Exim4 Lücke oder gewiefter Spam-Trick

extremmichi · 11. März 2016

Hallo zusammen,
ich habe heute 2 emails von Accounts(die nicht existieren) aus meiner Domain in meinen ACC innerhalb der Domain bekommen.
Eigentlich hat der Server immer so geantwortet wenn es um externe Adressaten geht:

Code

2016-03-09 16:12:09 H=(mail.domain.net) [177.11.XX.XX] F=<cpk8qgm@domain.net> rejected RCPT <XXXX.pop3@hotmail.com>: relay not permitted

Seit heute werden mails allerdings intern zugestellt, wobei bisher immernur innerhalb meiner Domain.

Code

2016-03-10 09:55:09 1adwNA-00057j-Vc <= copier@domain.net H=([217.219.XXX.XXX]) [217.219.XXX.XX] P=esmtp S=4967 id=9221666227956838078.0001.CanonTxNo.1690@CanonFDB52.domain.net2016-03-10 09:55:09 1adwNA-00057j-Vc => michi <michi@domain.net> R=vdomain T=vmail2016-03-10 09:55:09 1adwNA-00057j-Vc Completed

Der Header der mail sieht folhendermassen aus

Code

Return-path: <copier@domain.net>
Envelope-to: michi@domain.net
Delivery-date: Thu, 10 Mar 2016 09:55:09 +0100
Received: from [217.219.XXX.XXX]
	by v2201234567890.yourvserver.net with esmtp (Exim 4.80)
	(envelope-from <copier@domain.net>)
	id 1adwNA-00057j-Vc
	for michi@domain.net; Thu, 10 Mar 2016 09:55:09 +0100
X-Priority: 3 (Normal)
From: copier@domain.net
To: "michael"
 <michi@domain.net>
Subject: Attached Image
Date:Thu, 10 Mar 2016 12:25:03 +0430
Message-Id: <9221666227956838078.0001.CanonTxNo.1690@CanonFDB52.domain.net>
Mime-Version: 1.0
Content-Type: multipart/mixed;
 boundary="F97AD7523A6A1B59164FDA7C6B4BBFF66D"




--F97AD7523A6A1B59164FDA7C6B4BBFF66D
Content-Type: multipart/x-zip;
 name="michi@domain.net_576954_772628037.zip"

Alles anzeigen

In den logs habe ich keinerlei Anhalt gefunden . Deshalb tippe ich auf updates oder wirklich nur ein Trick die wahre Adresse zu verschleiern und der mailserver wurde garnicht genutzt.
Hier mal die letzten Updates:

Code

Start-Date: 2016-03-06  12:21:57Commandline: apt-get upgradeUpgrade: php5-mysqlnd:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-sqlite:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-gd:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-readline:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-curl:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-mcrypt:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-cli:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-fpm:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1), php5-common:amd64 (5.6.18-1~dotdeb+7.1, 5.6.19-1~dotdeb+7.1)End-Date: 2016-03-06  12:22:09
Start-Date: 2016-03-10  06:12:47Commandline: apt-get upgradeUpgrade: bind9-host:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), dnsutils:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), libdns88:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), libisccc80:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), liblwres80:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), libbind9-80:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), libisccfg82:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), host:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10), libisc84:amd64 (9.8.4.dfsg.P1-6+nmu2+deb7u9, 9.8.4.dfsg.P1-6+nmu2+deb7u10)End-Date: 2016-03-10  06:12:49

domain.net ist hierbei meine Domain
Wer kann mich hier aufklären oder in eine Richtung schubsen in die ich suchen sollte?

LG
michi

heavygale · 11. März 2016

Mit diesem Problem bist du wohl nicht alleine, im Internet finden sich weitere Betroffene und ich habe solche E-Mails vor einem Monat auch von meinem Hochschul-Account weitergeleitet bekommen.
Mein Mailserver ist bisher nicht betroffen - evtl. weil ich den Versand von Mails nur für eingeloggte Nutzer erlaube?

extremmichi · 12. März 2016

Hallo heavygale,
danke für deinen Antwort, leider hast du Recht.
Ich dachte eigentlich, da ich ja TLS eingerichtet habe, dass dies nicht möglich ist.
Es liegt wohl daran dass die CA (selbstsigniert) nicht akzeptiert wird,
welches für IMAP prima funktioniert aber bei SMTP leider nicht.
Hierfür habe ich aber noch keine Lösung gefunden.
Falls du hierzu nochmal eine Lösungsvorschlag hast, wäre das prima.
Gleichzeitig bin ich jetzt aber immernoch nicht sicher, ob ich damit
dann auch den AUTH erzwinge oder es noch zusätzliche Einstellungen
nötig sind.

LG
michi

heavygale · 12. März 2016

Einen Zusammenhang mit TLS kann ich nicht erkennen, schau dir doch mal deine Exim-Konfigurtion genauer an. 7. The default configuration file

extremmichi · 12. März 2016

Zitat von heavygale

Einen Zusammenhang mit TLS kann ich nicht erkennen, schau dir doch mal deine Exim-Konfigurtion genauer an. 7. The default configuration file

Hallo,
ich habe mir die exim Konfiguration mehrfach angesehen, aber ich finde nirgends etwas wo ich den auth erzwingen kann.
Du machst das leider sehr geheimnisvoll, vielleicht könntest du mal ein "magisches Wort" fallen lassen anstatt einen Link.
Dann weiss ich wenigstens wonach ich suchen soll.

LG
michi

heavygale · 12. März 2016

Ich nutze Exim nicht, also kenne ich auch mich auch nicht mit dessen Konfiguration aus, sorry.
Aber ohne deine Konfiguration zu kennen wäre jedes Stichwort vmtl. auch ins Blaue geraten.

extremmichi · 12. März 2016

Schade, es las sich so als wenn du wüsstest, woran es liegt.
naja vielleicht meldet sich noch ein Exim-User hier.

LG
michi

tldev · 13. März 2016

Ich habe momentan das gleiche Problem bei einem Server, den ich betreue. Der Mailserver ist da allerdings ziemlich komplex (Konten werden per MySQL und LDAP eingebunden, zudem gibt es Mailinglisten über Mailman, usw)

Poste doch mal bitte deine /etc/hosts

tldev · 17. März 2016

Hat sich hierbei noch was ergeben?

Viele Grüße