Email von 'root' auf MBP Mid. 09

[CVZ]

Hallo liebe Gemeinde,

ich habe heute elektronische Post von 'root' erhalten, die im Betreff einfach die Zahl '8' hatte. Hinter diesem root verbirgt sich die Domain goldlifemagnet.com, mit der ich, so meine und denke ich, nichts am Hut habe und auch nicht hatte.
Zum Inhalt der Mail: es sind, tabellarisch angeordnete Infos zum System (kann aber auf Anhieb nicht erkennen, ob es sich um meins handelt),

mit Filesystem / Size / Used / Avail / Use% - Spalten und
udev, vier tmpfs, sowie /sys/fs/cgroup/dev/sda1 - Zeilen mitsamt den Zahlen.

Kennt jemand eine Erklärung dazu?

Vielen Dank und einen schönen Sonntag,
Martin

 

[Impcaligula]

Kennt jemand eine Erklärung dazu?

Ja ... Nennt sich SPAM Mail und bekommen wir alle jeden Tag. Manche sogar 10-50 Spam Mails.

Normalerweise beachtet man solche Spam Mails nicht und löscht diese einfach.

 

[OmarDLittle]

Wenn man von der Spam-Definition "unerwünschte Nachrichten" ausgeht, ist es Spam. Aber da scheint wohl jemand die internen Status-mails eines Linux-Systems an dich geschickt zu haben. Warum auch immer. Du könntest uns die E-Mail 1:1 samt Headern hier reinkopieren, da dürfte jetzt nichts Vertrauliches drin sein wie Passwörter. Da kann man dann normalerweise schon erkennen, ob es eine legitime -aber an den falschen Empfänger geschickte- Mail ist oder doch traditioneller Spam. Vielleicht ist es auch wirklich ein System von dir?

Die Domäne verweist übrigens auf ein polnisches Ton- oder Filmstudio oder so mit dem Namen Fufo Studio Agata Grabowska, wenn es das wirklich gibt.

 

[zar]

hallo und trotz dieser doofen mail einen schönen restsonntag.
hab den gleichen mist auf meinen macmini bekommen, mein account liegt bei arcor (nun vodafone).
ich poste hier mal den header (XXXX = meine mail) und weiter unten den inhalt - vlt. hilft es weiter:

An: XXXX@arcor.de

X-Vr-Spf-Result: nil
X-Vrc-Policy-Status: t=1,a=1,l=0
X-Vr-Spam-Score: 0
Return-Path: <root@goldlifemagnet.com>
X-Virus-Status-Vr: clean
X-Vrspam-State: legit
X-Vrspam-State: legit
X-Virus-Status-Ca: clean
Received: from imap-director-2.dovecot.xion.oxcs.net ([10.10.2.21]) by imap-backend-7.novalocal (Dovecot) with LMTP id g4uKFBPqfVmqYQAAmNlorg for <3@2002246>; Sun, 30 Jul 2017 14:15:47 +0000
Received: from mx021l.vodafonemail.xion.oxcs.net ([10.10.2.21]) by imap-director-2.dovecot.xion.oxcs.net with LMTP id IIc6FBPqfVmtGgAAfYLqbQ ; Sun, 30 Jul 2017 14:15:47 +0000
Received: from mx005.vodafonemail.xion.oxcs.net (mta-9.mta.xion.oxcs.net [10.10.2.9]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by mx021l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xL4PH26M4zQqKp for <XXXX@arcor.de>; Sun, 30 Jul 2017 14:15:47 +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.46]) (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xL4PH1r6mz1qqsp for <XXXX@arcor.de>; Sun, 30 Jul 2017 14:15:47 +0000 (UTC)
Received: from e17.goldlifemagnet.com (unknown [155.133.38.93]) by mta-p1.oxcloud-vadesecure.net (ox1mtai11p) with ESMTP id 15227180DAE for <XXXX@arcor.de>; Sun, 30 Jul 2017 14:15:47 +0000 (UTC)
X-Vrc-Spam-Status: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrieehgdejhecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdelfeenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvudejrdhgohhlughlihhfvghmrghgnhgvthdrtghomhdpihhnvghtpeduheehrddufeefrdefkedrleefpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopegsthhnfiesrghrtghorhdruggv
X-Vrc-Spam-Status: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrieehgdejhecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdelfeenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvudejrdhgohhlughlihhfvghmrghgnhgvthdrtghomhdpihhnvghtpeduheehrddufeefrdefkedrleefpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopegsthhnfiesrghrtghorhdruggv
Delivered-To: 3@2002246
Message-Id: <20170730135018.D10A01C0132B@goldlifemagnet.com>
X-Vr-Spam-State: 0

und das ist der inhalt:

