Ubuntu che invia email a mia insaputa?

[centro]

Ciao a tutti,
in una azienda dovo lavoro da poco tempo .. ho trovato un server ubuntu... con ip pubblico
Non è che ci capisco più di tanto di linux a parte qualche comando principale...
Ora sul server, è istallato phplist per inviare le newsletter.
Fin'ora tutto ok... ma da qualche giorno all'email predefinita dell'azienda...
arrivano un sacco.. ma porprio tante email di questo genere...
(si parla di 1000.. 1200 email)

Codice PHP:

-----Messaggio originale-----
Da: Mail Delivery Subsystem [mailto:MAILER-DAEMON@imls-1f.kuins.net]
Inviato: lunedì 20 ottobre 2008 11.15
A: [email]tteneren@MIAAZIENDA.COM[/email]
Oggetto: Returned mail: see transcript for details

The original message was received at Mon, 20 Oct 2008 18:15:09 +0900 from localhost.localdomain [127.0.0.1]

   ----- The following addresses had permanent fatal errors ----- <m53025h@sakura.kudpc.kyoto-u.ac.jp>
    (reason: 550 5.1.1 <m53025h@sakura.kudpc.kyoto-u.ac.jp>... User unknown)

   ----- Transcript of session follows ----- ... while talking to sakura.kudpc.kyoto-u.ac.jp:
>>> DATA
<<< 550 5.1.1 <m53025h@sakura.kudpc.kyoto-u.ac.jp>... User unknown 550 5.1.1 <m53025h@sakura.kudpc.kyoto-u.ac.jp>... User unknown <<< 503 5.0.0 Need RCPT (recipient) 


ho paura che stia succedendo qualcosa di strano...
no vorrei che qualcuno usasse il server per fare spamming.
Spero in un vostro aituo... o qualche dritta... su cui controllare...
Un saluto
Giuseppe

[detroit]

codice:

----- The following addresses had permanent fatal errors ----- <m53025h@sakura.kudpc.kyoto-u.ac.jp>
    (reason: 550 5.1.1 <m53025h@sakura.kudpc.kyoto-u.ac.jp>... User unknown)

beh questa riga parla chiaro,è un indirizzo di posta irraggiungibile probabilmente.Controlla sul phplist a quali indirizzi email vanno le newsletter,se questo non c'è in elenco allora può darsi che ci sia qualche inghippo.Ma poi mi chiedo una cosa e correggimi se sbaglio..tu lavori in un azienda come sistemista e non ci capisci più di tanto?o sei un semplice impiegato?perdonami per la domanda,però post di questo tipo da parte di chi "lavora" sui server fanno un pò strano

[paolino_delta_t]

è un messaggio di errore, dice che il recipient non accetta la posta o è irraggiungibile

potrebbe essere che stiano spammando dal server ubuntu, oppure potrebbe essere che qualche spammer setta come mittente l'indirizzo della vostra azienda...

per verificare basta leggere accuratamente il codice dei messaggi email, qualcosa tipo questo

codice:

Delivered-To: email@nomeazienda.com
Received: by 10.151.107.18 with SMTP id j18cs5627ybm;
        Tue, 21 Oct 2008 01:32:02 -0700 (PDT)
Received: by 10.64.88.5 with SMTP id l5mr6140729qbb.69.1224577920546;
        Tue, 21 Oct 2008 01:32:00 -0700 (PDT)
Return-Path: <mittente@email.com>
Received: from mittente.server.com ([209.47.244.178])
        by mx.google.com with ESMTP id 25si10704502qbw.1.2008.10.21.01.31.59;
        Tue, 21 Oct 2008 01:32:00 -0700 (PDT)

che indica il percorso seguito dal messaggio e riporta il hanno il percorso seguito dal messaggio che ha generato l'errore

in pratica tramite tutti quei Received puoi capire per quali server smtp è passato e se in ultima analisi è partito dal tuo server ubuntu .... se l'IP è quello del tuo server allora stanno spammando, altrimenti è qualche spammer che sta usando il vostro indirizzo email come mittente anche se invia le email da un'altra macchina e in quest'ultimo caso c'è poco che possiate fare

[NetMassimo]

Sicuro che non sia semplicemente il tuo indirizzo a essere conosciuto per cui qualche spammer ha deciso di sfruttarlo per inviare le sue schifezze e di conseguenza molte e-mail tornano a te?

[detroit]

Originariamente inviato da paolino_delta_t
. se l'IP è quello del tuo server allora stanno spammando, altrimenti è qualche spammer che sta usando il vostro indirizzo email come mittente anche se invia le email da un'altra macchina e in quest'ultimo caso c'è poco che possiate fare

cambiando alias non risolve?

