Nimmt ds9.argh.org MIDs als Empfaenger und bounct Wuermer?
Juergen Kuehne
lese ich die Header einer Bounce und deren Body richtig, dass
ds9.argh.org eine (eigene) MID als Empfänger annimmt und - weils den
Empfänger nicht gibt - mir als gefaktem "Absender" die Bounce mitsamt
nem Teil eines Wurms
Subject: Re: document
Anhang: ".xx.pif"
zukommen lässt?
Vielleicht interpretier ich die Bounce auch falsch, wer hilft?
Laut Google gibt es ".xx.pif" scheinbar wirklich.
| Return-Path: <>
[weiterleitungs-header snipped]
| Received: from mail.cid.net (EHLO mail.cid.net) (193.41.144.34)
| by mx0.gmx.net (mx011) with SMTP; 05 Aug 2004 12:40:40 +0200
193.41.144.34 = cid.net christlicher internet dienst Berlin
| Received: from uucp by mail.cid.net (Exim 4.14) with local-bsmtp
^^^^
| id 1Bsffe-0005hi-Va; Thu, 05 Aug 2004 12:40:26 +0200
| Received: from Debian-exim by ds9.argh.org with local (Exim 4.34)
| id 1BsfbO-0004pZ-1x
| for mein-postfach; Thu, 05 Aug 2004 12:36:02 +0200
| X-Failed-Recipients: 1j0mv...@ds9.argh.org
| Auto-Submitted: auto-generated
| From: Mail Delivery System <Mailer...@ds9.argh.org>
| To: mein-postfach
| Subject: Mail delivery failed: returning message to sender
| Message-Id: <E1BsfbO-...@ds9.argh.org>
| Date: Thu, 05 Aug 2004 12:36:02 +0200
[forwarding-info-headers snipped]
| ...The following address(es) failed:
| 1j0mv...@ds9.argh.org
| Unrouteable address
kann ich verstehen, ist ne MID eines Artikels von Sven Hartge:
Betrifft:Re: Kann ein Artikel in einer NG auch gelöscht werden?
Newsgroups:de.newusers.questions
Datum:2003-08-19 13:46:04 PST
| ------ This is a copy of the message, including all the headers.
| ------ The body of the message is 35757 characters long; only the
| first
| ------ 8192 or so are included here.
| Return-path: <mein-postfach>
| Received: from uucp (helo=mail.cid.net)
^^^^
| by ds9.argh.org with local-bsmtp (Exim 4.34)
^^^^^^^^^^^^^^^
| id 1BsfbN-0004oP-04
| for 1j0mv...@ds9.argh.org; Thu, 05 Aug 2004 12:36:01 +0200
^^^^^^^^^^^^^^^^^^^^^^^^^^^^
| Received: from (ds9.argh.org) [217.236.10.88]
^^^^^1 ^^^^^ ^^^^^2 ^^^^^^^
^1^ Wenn Wurm eingeliefert, dann von einem ds9.argh.org-User?
^2^ Einwahl t-ipconnect Hannover
von gleicher Einwahl hab ich Wurm Netsky.y auch direkt bekommen :-(
(siehe am Ende)
| by mail.cid.net (Exim 4.14) with esmtp
| id 1BsfYQ-0007Dp-Qk; Thu, 05 Aug 2004 12:32:58 +0200
| From: mein-postfach
| To: 1j0mv...@ds9.argh.org
| Subject: Re: document
gleiches Subject auch bei meinem Direkt-Empfang, wer war das?
| Date: Thu, 5 Aug 2004 12:36:38 +0200
bei mir Date: Thu, 5 Aug 2004 12:56:13 +0200
aber Mailin 05 Aug 2004 12:52:34 +0200
| MIME-Version: 1.0
| Content-Type: multipart/mixed;
| boundary="----=_NextPart_000_0003_0000142F.00003CA5"
| X-Priority: 3
| X-MSMail-Priority: Normal
| Message-Id: <E1BsfYQ-...@mail.cid.net>
|
| This is a multi-part message in MIME format.
|
| ------=_NextPart_000_0003_0000142F.00003CA5
| Content-Type: text/plain;
| charset="Windows-1252"
| Content-Transfer-Encoding: 7bit
|
| Please read the document.
|
| ------=_NextPart_000_0003_0000142F.00003CA5
| Content-Type: application/octet-stream;
| name=".xx.pif"
| Content-Transfer-Encoding: base64
| Content-Disposition: attachment;
| filename=".xx.pif"
Bei "mein-postfach" wurde direkt eingeliefert
| Return-Path: <bounce=mwmauto#at-online.de=162=ea9c=mein-postfach>
[Weiterleitungen|
| Received: from pD9EC0A58.dip0.t-ipconnect.de (EHLO gmx.de)
| (217.236.10.88)
^^^^^^^^^^^^^ wie oben
| by mx0.gmx.net (mx048) with SMTP; 05 Aug 2004 12:52:34 +0200
| From: mwmauto # t-online.de
| To: mein-postfach
| Subject: Re: dokument
| Date: Thu, 5 Aug 2004 12:56:13 +0200
Eingewählt über "Reseller" von T-COM (t-ipconnect).
Ist das ein gmx.de-Kunde (EHLO)?
T-Online kanns kaum sein, dann müsste es t-dialin lauten.
Grüsse von
Jürgen
Ralph Angenendt
> Hi,
>
> lese ich die Header einer Bounce und deren Body richtig, dass
> ds9.argh.org eine (eigene) MID als Empfänger annimmt und - weils den
> Empfänger nicht gibt - mir als gefaktem "Absender" die Bounce mitsamt
> nem Teil eines Wurms
> Subject: Re: document
> Anhang: ".xx.pif"
>
> zukommen lässt?
