Hi,

Also in der Zeit in der ich dieses Posting beantwortet habe sind schon wieder 30 Emails eingegangen.

Mist

Sönke hat schon entscheidendes gesagt! Wende Dich an Schlund.
Ansonsten kannst Du über Ripe (http://www.ripe.de) ganz leicht rausfinden, daß die Mails von einem chinesischen Netzwerkbetreiber kommen!

Gruß
Reiner

Wieso glaubst Du, daß das aus Eurem internen Netz stammt?

Ganz einfach. Ich sitzte gerade am PC auf dem der KEN DSL Service läuft. KEN beinhaltet den Norton Antivirus 2003.
Dieser prüft jede ausgehende Email.

Nun sag' bitte nicht, daß Teil prüft ausgehende Mails, aber keine eingehenden? Ich wäre in meinem Glauben an AVM und Norton zutiefst erschüttert, denn normalerweise kommen Viren von draußen. Was soll denn das für eine Software sein, die davon ausgeht, den Planeten vor den Viren des Kunden schützen zu müssen und nicht umgekehrt?

Da Ihr Euren Mailserver anscheinend gemietet habt, somit nicht selbst verantwortlich seid und auch keinen echten Postmaster habt, schickt das Teil an den Verantwortlichen mit der Bitte, diese IP wegen Flooding zu sperren.

Wieso soll der gemietet sein. Wir haben die Software erworben.

Eure Mails landen auf einem Server von Schlund (kundenserver.de), dort werden sie von KEN per POP3 abgeholt, so wie es Outlook und jeder andere 08/15-Mailer auch macht. Der Mailserver ist also nur gemietet, KEN ist kein Mailserver, sondern ein einfacher POP3-Client.
Flooding von außen lässt sich nur dort blockieren, wo der tatsächliche empfangende SMTP-Server sitzt - und das ist bei Schlund.

ausserdem hatte ich vor Stunden schon mal bei Schlund angerufen.

Woher soll ich das wissen? Du hättest gerne sagen können, was Du bereits in die Wege geleitet hast, anstatt jetzt beleidigt zu sein, hier nur alte Hüte zu bekommen :/

Alle diese Emails haben die gleich message ID. Das heißt sie stammen alle aus unserem Netzwerk.

Diese Schlussfolgerung verstehe ich nicht. Erkläre mir bitte, warum der China-Mann nicht selbst die ewig gleiche ID vergeben können soll?

Es scheint irgendein Programm hat sich diese Email gepackt und verschickt die nun kontinuierlich an unseren Proxy und der leitet die weiter and die Adresse im "TO" Feld des Headers.

Wie finde ich nun raus auf welchen Rechner dieses bösartige Programm läuft?

Wenn es denn tatsächlich so ist, wie Du vermutest, d.h. daß das Teil tatsächlich innerhalb Eures Hauses rotiert, dann tippe ich darauf, daß der Fehler in KEN liegt.

So, um nochmal zu den Maildaten zu kommen:

Received: from [61.51.216.123] (helo=jzhang-e74icehm)
    by mxng08.kundenserver.de with esmtp (Exim 3.35 #1)
    id 19NSMb-000378-00
    for mailbox@dento.de; Wed, 04 Jun 2003 09:07:14 +0200

Wenn es tatsächlich immer dieselbe Mail ist, dann muß _dieser_ Block immer gleich sein, alles andere ist irrelevant.

Received: from 212.227.126.232:110
    by KEN! DSL (127.0.0.1:4073) with POP3
    ; Thu, 5 Jun 2003 11:59:15 +0200

Wenn sich die Zeit in diesem Block ändert, dann bedeutet es, daß KEN ständig dieselbe Mail vom Server holt. Zusammen mit gleichbleibender Zeit beim kundenserver.de oben würde das bedeuten, daß die Mail auf Eurem POP-Server liegt und nicht gelöscht wird. Lösche sie manuell.

Wenn dieser Block ebenfalls gleich bleibt, wird Dir nichts anderes übrig bleiben, als nochmal bei AVM anzurufen um nachzufragen, wie man die Datei aus der Schleife rauskriegt.

Gruß,
  soenk.e

Moin,

Wie finde ich nun raus auf welchen Rechner dieses bösartige Programm läuft?

Was hältst du davon nun erstmal diesen doofen Proxy abzuschalten der scheinbar willkürliche Daten aus eurem Netz annimmt und nach aussen leitet? Und dann schaust du in den Logs dieses Systems nach, von wem es die Mails angenommen hat. Ist das denn so schwer? Schau halt in der Anleitung nach, wenn du das Programm nicht bedienen kannst. Oder behandle deine Internetverbindung mit einer Kneifzange.