Unzustellbare Mails im Queue des Servers mit den Webseiten

juser

Member
Hallo,

jetzt brauche ich mal die Korifehen unter Euch. Ich weis jetzt nicht ob ich in diesem Forum richtig bin, wenn nicht bitte verschieben.

Seit ein paar Tagen landen immer wieder Mails im Queue meines Webservers (hier liegen nur Webseiten, keine Postfächer, das ganze ist eine Multiserverinstallation) die nicht zugestellt werden können. Als Absender ist immer die Mailadresse info@xxxxxxxx.de angegeben. Die Empfänger bzw. den "Replay To" gibt es nicht, wobei ich nicht weiß ob nicht doch jemand solche Mails empfangen hat. Eine Blacklistüberprüfung hat keine Auffälligkeiten ergeben.

Ich hab mal einen Screenshot einer der Mails angehängt. Was immer in diesen Mails enthalten ist ist ein Link auf ein vermeintliches Dokument auf einem Google Drive Verzeichnis. Wenn man diesen anklickt landet man immer auf einer Seite mit einem Captcha, das aber nicht funktioniert.

Ein Scan der im Screenshot genannten Webseite mit isp_scan hat keine Auffälligkeiten ergeben.

Am Tag landen so um die 100 Mails im Queue und jedes Mal werde ich mit einem MAILER-DAEMON darüber informiert das eine Mail mit Absender info@xxxxxx.de nicht zugestellt werden kann.

Bis jetzt hab ich noch keine Beeinträchtigungen festgestellt, aber die Mails nerven schon.

Hat jemand eine Idee was das ist oder wie man das abstellen kann?
 

Anhänge

  • Firefox_Screenshot_2019-06-13T15-21-14.997Z.png
    Firefox_Screenshot_2019-06-13T15-21-14.997Z.png
    61,8 KB · Aufrufe: 481

juser

Member
Jetzt ist eine zweite Mailadresse von mir betroffen und da hab ich eine Rückmail mit einer Diagnosemeldung bekommen. Ich geb die hier mal im Original wieder weil ich nicht weiß, wenn ich etwas verändere, ob das nicht doch Infos sind die wichtig waren um zu ermitteln was die Ursache für diese Mails ist.

Beide genannten Webseiten, die hier unten im Mailtext als auch die im Screenshot, sind Joomla Webseiten, ein Scan dieser Seiten hat aber keine Auffälligkeiten ergeben.

Diagnostic information for administrators:

Generating server:.......gsi.gov.uk

b.......@.......gsi.gov.uk
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##rfc822;b.......@.......gsi.gov.uk