Ist halt eine UUCP-Kiste. Wenn der Provider nicht weiß, welche User
existieren, muss er sie ja weiterleiten.
Ralph
--
Suchmaschine - Standard - Rückgrat - Stegreif - Toleranz - Platitüde
hören - Paket - asozial - Terabyte - umbrochen - entgelten - intellektuell
Gebaren - Lizenz - delegieren - hältst - spülen - übertakten - lies nach
selbstredend - Algorithmus - Haken - projizieren - nachweislich - voraus - eklig
Florian Kleinmanns
Ich nehme an, der nimmt einfach die Domain des Empfängers als
EHLO-Angabe.
Grüße
Florian
--
European Law Students' Association Bremen -- http://www.elsa-bremen.de/
Sven Hartge
> lese ich die Header einer Bounce und deren Body richtig, dass
> ds9.argh.org eine (eigene) MID als Empfänger annimmt und - weils den
> Empfänger nicht gibt - mir als gefaktem "Absender" die Bounce mitsamt
> nem Teil eines Wurms
> Subject: Re: document
> Anhang: ".xx.pif"
> zukommen lässt?
Nun, das ist leider die Besonderheit einer UUCP-Anbindung, das mein
System die Mail komplett annehmen muss, und dann einen Bounce generiert,
wenn die Ziel-Adresse nicht existent ist. "Im Flug", also direkt nach
DATA wie bei SMTP möglich, geht leider nicht.
> | Return-Path: <>
> [weiterleitungs-header snipped]
> | Received: from mail.cid.net (EHLO mail.cid.net) (193.41.144.34)
> | by mx0.gmx.net (mx011) with SMTP; 05 Aug 2004 12:40:40 +0200
> 193.41.144.34 = cid.net christlicher internet dienst Berlin
> | Received: from uucp by mail.cid.net (Exim 4.14) with local-bsmtp
> ^^^^
Right, mein UUCP Upstream.
> | ...The following address(es) failed:
> | 1j0mv...@ds9.argh.org
> | Unrouteable address
> kann ich verstehen, ist ne MID eines Artikels von Sven Hartge:
> Betrifft:Re: Kann ein Artikel in einer NG auch gelöscht werden?
> Newsgroups:de.newusers.questions
> Datum:2003-08-19 13:46:04 PST
Auch richtig.
> | by ds9.argh.org with local-bsmtp (Exim 4.34)
> ^^^^^^^^^^^^^^^
> | id 1BsfbN-0004oP-04
> | for 1j0mv...@ds9.argh.org; Thu, 05 Aug 2004 12:36:01 +0200
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> | Received: from (ds9.argh.org) [217.236.10.88]
> ^^^^^1 ^^^^^ ^^^^^2 ^^^^^^^
> ^1^ Wenn Wurm eingeliefert, dann von einem ds9.argh.org-User?
> ^2^ Einwahl t-ipconnect Hannover
> von gleicher Einwahl hab ich Wurm Netsky.y auch direkt bekommen :-(
> (siehe am Ende)
Das "ds9.argh.org" ist der HELO, den der nette neue MyDoom-O/M setzt.
Die IP 217.236.10.88 hat den Wurm mit deinem Absender und meiner MID als
Ziel bei CID.net eingeworfen.
Der Wurm generiert dabei einen Body, der einem Bounce sehr ähnlich
sieht. Leider kann weder ich noch du etwas dagegen machen.
Natürlich könnte ich die Bounce-Verarbeitung bei mir komplett
abschalten, aber soweit will ich nicht gehen, da hierbei auch echte
Fehladressierungen unbemerkt für den Absender verschluckt werden würden.
(BTW: Warum hast du mich nicht direkt angemeilt? Von meinen
Mail-Adressen sollten genug im Netz zu finden sein.)
S°
--
Fachbegriffe der Informatik - Einfach erklärt
73: Datenautobahn
Einrichtung zur schnellen Übertragung großer Datenmengen (z.B.
über das Telefonnetz) (DUDEN, 21. Auflage)
Sven Hartge
> hexe...@gmx.de (Juergen Kuehne) schrieb:
>>| Received: from pD9EC0A58.dip0.t-ipconnect.de (EHLO gmx.de)
>> Ist das ein gmx.de-Kunde (EHLO)?
> Ich nehme an, der nimmt einfach die Domain des Empfängers als
> EHLO-Angabe.
Nimmt er. MyDoom-O/M.
S°
--
142 Reasons, Why You Can't Find Your System Administrator
103. S/He is down to the 7-11 down the street, to buy extra strong coffee
and caffeine tabs.
Sven Hartge
>> lese ich die Header einer Bounce und deren Body richtig, dass
>> ds9.argh.org eine (eigene) MID als Empfänger annimmt und - weils den
>> Empfänger nicht gibt - mir als gefaktem "Absender" die Bounce mitsamt
>> nem Teil eines Wurms
>> Subject: Re: document
>> Anhang: ".xx.pif"
>>
>> zukommen lässt?
> Ist halt eine UUCP-Kiste. Wenn der Provider nicht weiß, welche User
> existieren, muss er sie ja weiterleiten.
Jup.
Damals, als ich damit anfing, und somit auch den Hostnamen meines
Systems vergab, war es praktisch, das alles einheitlich zu haben.
Heute verfluche ich mich dafür, jetzt ist es aber zu spät.
eximstats meint dazu nur trocken:
Errors encountered: 842
Das bezieht sich auf die letzten 24h. Und das ist nur meine
Single-User-Kiste hier.
S°
--
Letzte Worte eines Schornsteinfegers: Nicht den Kamin anmachen...!