Filesystem      Size  Used Avail Use% Mounted on
/dev/dm-0       913G  4.5G  862G   1% /
udev             10M     0   10M   0% /dev
tmpfs           1.6G  153M  1.5G  10% /run
tmpfs           3.9G     0  3.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sda1       232M   33M  187M  15% /boot

 

[OmarDLittle]

Bin der Meinung, dass die Leute bei goldlifemagnet.com, also diesem polnischen Studio oder was auch immer die genau sind, diesen Server falsch konfiguriert haben - wie das Ding dazu kommt, gerade an eure beiden E-Mailadressen das zu schicken, ist mir echt nicht klar. Auf jeden Fall steckt dahinter wohl nichts Bösartiges - zumindest fällt mir nichts in die Richtung auf.

Falls ihr mehr, oder andere E-Mails von diesem Absender erhaltet, könntet ihr uns auf dem laufenden halten, vielleicht verrät eine der nächsten Mails (falls überhaupt welche kommen) die Ursache für den "Spuk."

 

[CVZ]

Hallo und danke für die rege Diskussion und Erklärungsansätze!
Im Sinne einer Ergänzung, besonders bezüglich des letzten Postierenden - auch ich erhielt die root-Mail an meine arcor-Adresse.

Schöne Abendgrüße,
Martin

 

[zar]

once again … diesmal um 20:36 uhr an eine andere arcor-adresse und betreff ".m." mit folgenden inhalt:

Filesystem Size Used Avail Use% Mounted on
/dev/dm-0 913G 5.2G 862G 1% /
udev 10M 0 10M 0% /dev
tmpfs 1.6G 161M 1.4G 11% /run
tmpfs 3.9G 0 3.9G 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 3.9G 0 3.9G 0% /sys/fs/cgroup
/dev/sda1 232M 33M 187M 15% /boot

 

[CVZ]

hallo,

sieht danach aus, alle erhielten dieselbe Email, die Inhalte enthalten gleiche Daten...

Grüße

 

[ryxc]

Nur zur Info, falls es bei der Klärung hilft: Ich bekomme seit dieser Woche eine weitere Sorte von Spam-Mails von einer gewissen Sally-Jo Ann Gohlke und Angie Große. Außerdem die hier im Thread angesprochenen fehlgeleiteten Goldlifemagnet-Mails. Wahrscheinlich ist das nur ein Zufall, aber beides betrifft Drittadressen, die ich vor Jahren mal benutzt habe. Meine Lösung ist ein weiterer Spamfilter, aber ein Bisschen neugierig bin ich schon, wo das jetzt plötzlich herkommt.
Eine an die Adresse, die meinem Nutzernamen entspricht mit Betreff 8

