[Eisfair] Mail relay?==?utf-8?Q? und spam

Michael Röhrig Michael at roehrig.tv
Mi Sep 9 21:13:55 CEST 2020


Hallo zusammen,

um das Ganze noch etwas mit Inhalt zu unterlegen.
Hier mal (Teile) aus dem Mail Log.

Das Thema fing vorgestern Nacht an...
Jemand aus Indonesien probiert sich anzumelden (ohne erfolg).

2020-09-07 22:20:33 no host name found for IP address 118.98.72.91
2020-09-07 22:20:34 cram_server authenticator failed for (roehrig.tv)
[118.98.72.91]: 535 Incorrect authentication data
(set_id=mailto:matti-hock at roehrig.tv)
2020-09-07 22:20:35 no host name found for IP address 118.98.72.91
2020-09-07 22:20:36 cram_server authenticator failed for (roehrig.tv)
[118.98.72.91]: 535 Incorrect authentication data (set_id=matti-hock)
2020-09-07 22:20:37 no host name found for IP address 118.98.72.91
2020-09-07 22:20:38 cram_server authenticator failed for (roehrig.tv)
[118.98.72.91]: 535 Incorrect authentication data
(set_id=mailto:matti-hock at roehrig.tv)
2020-09-07 22:20:39 no host name found for IP address 118.98.72.91
2020-09-07 22:20:40 cram_server authenticator failed for (roehrig.tv)
[118.98.72.91]: 535 Incorrect authentication data (set_id=matti-hock)
2020-09-07 22:20:41 no host name found for IP address 118.98.72.91

Dann loggt sich eine andere IP-Adresse (aus Ungarn) auf Anhieb ein:

2020-09-08 00:50:03 1kFRpj-0006SV-JJ <= mailto:matti-hock at roehrig.tv
H=(roehrig.tv) [87.229.63.16] P=esmtpa
A=cram_server:mailto:matti-hock at roehrig.tv S=699
id=mailto:8085818179.20200908005019 at roehrig.tv
2020-09-08 00:50:04 1kFRpj-0006SV-JJ => mailto:shizko_test at mail.ru
R=smart_route T=remote_smtp H=smtp.netcologne.de [213.168.87.11]
X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=yes
DN="/C=DE/ST=Nordrhein-Westfalen/L=Koeln/O=NetCologne Ges. fuer
Telekommunikation mbH/CN=smtp.netcologne.de" A=login_client C="250 2.0.0
Ok: queued as 46BDC11EDA, Nachricht sieht akzeptabel aus."

Und wird nach gueltiger Anmeldung auch relayed.

Danach geht es dann richtig ab...
..wenn auch wieder von einer anderen IP.

2020-09-08 02:46:50 1kFTek-0007bk-Hx <= mailto:matti-hock at roehrig.tv
H=(roehrig.tv) [5.180.99.53] P=esmtpa
A=cram_server:mailto:matti-hock at roehrig.tv S=8385
id=mailto:8243929976.20200908104650 at roehrig.tv
2020-09-08 02:46:50 1kFTek-0007bk-Hx H=smtp.netcologne.de
[2001:4dd0:100:1f00:25:0:cc:1] Network is unreachable
2020-09-08 02:46:51 1kFTek-0007bk-Hx => mailto:2018040 at mail.ru
R=smart_route T=remote_smtp H=smtp.netcologne.de [213.168.87.11]
X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=yes
DN="/C=DE/ST=Nordrhein-Westfalen/L=Koeln/O=NetCologne Ges. fuer
Telekommunikation mbH/CN=smtp.netcologne.de" A=login_client C="250 2.0.0
Ok: queued as 8A72911EB3, Nachricht sieht akzeptabel aus."
2020-09-08 02:46:51 1kFTek-0007bk-Hx Completed
2020-09-08 02:46:51 1kFTel-0007bk-Kd <= mailto:matti-hock at roehrig.tv
H=(roehrig.tv) [5.180.99.53] P=esmtpa
A=cram_server:mailto:matti-hock at roehrig.tv S=8389
id=mailto:4218935260.20200908104651 at roehrig.tv
2020-09-08 02:46:52 1kFTel-0007bk-Kd => mailto:2018182 at gmail.com
R=smart_route T=remote_smtp H=smtp.netcologne.de [213.168.87.11]
X=TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256 CV=yes
DN="/C=DE/ST=Nordrhein-Westfalen/L=Koeln/O=NetCologne Ges. fuer
Telekommunikation mbH/CN=smtp.netcologne.de" A=login_client C="250 2.0.0
Ok: queued as 4909E11EE1, Nachricht sieht akzeptabel aus."
2020-09-08 02:46:52 1kFTel-0007bk-Kd Completed
..

Was mir jetzt beim zusammenkopieren und vergleichen auffaellt...
Eine Anmeldung mit einem "normalen" Client sieht so aus:

2020-09-08 06:59:01 1kFXan-00025Z-2B <= mailto:michael at roehrig.tv
H=([192.168.2.20]) [192.168.2.20] P=esmtpsa
X=TLS1.3:TLS_AES_256_GCM_SHA384:256 CV=no SNI="www.roehrig.tv"
A=plain_server:michael K S=1151
id=mailto:54A3231A-0DA0-4332-B71D-BF22FBFEE16E at roehrig.tv

Bei einem Spammer steht da:

2020-09-08 02:46:51 1kFTel-0007bk-Kd <= mailto:matti-hock at roehrig.tv
H=(roehrig.tv) [5.180.99.53] P=esmtpa
A=cram_server:mailto:matti-hock at roehrig.tv S=8389
id=mailto:4218935260.20200908104651 at roehrig.tv

Aber was sagt mir das?

Bin fuer jeden Hinweis dankbar.

Viele Gruesse
Michael


Mehr Informationen über die Mailingliste Eisfair