Spam über Roundcube?

etron770

Member
Hallo zusammen, diese Mails sind in einem .sent Ordner eines Mailaccounts
Kann ich davon ausgehen, dass diese Mails wirklich über Roundcube versendet worden sind?
Oder kann ein PC Schadsoftware drauf haben der Roundcube mit Passwort nutzt?

Code:
MIME-Version: 1.0
Content-Type: multipart/mixed;
 boundary="=_7806e9ad1c81f88951f8aca33a98eaeb"
Date: Mon, 22 Jul 2019 01:29:15 -0700
From: My office <office@mydomain.at>
To: undisclosed-recipients:;
Bcc: 
Hier haufenweise Mailadressen
Subject: Please Quote [Urgent]
In-Reply-To: <35b7bf3fca728a1ebc63e715da5ecf2e@mydomain.at>
References: <f31fe69656cd053c13410044dc5c9ddb@mydomain.at>
 <966c2bfce72a6892ca3863b15b59ae55@mydomain.at>
 <b2bd0a0855e19c1621e3e5771f57f865@mydomain.at>
 <3111657dbdd1772ebc18747b8768862d@mydomain.at>
 <69e3096d7a852eea7a60e2e3e4801a5e@mydomain.at>
 <10215240edbf765812fc1d3d74c51c2e@mydomain.at>
 <2bc0746da1f95473fd3729e87d864e36@mydomain.at>
 <c09a5bd751ecdbdb5378da3d2db66f3d@mydomain.at>
 <f5eed4ea767f2fb8c12cbbad104281d1@mydomain.at>
 <f2603d2d6fb572dfa58adb8ae433c12e@mydomain.at>
 <53e84493d3d146932c6680a35314172f@mydomain.at>
 <00b269a39b641860e5bab653e11e1e23@mydomain.at>
 <b438ecaac0470a5e81951f357b42880e@mydomain.at>
 <efd598176c5377f873c2c94a52086e93@mydomain.at>
 <a1ad9f3925378e8d5c90395a5e797671@mydomain.at>
 <35b7bf3fca728a1ebc63e715da5ecf2e@mydomain.at>
Message-ID: <46bb3553cf0ed2cdcb97bd136723f895@mydomain.at>
X-Sender: office@mydomain.at
User-Agent: Roundcube Webmail/1.2.3
 

Zwirni

Member
Wieso gehst Du von Roundcube aus? Roundcube ist nur eine Oberfläche im Browser die einen Zugriff auf ein E-Mail-Konto ermöglicht. Es sendet nichts von selbst, nur wenn der Nutzer das aktiv macht.

Mein Rat wäre: schau in /var/log/mail.log mal nach was passiert. Wenn du dort sasl-Requests von unbekannten IPs über ein dir bekanntes Konto siehst, dann stimmt etwas nicht und du solltest dem Konto schnellsten ein neues Passwort geben.
 

Till

Administrator
Ich halte es auch für sehr unwahrscheinlich das es irgend was mit RounCube zu tun hat. RoundCube ist nur ein IMAP client wie Thunderbird, Outlook, Apple mail etc. und wenn mails ims ent Ordner sind dan hat sie vermutlich der User oder eine Software auf dem Rechner des Users versendet.
 

etron770

Member
Naja wie komme ich darauf:
User-Agent: Roundcube Webmail/1.2.3

Ich denke dass da ein PC verseucht ist. Der steht aber in AT und ich habe keinen Zugriff drauf. Dass Passwörter geändert werden sollen habe ich auch schon vorgeschlagen.
 

Till

Administrator
Dass sich ein bot die Mühe macht über roundcube zu senden ist echts elten. stimmt denn die Versionsnummer mit der roundcube version Deines servers überein? Und ja, Passwort ändern ist auf jeden Fall nötig.
 

etron770

Member
Ja stimmt überein .. könnte mal ein Update vertragen ...
Nach den Maillogs ist das über den localhost gesendet worden mit IMAP Login, genauso als ob ich selber Roundcube benutze.
Das Passwort habe ich sofort über ISPConfig geändert, damit der Server nicht auf die Blockliste kommt.
Das sollen sie neu anfordern :mad:

Das ist echt seltsam ...
 

etron770

Member
Scheint eine ganz nette Mail gewesen zu sein.
Aber die Frage, wo müsste der helo=<mail.mydomain2.at> eingetragen worden sein.
der stimmt ja nicht mit office@mydomain.de> überein

Code:
Jul 22 10:26:49 mail postfix/smtpd[9093]: 7E9DC300A70: filter: RCPT from localhost[::1]: <office@mydomain.de>: Sender address triggers FILTER amavis:[127.0.0.1]:10026; from=<office@mydomain.de> to=<seafoodmike@targetdomain.de> proto=ESMTP helo=<mail.mydomain2.at>
Jul 22 10:26:50 mail amavis[9313]: (09313-06) Passed CLEAN {RelayedOutbound}, ORIGINATING LOCAL [::1]:59850 <office@mydomain.de> -> ... haufenweise Mailadressen
Jul 22 10:26:50 mail postfix/smtp[9826]: 7E9DC300A70: to=<seafoodmike@targetdomain.de>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.94, delays=0.63/0/0/0.3, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10027): 250 2.0.0 Ok: queued as 5A751300A94)
Jul 22 10:26:55 mail postfix/smtp[9884]: 5A751300A94: to=<seafoodmike@targetdomain.de>, relay=extmail.targetdomain.de[xx.yy.zz.234]:25, delay=4.7, delays=0.06/0.08/1.1/3.5, dsn=5.7.1, status=bounced (host extmail.targetdomain.de[xx.yy.zz.234] said: 559 5.7.1 5D354655000B1060 Virus infected message rejected. IB705 (in reply to end of DATA command))
 

Werbung

Top