[INDENT]Return-Path: <root@goldlifemagnet.com>
Delivered-To: 3@2531369
Received: from imap-director-4.novalocal ([10.10.2.21])
   by imap-backend-12.novalocal (Dovecot) with LMTP id hG49DobrfVmALQAAhsKKWg
   for <3@2531369>; Sun, 30 Jul 2017 14:21:58 +0000
Received: from mx021l.vodafonemail.xion.oxcs.net ([10.10.2.21])
   by imap-director-4.novalocal with LMTP id qCy8MobrfVk0RgAAIFweDA
   ; Sun, 30 Jul 2017 14:21:58 +0000
Received: from mx008.vodafonemail.xion.oxcs.net (mta-12.mta.xion.oxcs.net [10.10.2.12])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by mx021l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xL4XQ5SCnzQqKl
   for <****@arcor.de>; Sun, 30 Jul 2017 14:21:58 +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.50])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xL4XQ5DPZz7tFk
   for <****@arcor.de>; Sun, 30 Jul 2017 14:21:58 +0000 (UTC)
Received: from e18.goldlifemagnet.com (unknown [155.133.38.94])
   by mta-p1.oxcloud-vadesecure.net (ox1mtai05p) with ESMTP id 850981A012E
   for <****@arcor.de>; Sun, 30 Jul 2017 14:21:58 +0000 (UTC)
To: ****@arcor.de
Subject: 8
Message-Id: <20170730140349.8ED6C1C05D46@goldlifemagnet.com>
Date: Sun, 30 Jul 2017 12:16:20 +0200 (CEST)
From: root@goldlifemagnet.com (root)
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrieehgdejjecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdelgeenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvudekrdhgohhlughlihhfvghmrghgnhgvthdrtghomhdpihhnvghtpeduheehrddufeefrdefkedrleegpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehrhiigtgesrghrtghorhdruggv
X-VRSPAM-STATE: legit
X-VR-SPAM-STATE: 0
X-VR-SPAM-SCORE: 0
X-VR-SPF-RESULT: nil
X-Virus-Status-VR: clean
X-Virus-Status-CA: clean
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrieehgdejjecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdelgeenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvudekrdhgohhlughlihhfvghmrghgnhgvthdrtghomhdpihhnvghtpeduheehrddufeefrdefkedrleegpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehrhiigtgesrghrtghorhdruggv
X-VRSPAM-STATE: legit
X-VRC-POLICY-STATUS: t=1,a=1,l=0

Filesystem      Size  Used Avail Use% Mounted on
/dev/dm-0       913G  4.5G  862G   1% /
udev             10M     0   10M   0% /dev
tmpfs           1.6G  153M  1.5G  10% /run
tmpfs           3.9G     0  3.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sda1       232M   33M  187M  15% /boot
[/INDENT]
und eine mit Betreff .m. an die Adresse, mit der ich mich hier registriert habe.
[INDENT]Return-Path: <root@goldlifemagnet.com>
Delivered-To: 3@2531369
Received: from imap-director-1.dovecot.xion.oxcs.net ([10.10.2.20])
   by imap-backend-12.novalocal (Dovecot) with LMTP id I/8JBMBJf1l2ZwAAhsKKWg
   for <3@2531369>; Mon, 31 Jul 2017 15:16:16 +0000
Received: from mx020l.vodafonemail.xion.oxcs.net ([10.10.2.20])
   by imap-director-1.dovecot.xion.oxcs.net with LMTP id uFnnAcBJf1n7BwAAKeNfSA
   ; Mon, 31 Jul 2017 15:16:16 +0000
Received: from mx008.vodafonemail.xion.oxcs.net (mta-12.mta.xion.oxcs.net [10.10.2.12])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by mx020l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xLjhb6vdtz1j3K8
   for <*****@arcor.de>; Mon, 31 Jul 2017 15:16:15 +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.51])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xLjhb6LRGz7tKZ
   for <*****@arcor.de>; Mon, 31 Jul 2017 15:16:15 +0000 (UTC)
Received: from e16.goldlifemagnet.com (unknown [155.133.38.92])
   by mta-p1.oxcloud-vadesecure.net (ox1mtai15p) with ESMTP id 2161C182B35
   for <*****@arcor.de>; Mon, 31 Jul 2017 17:16:12 +0200 (CEST)
To: *****@arcor.de
Subject: .m.
Message-Id: <20170731151610.86C6927A24A1@goldlifemagnet.com>
Date: Sun, 30 Jul 2017 23:42:00 +0200 (CEST)
From: root@goldlifemagnet.com (root)
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrieejgdehlecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdelvdenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvudeirdhgohhlughlihhfvghmrghgnhgvthdrtghomhdpihhnvghtpeduheehrddufeefrdefkedrledvpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehlrghsughhsegrrhgtohhrrdguvg
X-VRSPAM-STATE: legit
X-VR-SPAM-STATE: 0
X-VR-SPAM-SCORE: 0
X-VR-SPF-RESULT: nil
X-Virus-Status-VR: clean
X-Virus-Status-CA: clean
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrieejgdehlecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdelvdenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvudeirdhgohhlughlihhfvghmrghgnhgvthdrtghomhdpihhnvghtpeduheehrddufeefrdefkedrledvpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehlrghsughhsegrrhgtohhrrdguvg
X-VRSPAM-STATE: legit
X-VRC-POLICY-STATUS: t=1,a=1,l=0

