Spam-Problem

[Scooby Doo]

Hallo und Hilfe!

Seit Montag Abend werden massiv Spam-Emails mit der Domain unserer DRK-Web-Seite versendet. Ich bekomme da jetzt eben die ganzen Antworten von den Email-Servern und Spam-Filtern, weil die ganzen Adressen nun mal nicht existieren und somit automatisch an mich gehen. Bis gestern Abend waren das (wohl zum Glück nur) knapp 80 Stück.

Ich hab gestern Nacht erst mal unsere Seiten und alle Email-Adressen außer Betrieb gesetzt und alle, die eine Email-Adresse bei uns haben, gebeten, ihre Anti-Virus-Software zu aktualisieren, zu nutzen, bzw. überhaupt mal eine zu installieren.

Ich denke, damit sind erst mal alle potentiellen Quellen ausgeschaltet ... und jetzt?

Woran kann das liegen?
Hat sich da jemand nen Wurm/Trojaner eingefangen? (das geht doch wahrscheinlich nur über POP3-Email-Adressen, nicht über simple Weiterleitungen)
Kann das über unsere Web-Seite passiert sein? (Wir hatten da so ein Email-Formular, wer weiß ob man da code einschleusen konnte.)

Das Merkwürdige ist, dass wohl immer noch SPam-Emails versendet werden, so im halb-Stunden- bis Stunden-Takt. Das würde wohl die Web-Seiten bzw. die Email-Adressen ausschließen.

Irgendwelche Ideen?

Vielen Dank für jede Hilfe!

[Krallzehe]

Du müsstest mal gucken, ob die Spam-Mails wirklich von euch versendet werden.

Ich kriege auch jede Menge Rückläufer, obwohl unser Webserver keinen Spam sendet. Liegt daran, dass eure Mail-Adresse einfach als Spam-Absender missbraucht wird.

[iglo]

Formulare werden gerne für sowas missbraucht, so denn technisch möglich. Ansonsten müssen, wie Kralle sagt, die Mails auch nich zwangsweise von Euch kommen.

[Spike]

Du musst da nicht Schuld dran haben.

Aber generell sollte man alle Adressen schon auf Mailserverebene abweisen, die nicht bei euch eingetragen sind d.h. kein Postfach haben. Ist auch mit Catch-All kein Problem, Postfächer auf dem Server anlegen und in das Catch-All Konto weiterleiten.

Ich bekomme da jetzt eben die ganzen Antworten von den Email-Servern und Spam-Filtern, weil die ganzen Adressen nun mal nicht existieren und somit automatisch an mich gehen.

[iglo]

Zeig doch mal das Formular.

[Spike]

Frag doch einfach mal euren Webhoster ob die Spams überhaupt von euch rausgingen (glaube ich persönlich nicht). Da versendet einfach jemand im Namen eurer Domain Spams, sowas haben wir hier täglich tausendfach.

Der Webhoster kann meist schauen, von welcher IP die Spams abgeschickt wurden, wenn das nicht euer Server oder eure Firmen-IP ist sehe ich da kein Problem.

[Scooby Doo]

Ok, werd mal bei Strato anfragen.

Leider krieg ich ja nicht die Orignial-Emails zurück, sondern nur "non-delivery"- und Anti-Spam-Antworten, und am besten finde ich die Antworten mit Bitte um Bestätigung der Anmeldung an allen möglichen Yahoo-Groups (englisch und japanisch).

---

Aha, ich hab (vielleicht) zwei Hinweise gefunden, da zwei Spam-Opfer unabhängig voneinander Kunden bei "Spam-Arrest" sind, und da doch der Original-Header mitgeschickt wurde:

Code: Alles auswählen

Return-Path: <yueqiangMirkovic@drk-eberstadt.de>
Delivered-To: 8-curt@courtesyautoandtruck.com
Received: (qmail 14122 invoked by uid 110); 5 Sep 2007 05:19:38 -0500
Delivered-To: 8-mikea@courtesyautoandtruck.com
Received: (qmail 14107 invoked from network); 5 Sep 2007 05:19:37 -0500
Received: from cust-235-158.on1.ontelecoms.gr (91.132.235.158)
  by protagonista.de.holyw00d.com with SMTP; 5 Sep 2007 05:19:37 -0500
Received: by 10.131.6.99 with SMTP id XWMIWHkPIARZy;
	Wed, 5 Sep 2007 13:27:17 +0300 (GMT)
Received: by 192.168.10.189 with SMTP id cEhgAwQJWVTXKi.9840080238784;
	Wed, 5 Sep 2007 13:27:15 +0300 (GMT)
Message-ID: <000e01c7efa7$524ec7a0$9eeb845b@icelap>
From: "yueqiang Mirkovic" <yueqiangMirkovic@drk-eberstadt.de>
To: <mikea@courtesyautoandtruck.com>
Subject: greensfo
Date: Wed, 5 Sep 2007 13:27:12 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0008_01C7EFC0.779BFFA0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
Received-SPF: unknown(drk-eberstadt.de: domain uses a mechanism not recognized by this client)

