>> Wenn das alles von localhost eingekippt wird, dann brauchste kein smtp auth.
Nicht alles, ich hab auch ein paar externe Konten für Familie. Der SMTP Auth funktioniert zumindest und schickt auch keine Sachen raus, wenn man nicht authentifiziert ist.
Was nur komisch ist, dass in der Email stand, dass die connection von 127.0.0.1 kommt UND als ich authentifiziert ist.
>> Wie loggst Du? Wenn das auf derselben Maschine passiert, auf der postfix läuft, und jemand hat schon Deinen sshd überwunden, dann macht er halt auch seine Log-Einträge weg, und schon siehst Du nix mehr.
Alle Logins (sowohl fehlgeschlagen als auch erfolgreiche) gehen an einen Remote-Syslog-Server; dort die Logs zu löschen ist eher unwahrscheinlich, vorallem, da kein direkter SSH Zugang besteht und nur per Console aufrufbar ist.
>> Wahrscheinlicher dürfte aber sein, daß jemand ein Webformular oder sowas nutzt.
Richtig, das denke ich mir auch, müsste ja aber dann in den Access-Logs stehen, was aber leider auch der Fall ist.
Außerdem habe ich keinerlei Scripte o.Ä. die es ermöglichen, dass der FROM-Header selbst gesetzt wird beim Kontaktformular.