffene Maschine, die einen 
Wildcard-DNS-Eintrag hat - daher löst officeax auch auf. Was qmail hier 
zu suchen hat, weiß ich auch nicht, es läuft ein Postfix.

Nach was kann und soll ich suchen? rkhunter liefert nichts, gängige 
Ausdrücke zum grep'n ergeben nichts und doch müsste es vom localhost kommen.

Falls jemand einen Hinweis hat, her damit... drei Kollegen und ich sind 
mit unseren Latein am Ende.

Grüße,
Dominic

-- 
"If you haven't found it yet, keep looking. Don't settle."

Dominic Pratt
Fachinformatiker Systemintegration

Website: http://dominicpratt.de
Twitter: http://twitter.com/servermagier
Facebook: http://facebook.com/servermagier
Xing: https://www.xing.com/profile/Dominic_Pratt

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://de.postfix.org/pipermail/postfix-users/attachments/20130119/d8c78c7b/attachment.html>

Mehr Informationen über die Mailingliste postfix-users