[paolino_delta_t]

però lo spammer continuerà ad usare quell'indirizzo e lui potrebbe avere problemi con le autorità nel caso uno dei receventi dovesse inoltrare una denuncia ad esempio

potrebbe eliminare il vecchio indirizzo e crearne uno nuovo, giusto per non ricevere più quelle notifiche ma i problemi legali resterebbero

[centro]

cari ragazzoi tutti...
allora.. per detroit..
io sono un porgrammatore php... e non un sistemista...
mi ritrovo questo server e nella piccola azienda non c'è nessun sistemista...
siccome non ho molta confidenza chiedevo aiuto....Mi ritrovo appunto questo server che viene.. utilizzato solo per inviare le newsletter.
Può essere che sia come dice NetMassimo... e queste email siano la risposta.. o comunuqe una conseguenza, alle email che inviamo mensilmente... (circa 10.000)
Insomma io ho scritto perchè cercavo un po di investigare e per paura che nessuno si fosse inpossessato del servizio email di ubuntu.
Per paolino_delta_t invece nella email che ho postato ci sono due allegati txt li posto...

il primo è details.txt

Codice PHP:

Reporting-MTA: dns; imls-1f.kuins.net
Received-From-MTA: DNS; localhost.localdomain
Arrival-Date: Mon, 20 Oct 2008 18:15:09 +0900

Final-Recipient: RFC822; [email]m53025h@sakura.kudpc.kyoto-u.ac.jp[/email]
Action: failed
Status: 5.1.1
Remote-MTA: DNS; sakura.kudpc.kyoto-u.ac.jp
Diagnostic-Code: SMTP; 550 5.1.1 <m53025h@sakura.kudpc.kyoto-u.ac.jp>... User unknown
Last-Attempt-Date: Mon, 20 Oct 2008 18:15:10 +0900 


il secondo è ATT00016.txt

Codice PHP:

Return-Path: <tteneren@NOMEAZIENDA.COM>
Received: from imls-1f.kuins.net (localhost.localdomain [127.0.0.1])
    by imls-1f.kuins.net (8.13.1/8.12.10) with ESMTP id m9K9452l003650
    for <m53025h@sakura.kudpc.kyoto-u.ac.jp>; Mon, 20 Oct 2008 18:15:09 +0900
Received: from scmls-2.kuins.kyoto-u.ac.jp (scmls-2.kuins.net [192.50.9.28] (may be forged))
    by imls-1f.kuins.net (8.13.1/8.12.10) with ESMTP id m9K7IUYo013217
    for <m53025h@sakura.kudpc.kyoto-u.ac.jp>; Mon, 20 Oct 2008 16:18:32 +0900
Received: from scmls-2.kuins.kyoto-u.ac.jp (unknown [127.0.0.1])
    by scmls-2.kuins.kyoto-u.ac.jp (Symantec Mail Security) with ESMTP id BF0B5520CDF
    for <m53025h@sakura.kudpc.kyoto-u.ac.jp>; Mon, 20 Oct 2008 16:18:30 +0900 (JST)
X-AuditID: c032091c-a69f9bb000000634-be-48fc30be745e
Received: from [76.8.194.226] (unknown [76.8.194.226])
    by scmls-2.kuins.kyoto-u.ac.jp (Symantec Mail Security) with ESMTP id 0C0C449805F
    for <m53025h@sakura.kudpc.kyoto-u.ac.jp>; Mon, 20 Oct 2008 16:18:21 +0900 (JST)
Date: Mon, 20 Oct 2008 03:18:18 -0400
To: [email]m53025h@sakura.kudpc.kyoto-u.ac.jp[/email]
From: Most read story <noreply@newsletter.NOMEAZIENDA.COM>
Subject: Pending delivery
Message-ID: <9efa155db34b9f03ff526a99d1717bf1@newsletter.NOMEAZIENDA.COM>
X-Priority: 3
X-Mailer: PHPMailer [version 1.73]
X-Mailer: phplist v2.10.4
X-MessageID: 5494
X-ListMember: [email]m53025h@sakura.kudpc.kyoto-u.ac.jp[/email]
Precedence: bulk
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="iso-8859-1"
X-Kuins-Spam: Spam
X-Brightmail-Tracker: AAAABAwkkPoMLGvHDC3LMQww3Xk= 


insomma cari tutti... ho scritto... perchè mi volevo solo appurare
che non era colpa di lunx.. visto che ha la porta 25 aperta forse mi volete dire che è semplice spamming... dovuto al fatto che lo stesso indirizzo è utilizzato per inviare email e magari nella lista delle c'è qualche email insesistente?
oppure mi consigliate di controllare... qualcosaltro?
saluti e grazie ancora
Giuseppe

[centro]

detroit.. scusa che vuol dire cambiando alias non risolve?
dove dovrei modificarlo?

saluti e grazie