Filesystem      Size  Used Avail Use% Mounted on
/dev/dm-0       913G  7.3G  860G   1% /
udev             10M     0   10M   0% /dev
tmpfs           1.6G  161M  1.4G  11% /run
tmpfs           3.9G     0  3.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sda1       232M   33M  187M  15% /boot

[/INDENT]

 

[Roman78]

Es kommt jedenfalls von 3 verschiedenen Rechnern:

e16.goldlifemagnet.com (unknown [155.133.38.92])
e17.goldlifemagnet.com (unknown [155.133.38.93])
e18.goldlifemagnet.com (unknown [155.133.38.94])

IP Adresse und URL leiden weiter zu einem Datencenter: http://www.sprint.pl/en/home

% Information related to '155.133.38.0 - 155.133.38.255'

% Abuse contact for '155.133.38.0 - 155.133.38.255' is 'artur@siubidubi.net'

inetnum:        155.133.38.0 - 155.133.38.255
netname:        PL-FUFO-5
descr:          FUFO STUDIO AGATA GRABOWSKA NET5
descr:          ****************************
descr:          IMPORTANT NOTICE:
descr:          This space is used by: FUFO STUDIO AGATA GRABOWSKA
descr:          ul. Ogrodowa 8/16 76-200 Slupsk POLAND
descr:          Announced by: Sprint S.A. AS197226
descr:          please see: http://www.sprint.pl/o-firmie.html
descr:          In case of abuse please write to:
descr:          artur@siubidubi.net
descr:          abuse@sprintdatacenter.pl
descr:          Please don't send abuse complaints to NETRONIK
descr:          ****************************

 

[HenryN]

Habe genau die selbe Mail bekommen, gleich zwei mal. Einmal an meinen Login-Namen bei Arcor und einmal an meinen Email Alias bei Arcor. Wobei der Alias eigentlich nur wenigen Leuten bekannt ist, nicht öffentlich ist, und auch sonst nirgends als Login benutzt wurde.
Für mich sieht das so aus, als wenn jemand Adressen von Arcor gefischt hat, und auf diese Weise versucht, die Email-Adressen zu validieren.
Oder jemand möchte Aufmerksamkeit auf goldlifemagnet . com lenken.

Auffällig, dass beide Emails am 3 Aug 2017 15:00:24 +0200 (CEST) bzw. 15:03:41 erstellt wurden, aber erst Tage später am 5 Aug 2017 08:19:08 +0000 (UTC) bzw. 5 Aug 2017 00:16:08 +0000 (UTC) bei Vodafone eingeliefert wurden. Das deutet auf extrem viele Emails hin, die da klemmen. Ich glaube nicht, dass ein Admin hier versehendlich die Plattenbelegung seines Linux-Servers verschickt.

Die betroffenen Mailserver sind

e39.goldlifemagnet.com (unknown [155.133.38.115])
e35.goldlifemagnet.com (unknown [155.133.38.111])

