Op 22-10-16 om 09:18 schreef Geert Stappers:
> Mocht er duidelijkheid komen over wat aan de hand is/was,
> meldt dat dan als je blieft. Deze e-mail zodat geen "self reply" nodig is.
De spammer bleek te beschikken over een correcte username/paswoord op
mijn server. Verwarrend was, dat hij inlogde via SMTP met "p...@puk.nl"
(gewijzigd) terwijl dat geen correcte username is. "piet" was dat echter
wel, en dat bleek saslauthd te gebruiken. Uit de debug:
----------
saslauthd[19855] :do_auth : auth success: [user=piet]
[service=smtp] [realm=puk.nl] [mech=pam]
----------
Na het wijzigen van het paswoord:
----------
saslauthd[20161] :do_auth : auth failure: [user=piet]
[service=smtp] [realm=puk.nl] [mech=pam]
---------
Verwarrend was ook, dat in de headers stond dat het bericht van
127.0.0.1 kwam. Dit bleek echter gewoon de "HELO" te zijn:
----
Received: from [127.0.0.1] (87-92-55-206.bb.dnainternet.fi [87.92.55.206])
(Authenticated sender: p...@puk.nl)
by mail.vandervlis.nl (Postfix) with ESMTPSA id 774B23E0285;
Fri, 21 Oct 2016 18:57:14 +0200 (CEST)
----
Groeten,
Paul.
--
Paul van der Vlis Linux systeembeheer Groningen
https://www.vandervlis.nl/
