Synology-Forum.nl
Packages => Officiële Packages => Mail Server => Topic gestart door: ufosyno op 01 mei 2021, 23:32:13
-
Intussen al twee van m'n gebruikers melden vreemde mailtjes met als eerste regels:
---
Message undeliverable: [SPAM] Hackers hebben toegang tot je apparaat. Controleer de gegevens z.s.m.!
Sent: 1 May 2021 16:45:17 +0400
Subject: [SPAM] Hackers hebben toegang tot je apparaat. Controleer de gegevens z.s.m.!
Tried 11 times
---
Ik ben in de maillogs gedoken, zowel postfix, als HTML. En in geen van beide kan ik de verzending of ontvangst van deze mailtjes of iets daaraan gerelateerd terugvinden. Ze staan ineens in de postbak, maar zijn daar - zo lijkt het mij - niet via de mailserver in gezet.
De envelope van het zo'n mailtje ziet er als volgt uit:
----
Return-Path: <>
X-Original-To: xxxxxx@mijndomein.nl
Delivered-To: xxxxxx@mijndomein.nl
Received-SPF: pass (dedicated.nl: 84.243.203.100 is authorized to use 'dedicated.nl' in 'helo' identity (mechanism 'a' matched)) receiver=UfoNAS; identity=helo; helo=dedicated.nl; client-ip=84.243.203.100
Received: from dedicated.nl (dedicated.nl [84.243.203.100])
(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
(No client certificate requested)
by mijndomein.nl (Postfix) with ESMTPS id 8BD8F358CFB
for <xxxxxx@mijndomein.nl>; Sat, 1 May 2021 19:40:16 +0200 (CEST)
Content-Type: text/plain; charset="utf-8"
MIME-Version: 1.0
Return-Path: <>
Message-ID: <F01B37B5-D84C-4CD6-AFCD-EC3E36453453@dedicated.nl>
Date: Sat, 1 May 2021 13:39:15 -0400
From: mailer-daemon@dedicated.nl
To: xxxxxx@mijndomein.nl
Subject: Message undeliverable: [SPAM] Hackers hebben toegang tot je apparaat.
Controleer de gegevens z.s.m.!
Content-Transfer-Encoding: quoted-printable
X-hMailServer-LoopCount: 1
X-MailScanner-ID: 8BD8F358CFB.ABF8D
X-MailScanner: Found to be clean
X-MailScanner-From:
X-Spam-Status: No
----
Kan iemand mij op weg helpen met wat te doen? Ik heb in elk geval het beheerderswachtwoord al maar weer aangepast...
-
Met zo'n header moet hij wel van buiten komen. spf heeft het afzend IP correct geïdentificeerd.
Eigenlijk zou je elk van de stukken "84.243.203.100", "8BD8F358CFB" en "F01B37B5-D84C-4CD6-AFCD-EC3E36453453" in het maillog terug moeten vinden. In: "/volume1/@maillog/maillog". Ik kan me niet voorstellen dat het niet in het log staat.
En in het log van Mail Server zelf moet het volgende bij message-ID gelogd zijn "F01B37B5-D84C-4CD6-AFCD-EC3E36453453"
In elk geval lijkt het me gewoon spam van buiten, met een titel om je met druk te verlijden tot snelle -foute - acties.
-
Het IP 84.243.203.100 behoort toe aan "redhosting.nl". Ik zou een mailtje naar hen sturen op "abuse@redhosting.nl" met de mededeling dat een van hun gebruikers aan het spammen is. Zij kunnen dit bedrijf afsluiten want zij willen ook niet dat gebruikers spam versturen met de grote kans dat hun mailserver op een bloklist terecht komt.
-
@Briolet: Dank voor je reactie, waarmee je bevestigt, dat mijn zoek-vaardigheid toch niet zo slecht is ;)
Dat de mail van buiten moet komen dacht ik ook, en ik had de log (zowel de HTML als de postfix) al helemaal doorzocht op alle mij bekende gegevens, dus datum, tijd, bericht ID, IP-adres, en nog wel wat andere van mijn hersenspinsels... Juist omdat ik daar NIETS kon vinden raakte ik verward.
Gisteravond verscheen er ineens een bij mijn vrouw, terwijl ik zoekend was naar de andere, dus kon ik onmiddellijk de logs erbij pakken en weer: GEEN enkele vermelding in de (voor mij in de bovenwereld zichtbare) logs. Mogelijk dat er in de achtergrond nog een ander logfile bestaat, waar die dan wel uit te vissen is.
Het was daarom, dat ik het topic aanmaakte. Het verbaast mij dat het ergens mogelijk blijkt te zijn, dat inkomende emails lijken te worden verwerkt (zie ook de spamstatus onderaan) maar niet in de log komen. Het enige wat mij opviel, dat de emails geen Return-Path hebben.
En ik zal redhosting.nl 's een mailtje sturen.
-
Als je via ssh in de logbestanden wilt zoeken is het handig om eerst het 3th party pakket "Syno Cli File Tools" van de syno comunity te installeren. Die voegt een aantal handige commando's toe. Waaronder 'less', wat heel bruikbaar is voor lange logfiles.
Eenmaal geïnstalleerd, log je in via ssh en tikt:
sudo less /volume1/@maillog/maillog
Je zit nu in het log. Zoeken doe je vervolgens door een / te tikken en direct erachter de tekst die je zoekt. Vervolgens kun je nog de letter n tikken om alle volgende treffers te tonen.