Return-Path: <root@goldlifemagnet.com>
Delivered-To: 3@1689206
Received: from imap-director-3.novalocal ([10.10.2.21])
   by imap-backend-6.novalocal (Dovecot) with LMTP id +z1wE3x/hVkcIgAANEqqfQ
   for <3@1689206>; Sat, 05 Aug 2017 08:19:08 +0000
Received: from mx021l.vodafonemail.xion.oxcs.net ([10.10.2.21])
   by imap-director-3.novalocal with LMTP id SNUkE3x/hVkMDwAAxNVIBQ
   ; Sat, 05 Aug 2017 08:19:08 +0000
Received: from vsmx001.vodafonemail.xion.oxcs.net (mta-5.mta.xion.oxcs.net [10.10.2.5])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by mx021l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xPcC020T0zQqKk
   for <*******@arcor.de>; Sat,  5 Aug 2017 08:19:08 +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.49])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xPcC01jlHz9wPj
   for <*******@arcor.de>; Sat,  5 Aug 2017 08:19:08 +0000 (UTC)
Received: from e39.goldlifemagnet.com (unknown [155.133.38.115])
   by mta-p1.oxcloud-vadesecure.net (ox1mtai06p) with ESMTP id 0AC9C1A0CA9
   for <*******@arcor.de>; Sat,  5 Aug 2017 08:19:08 +0000 (UTC)
To: *******@arcor.de
Subject: .
Message-Id: <20170805081907.795BE1C00CEF@goldlifemagnet.com>
Date: Thu,  3 Aug 2017 15:00:24 +0200 (CEST)
From: root@goldlifemagnet.com (root)
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrjeejgddtfecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdduudehnecurfgrrhgrmhepmhgrgihmshhgshhiiigvpedutdegkeehjeeipdhhvghlohepvgefledrghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhinhgvthepudehhedrudeffedrfeekrdduudehpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehhvghnrhihrdhnvgesrghrtghorhdruggv
X-VRSPAM-STATE: legit
X-VR-SPAM-STATE: 0
X-VR-SPAM-SCORE: 0
X-VR-SPF-RESULT: nil
X-Virus-Status-VR: clean
X-Virus-Status-CA: clean
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrjeejgddtfecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdduudehnecurfgrrhgrmhepmhgrgihmshhgshhiiigvpedutdegkeehjeeipdhhvghlohepvgefledrghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhinhgvthepudehhedrudeffedrfeekrdduudehpdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehhvghnrhihrdhnvgesrghrtghorhdruggv
X-VRSPAM-STATE: legit
X-VRC-POLICY-STATUS: t=1,a=1,l=0

Filesystem      Size  Used Avail Use% Mounted on
/dev/dm-0       913G   16G  851G   2% /
udev             10M     0   10M   0% /dev
tmpfs           1.6G  153M  1.5G  10% /run
tmpfs           3.9G     0  3.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sda1       232M   33M  187M  15% /boot


Return-Path: <root@goldlifemagnet.com>
Delivered-To: 3@1689206
Received: from imap-director-3.novalocal ([10.10.2.8])
   by imap-backend-6.novalocal (Dovecot) with LMTP id 42IHLkgOhVl0BwAANEqqfQ
   for <3@1689206>; Sat, 05 Aug 2017 00:16:08 +0000
Received: from vsmx004l.vodafonemail.xion.oxcs.net ([10.10.2.8])
   by imap-director-3.novalocal with LMTP id 8OriLUgOhVkBTgAAxNVIBQ
   ; Sat, 05 Aug 2017 00:16:08 +0000
Received: from vsmx004.vodafonemail.xion.oxcs.net (unknown [192.168.75.198])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by vsmx004l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xPPTh5FJJz2Cs6Z
   for <*****@arcor.de>; Sat,  5 Aug 2017 00:16:08 +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.50])
   (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
   (No client certificate requested)
   by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xPPTh52lXz2Cs6V
   for <*****@arcor.de>; Sat,  5 Aug 2017 00:16:08 +0000 (UTC)
Received: from e35.goldlifemagnet.com (unknown [155.133.38.111])
   by mta-p1.oxcloud-vadesecure.net (ox1mtai04p) with ESMTP id 840FE1A02C2
   for <*****@arcor.de>; Sat,  5 Aug 2017 00:16:08 +0000 (UTC)
To: *****@arcor.de
Subject: .
Message-Id: <20170805001603.07AC61C00203@goldlifemagnet.com>
Date: Thu,  3 Aug 2017 15:03:41 +0200 (CEST)
From: root@goldlifemagnet.com (root)
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrjeeigdegtdcutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdduuddunecurfgrrhgrmhepmhgrgihmshhgshhiiigvpedutdegkeehjeeipdhhvghlohepvgefhedrghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhinhgvthepudehhedrudeffedrfeekrdduuddupdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehhvghnrhihnhesrghrtghorhdruggv
X-VRSPAM-STATE: legit
X-VR-SPAM-STATE: 0
X-VR-SPAM-SCORE: 0
X-VR-SPF-RESULT: nil
X-Virus-Status-VR: clean
X-Virus-Status-CA: clean
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrjeeigdegtdcutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdduuddunecurfgrrhgrmhepmhgrgihmshhgshhiiigvpedutdegkeehjeeipdhhvghlohepvgefhedrghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhinhgvthepudehhedrudeffedrfeekrdduuddupdhmrghilhhfrhhomheprhhoohhtsehgohhlughlihhfvghmrghgnhgvthdrtghomhdprhgtphhtthhopehhvghnrhihnhesrghrtghorhdruggv
X-VRSPAM-STATE: legit
X-VRC-POLICY-STATUS: t=1,a=1,l=0