Original message headers:
Received: from s0912a.localdomain (192.168.52.12) by s0402g.scotland.gov.uk
(10.8.144.13) with Microsoft SMTP Server id 14.3.439.0; Fri, 14 Jun 2019
09:22:22 +0100
Received: from mc13unxa.dmz2.local (mc13unxa.dmz2.local [192.168.52.8]) by
s0912a.localdomain (MTA) with ESMTP id 45QD9n62KBzBrS7 for
<brian.ford@scotland.gsi.gov.uk>; Fri, 14 Jun 2019 09:22:21 +0100
(BST)
Received: from smtp.energis.gsi.gov.uk ([51.63.249.40]) by
mc13unxa.dmz2.local with Microsoft SMTPSVC(8.5.9600.16384); Fri, 14
Jun 2019 09:22:03 +0100
Received: from mail6.bemta26.messagelabs.com ([85.158.142.41]) by
mx.hosting-e.gsi.gov.uk with esmtps
(TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128) (Exim 4.92) (envelope-from
<h @xxxxxxxxxx.de>) id 1hbhTZ-0004O2-Oa for
b.......@.......gsi.gov.uk; Fri, 14 Jun 2019 09:22:21 +0100
Received: from [85.158.142.101] (using TLSv1.2 with cipher
DHE-RSA-AES256-GCM-SHA384 (256 bits)) by
server-1.bemta.az-a.eu-central-1.aws.symcld.net id
B5/E9-29256-D39530D5; Fri, 14 Jun 2019 08:22:21 +0000
Authentication-Results: mx.messagelabs.com; spf=none (spf record not found)
smtp.mailfrom=z3networks.de; dkim=none (message not signed);
dmarc=none (no record) header.from=z3networks.de
X-Brightmail-Tracker: H4sIAAAAAAAAA+NgFtrKIsWRWlGSWpSXmKPExsUS4CsRrGsTyRx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X-Env-Sender: h.................@xxxxxxxxx.de
X-Msg-Ref: server-5.tower-226.messagelabs.com!1560500540!273773!1
X-Originating-IP: [80.77.24.83]
X-SpamReason: Yes, hits=50.0 required=7.0 tests=surbl:
[ZHJpdmUuZ29vZ2xlLmNvbS9maWxlL2QvMUhMSllSLWVlNmpOeHdGbmZ2YkFDSDVhcEhyM0JY
bHE1L3ByZXZpZXc=],URL signature:
ZHJpdmUuZ29vZ2xlLmNvbS9maWxlL2QvMUhMSllS
LWVlNmpOeHdGbmZ2YkFDSDVhcEhyM0JYbHE1L3ByZXZpZXc=
X-StarScan-Received:
X-StarScan-Version: 9.43.9; banners=-,-,scotland.gsi.gov.uk
X-VirusChecked: Checked
Received: (qmail 19999 invoked from network); 14 Jun 2019 08:22:20 -0000
Received: from z3host.de (HELO web.z3host.de) (80.77.24.83) by
server-5.tower-226.messagelabs.com with ECDHE-RSA-AES256-GCM-SHA384
encrypted SMTP; 14 Jun 2019 08:22:20 -0000
Received: from localhost (localhost [127.0.0.1]) by web.z3host.de (Postfix)
with ESMTP id 78F1A9843C66 for <b.......@.......gsi.gov.uk>; Fri,
14 Jun 2019 10:22:20 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at z3host01.de
Received: from web.z3host.de ([127.0.0.1]) by localhost (web.z3host.de
[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 2RG_Gu7a3-k9 for
<b.......@.......gsi.gov.uk>; Fri, 14 Jun 2019 10:22:19 +0200 (CEST)
Received: by web.z3host.de (Postfix, from userid 5011) id 2024D9843C4B; Fri,
14 Jun 2019 10:22:19 +0200 (CEST)
To: <brian.ford@scotland.gsi.gov.uk>
Subject: Kopie von: You have received a new message : 17051
X-PHP-Originating-Script: 5011:class.phpmailer.php
Date: Fri, 14 Jun 2019 08:22:19 +0000
From: digital-futurecongress.de <h....@xxxxxxxxx.de>
Reply-To: "brian.ford" <b.......@.......gsi.gov.uk >
Message-ID: <1890ebac627074bfbd91d5d8e99272c1@dikomm.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="utf-8"
X-Source: Internet
X-OriginalArrivalTime: 14 Jun 2019 08:22:03.0353 (UTC)
FILETIME=[3EE82490:01D5228A]
Content-Transfer-Encoding: 7bit
x-msw-jemd-newsletter: false
X-MSW-Message-Direction: outgoing
Return-Path: h....@xxxxxxxxx.de

Dieses ist eine Kopie der folgenden Nachricht, die an Contact Name Here via dikomm.de gesendet wurde:

Dies ist eine Mailanfrage via https://dikomm.de/ von:
brian.ford <b.......@.......gsi.gov.uk>

Personal invitation # 8518960 https://drive.google.com/file/d/1HLJYR-ee6jNxwFnfvbACH5apHr3BXlq5/preview

__
This email has been scanned by the Symantec Email Security.cloud service.
For more information please visit http://www.symanteccloud.com
__

***

This email has been received from an external party and has been swept for the presence of computer viruses.
***
 
Zuletzt bearbeitet:

Till

Administrator
Ich vermute Deine Ip ist aucf einer Blackliste, in dem Fall surb:

X-SpamReason: Yes, hits=50.0 required=7.0 tests=surbl:

Und es scheint die Zieladresse nicht zu geben:

#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##rfc822;b.......@.......gsi.gov.uk

Habe die Adresse mal unkenntlich gemacht in meiner Antwort.
 

juser

Member
Ich vermute Deine Ip ist aucf einer Blackliste, in dem Fall surb:
X-SpamReason: Yes, hits=50.0 required=7.0 tests=surbl:

Hatte ich auch schon gecheckt. Negativ

Und es scheint die Zieladresse nicht zu geben:
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##rfc822;b.......@.......gsi.gov.uk

Das ist bei allen dieser Mails der Fall.

Ich hab die in den Mails genannten Webseiten nochmal gescannt. Negativ, keine Auffälligkeiten. Trotzdem muß irgendwer bzw. irgendetwas Zugriff auf diese Webseiten gehabt haben. Ich hab Freitag auf diesen Webseiten, die alle mit dem CMS Joomla laufen, ein ein Modul installiert, Admin Tools von Akeeba, das den direkten Zugriff auf Verzeichnisse mit einer .htaccess und einer zusätzlichen Benutzer-Passwort-Eingabe sperrt. Seitdem ist Ruhe.
 

Werbung

Top