Mailversand ohne Schadcode?

Morgen,

gestern war es mal wieder soweit, es kamen zahlreiche Emails mit von Munin, dass die Mailqueue ansteigt. Dummerweise habe ich das Ganze erst nach ca. 10h entdeckt, aber immer noch vor meinem Provider. Die Mailqueue lag bei ca 240 Mails die nicht zugestellt werden konnten, hauptsächlich yahoo Adressen.

Die Sendeadresse war eine Adresse von einem Kunden, wessen Webseite (Shop) jedoch auf einem anderen Server liegen. Ein Login in seinem Roundcube zeigte leere Gesendet Ordner. Die besagte Mail Adresse ist abgesehen von seinem Impressum als mailto-Link nirgendwo enthalten. Also als Sendeadresse des Shops selbst ist eine andere eingetragen.
Der Shop läuft einwandfrei, bei der ersten Durchsicht kann ich auch FTP & Datenbank nichts von unbekannten Dateien oder ungewöhnlichen Inhalten sagen.

Ein Deaktivieren des SMTPs im ISPConfig war erfolgreich, ebenso das reine Passwort ändern. Seither ist Ruhe.
Auf dem Mail-Server liegen zwar noch "Testshops" diese sind laut Kunden aber nicht zugänglich und per HTaccess geschützt. Auch hier ist diese Adresse nicht eingetragen.

Hier ein Auszug einer Mail aus der Wartschlange:
Code:
message_size:            2102             621               1               0            2102
message_arrival_time: Sat May 27 02:54:22 2017
create_time: Sat May 27 02:54:22 2017
named_attribute: log_ident=CCE7B106A04
named_attribute: rewrite_context=local
sender: info@MEINEMAIL.de
named_attribute: encoding=7bit
named_attribute: log_client_name=localhost
named_attribute: log_client_address=127.0.0.1
named_attribute: log_client_port=52705
named_attribute: log_message_origin=localhost[127.0.0.1]
named_attribute: log_helo_name=localhost
named_attribute: log_protocol_name=ESMTP
named_attribute: client_name=localhost
named_attribute: reverse_client_name=localhost
named_attribute: client_address=127.0.0.1
named_attribute: client_port=52705
named_attribute: helo_name=localhost
named_attribute: protocol_name=ESMTP
named_attribute: client_address_type=2
named_attribute: dsn_orig_rcpt=rfc822;btzup@yahoo.com
original_recipient: btzup@yahoo.com
recipient: btzup@yahoo.com
*** MESSAGE CONTENTS deferred/C/CCE7B106A04 ***
Received: from localhost (localhost [127.0.0.1])
        by MEIN.SERVER.de (Postfix) with ESMTP id CCE7B106A04
        for <btzup@yahoo.com>; Sat, 27 May 2017 02:54:22 +0200 (CEST)
X-Virus-Scanned: Debian amavisd-new at MEIN.SERVER.de
Received: from MEIN.SERVER.de ([127.0.0.1])
        by localhost (MEIN.SERVER.de [127.0.0.1]) (amavisd-new, port 10026)
        with ESMTP id QDqZRPBw8-wI for <btzup@yahoo.com>;
        Sat, 27 May 2017 02:54:22 +0200 (CEST)
Received: from www.tiger12.com (cefiro.websitewelcome.com [192.185.83.122])
        (Authenticated sender: MEINE@MAIL.de)
        by MEIN.SERVER.de (Postfix) with ESMTPSA id 1D185106A01
        for <btzup@yahoo.com>; Sat, 27 May 2017 02:54:21 +0200 (CEST)
Date: Fri, 26 May 2017 19:54:20 -0500
To: btzup@yahoo.com
From: Blanca <MEINE@MAIL.de>
Reply-To: Blanca <MEINE@MAILMEINE.de>
Subject: My friend earned 100 000$ for an hour just sitting on a chair!
Message-ID: <dcdf81c8b38a77ba986f28bc3475ef35@www.tiger12.com>
X-Mailer: PHPMailer 5.2.14 (https://github.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: multipart/alternative;
        boundary="b1_dcdf81c8b38a77ba986f28bc3475ef35"
Content-Transfer-Encoding: 7bit

This is a multi-part message in MIME format.

--b1_dcdf81c8b38a77ba986f28bc3475ef35
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: quoted-printable

Hello.

This application trades for itself on market.
My weekly income is 14000$.
More people install it - smarter it become.

More info is here. Don=E2=80=99t loose your chance!


--b1_dcdf81c8b38a77ba986f28bc3475ef35
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: quoted-printable

<html>
<body>
Hello.<br>
<br>
This application trades for itself on market.<br>
My weekly income is 14000$.<br>
More people install it - smarter it become.<br>
<br>
<a href=3D"http://www.thiagovernetti.com/house.php?s=3D158&m=3DDiizzAv1ct=
z1b8A&HEr=3DCJY&5=3D6YTkk">More info is here. Don=E2=80=99t loose your ch=
ance!</a><br>
</body>
</html>

Was sagt ihr dazu und vor allem, wie kann das sein?
Laut MXToolbox wird bei SMTP Open Relay -> OK - Not an open relay angezeigt.

Beim letzten mal als ähnliches passierte, war ein Outlook eines Kunden mit einem Blat Virus infiziert und verursachte den Sendeprozess.
Diesmal ist es anders und ich würde es gerne verstehen.

LG
 

Werbung

Top