Filesystem      Size  Used Avail Use% Mounted on
/dev/dm-0       913G   16G  851G   2% /
udev             10M     0   10M   0% /dev
tmpfs           1.6G  153M  1.5G  10% /run
tmpfs           3.9G     0  3.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sda1       232M   33M  187M  15% /boot

 

[annalyst]

Hallo zusammen, hab heute um 01:53 Uhr auch eine E-Mail von "root@goldfilemagnet.com" mit dem Betreff "." an meine Arcor-Adresse erhalten. Der Inhalt ist folgender:

Filesystem Size Used Avail Use% Mounted on
/dev/dm-0 913G 25G 842G 3% /
udev 10M 0 10M 0% /dev
tmpfs 1.6G 153M 1.5G 10% /run
tmpfs 3.9G 0 3.9G 0% /dev/shm
tmpfs 5.0M 0 5.0M 0% /run/lock
tmpfs 3.9G 0 3.9G 0% /sys/fs/cgroup
/dev/sda1 232M 33M 187M 15% /boot

 

[HenryN]

Scheint so, als wenn die Standard-Installation vom Datencenter möglicherweise Email ungünstig eingestellt hat, oder missbraucht werden können. Unschön ist jedenfalls, dass man an die o.g. Rechner einfach so eine Email schicken kann:

telnet e35.goldlifemagnet.com 25
220 goldlifemagnet.com ESMTP Postfix (Ubuntu)
helo test
250 goldlifemagnet.com
mail from: ***@arcor.de
250 2.1.0 Ok
rcpt to: root
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>

hello root! Please check your mail configuration!
You are sending spam mails.
.
250 2.0.0 Ok: queued as 819B41C01043

Das Senden war soweit erfolgreich. Die Email an "root" wurde angenommen. Vielleicht entdeckt er die ja.

 

[HenryN]

@annalyst die Kopfzeilen wären interessanter, da der Body bei allen fast gleich ist. An die Kopfzeilen kommt man beim Webmailer von Arcor/Vodafone über das Menü "Quelldaten anzeigen".

 

[annalyst]

@HenryN

Danke schön, hab's gefunden:

Return-Path: <root@goldlifemagnet.com>
Delivered-To: 3@2824391
Received: from imap-director-1.dovecot.xion.oxcs.net ([10.10.2.23])
    by imap-backend-23.dovecot.xion.oxcs.net (Dovecot) with LMTP id pCwNGv0IhVk3DgAAa7wDsg
    for <3@2824391>; Fri, 04 Aug 2017 23:53:33 +0000
Received: from mx023l.vodafonemail.xion.oxcs.net ([10.10.2.23])
    by imap-director-1.dovecot.xion.oxcs.net with LMTP id mLt0Mv0IhVkjZwAAKeNfSA
    ; Fri, 04 Aug 2017 23:53:33 +0000
Received: from mx005.vodafonemail.xion.oxcs.net (mta-9.mta.xion.oxcs.net [10.10.2.9])
    (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by mx023l.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xPNzd5j3rzktDV
    for <xxx@arcor.de>; Fri,  4 Aug 2017 23:53:33 +0000 (UTC)
Received: from mta-p1.oxcloud-vadesecure.net (mta-p1.oxcloud-vadesecure.net [153.92.174.50])
    (using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
    (No client certificate requested)
    by vsmx001.vodafonemail.xion.oxcs.net (Postfix) with ESMTPS id 3xPNzd5SrYz1qqyJ
    for <xxx@arcor.de>; Fri,  4 Aug 2017 23:53:33 +0000 (UTC)
Received: from e2.goldlifemagnet.com (unknown [155.133.38.78])
    by mta-p1.oxcloud-vadesecure.net (ox1mtai19p) with ESMTP id 9146418136D
    for <xxx@arcor.de>; Fri,  4 Aug 2017 23:53:33 +0000 (UTC)
To: xxx@arcor.de
Subject: .
Message-Id: <20170804235308.0B4691C00EAB@goldlifemagnet.com>
Date: Fri,  4 Aug 2017 09:46:36 +0200 (CEST)
From: root@goldlifemagnet.com (root)
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrjeeigdefhecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdejkeenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvvddrghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhinhgvthepudehhedrudeffedrfeekrdejkedpmhgrihhlfhhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhrtghpthhtoheplhgrrhhishhsrgdrlhhisegrrhgtohhrrdguvg
X-VRSPAM-STATE: legit
X-VR-SPAM-STATE: 0
X-VR-SPAM-SCORE: 0
X-VR-SPF-RESULT: nil
X-Virus-Status-VR: clean
X-Virus-Status-CA: clean
X-VRC-SPAM-STATUS: 0,0,gggruggvucftvghtrhhoucdtuddrfeelkedrjeeigdefhecutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfqigfgfgenuceurghilhhouhhtmecufedtudenucenucfjughrpefvuffkfffhsedttdeftddttddtnecuhfhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmucdlrhhoohhtmdenucfkphepudehhedrudeffedrfeekrdejkeenucfrrghrrghmpehmrgigmhhsghhsihiivgepuddtgeekheejiedphhgvlhhopegvvddrghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhinhgvthepudehhedrudeffedrfeekrdejkedpmhgrihhlfhhrohhmpehrohhothesghholhgulhhifhgvmhgrghhnvghtrdgtohhmpdhrtghpthhtoheplhgrrhhishhsrgdrlhhisegrrhgtohhrrdguvg
X-VRSPAM-STATE: legit
X-VRC-POLICY-STATUS: t=1,a=1,l=0

Filesystem      Size  Used Avail Use% Mounted on
/dev/dm-0       913G   25G  842G   3% /
udev             10M     0   10M   0% /dev
tmpfs           1.6G  153M  1.5G  10% /run
tmpfs           3.9G     0  3.9G   0% /dev/shm
tmpfs           5.0M     0  5.0M   0% /run/lock
tmpfs           3.9G     0  3.9G   0% /sys/fs/cgroup
/dev/sda1       232M   33M  187M  15% /boot

 

[Roman78]

Kann es sein, dass es nur Arcor e-mail Adressen betrifft?

 

[HenryN]

@Roman78: Vermutlich ja. In Suchmaschinen sind bisher keine anderen Mails zu finden.

Inzwischen kam mein SMTP-Test an "root" als unzustellbar zurück:

<root@goldlifemagnet.com> (expanded from <root>): mail for goldlifemagnet.com
loops back to myself

Wenn es also jemand schafft, als Absender aus dem lokalen Netz 155.133.38.0 zu kommen, dann könnte man diese Server vielleicht als Mail-Relay benutzen. Ein Versuch, per Relay aus dem Internet war nicht möglich.

 

[doroley]

Ich bekomme diese Mails auch seit einigen Tagen auf meine Arcor-Adresse und Alias-Adressen.

 

[ryxc]

Roman78, danke fürs Posten der zuständigen Adressen. Ich habe denen mal erklärt, dass da etwas schief läuft. Aber wenn man hier so liest, klingt es als würde sich da nichts ändern.
Heute hatte ich wieder eine Mail von root, diesmal auf meine eigentliche Adresse. OK, Aliasse habe ich ja seit vorgestern kaum noch.

 

[doroley]

Aber es scheint doch eindeutig mit Arcor zusammenzuhängen. Mein Freund, auch bei Arcor, bekommt die auch. Er nutzt die Adresse gar nicht aktiv.