Code: Alles auswählen

Received: from cust-235-158.on1.ontelecoms.gr (cust-235-158.on1.ontelecoms.gr [91.132.235.158])
	by m2.spamarrest.com (Postfix) with ESMTP id C06976D0068
	for <juliebornstein@tcah.org>; Wed,  5 Sep 2007 02:43:14 -0700 (PDT)
Received: by 10.225.35.54 with SMTP id bHGnxMCQEaKfj;
	Wed, 5 Sep 2007 12:43:16 +0300 (GMT)
Received: by 192.168.64.71 with SMTP id WnJdXyHEiUuacf.2620452355542;
	Wed, 5 Sep 2007 12:43:14 +0300 (GMT)
Message-ID: <000601c7efa1$2c947b50$9eeb845b@icelap>
From: "Lanier Jansmark" <LanierJansmark@drk-eberstadt.de>
To: <juliebornstein@tcah.org>
Subject: gou^taie
Date: Wed, 5 Sep 2007 12:43:11 +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0005_01C7EFBA.51E1B350"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3028
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3028
Received-SPF: none(drk-eberstadt.de: drk-eberstadt.de does not designate permitted sender hosts)

... scheinbar ist ein Kunde eines griechischen Anbieters der Urheber (oder auch Opfer).

Code: Alles auswählen

IPv4-adress:  91.132.235.158
addr-out:   cust-235-158.on1.ontelecoms.gr



inetnum:    91.132.224.0 - 91.132.255.255
netname:    ON-TELECOMS-NET
descr:    IP addresses for ON customers
descr:#2
country:    GR
admin-c:    OTNO1-RIPE
tech-c:   OTNO1-RIPE
status:   ASSIGNED PA
mnt-by:   ONNOC-MNT
mnt-by:   ONTELECOMS-MNT
mnt-domains:  ONNOC-MNT
mnt-domains:  ONTELECOMS-MNT

role:     ON Telecoms Network Operation Center
address:    Sorou 26
address:    15125
address:    Maroussi, Athens
address:    Greece
org:    ORG-OS29-RIPE
e-mail:   ripe.operations@ontelecoms.com
admin-c:    FF2524-RIPE
admin-c:    GP6331-RIPE
tech-c:   FF2524-RIPE
tech-c:   GP6331-RIPE
mnt-by:   ONNOC-MNT
nic-hdl:    OTNO1-RIPE


route:    91.132.224.0/19
descr:    ON Telecoms NETBLOCK
origin:   AS41920
mnt-by:   ONNOC-MNT

Macht es Sinn, das an Strato zu schicken, können die damit was anfangen/machen die sich die Mühe?
Oder macht es eher Sinn, wenn ich selber an die Griechen schreibe?

[Spike]

Ich würde nichts unternehmen, außer alle Postfächer bei Strato anzulegen und alle nicht registrierten Adressen abzuweisen (also nicht beantworten, sondern einfach "Zurückweisen").

[Scooby Doo]

Ok, ich hab die Postfächer mal wieder aktiviert (sind eh fast alles nur Weiterleitungen).

Wie kann ich jetzt nicht registrierte Adressen abweisen? Einfach ein neues POP-Postfach anlegen, zum Catchall-Postfach machen und einen Filter mit der Aktion "Ablehnen" erstellen?

[Spike]

Weiß nicht wie das bei Strato ist, bei Host-Europe kann ich zu einer Domain generell sagen das E-Mails zu denen es kein Postfach gibt abgewiesen werden. Sollte eigentlich möglich sein wenn wenn ihr Catch-All könnt.

[Scooby Doo]

Ja, prinzipiell schon ... aber das ist wohl bei weitem nicht so komfortabel wie bei hosteurope.
Man kann eben entweder eine Weiterleitung oder ein POP-Postfach einrichten, und das dann als Catchall einrichten, aber das "Ablehnen"/"Zurückweisen" geht irgendwie nur über Filter, die ich gerade erstellen kann, bis ich schwarz werde, da taucht nix in den Einstellungen auf ...

Egal ... Hauptsache, wir brauchen uns keine weiteren Sorgen machen, dann kann ich die Seite die nächsten Tage wieder online stellen.

Vielen Dank für die ganzen Tipps !!!

[Bonzai]

Wenn du die *@domain.de nicht einreichtest werden Emails die an XY@domain.de addresiert sind doch automatisch abgewiesen oder?

[Krallzehe]

So, endlich mal die Catch-All zugemacht. Ist gleich ein ganz anderes Lebensgefühl, morgens nicht von hunderten, manchmal tausenden, Hinweisen zur Potenzsteigerung überflutet zu werden.

[Bonzai]

Sowas lässt sich mit Thunderbird aber auch prima rausfiltern.

[Spike]

Tja, leider ist aber Exchange und Outlook die Wahl Nummer 1 ...
Zudem sollte man schon auf dem Mailserver filtern, oder wer hat Lust jeden Tag 5000 Spam-Mails abzurufen? das kostet Zeit ...

[Bonzai]

Mit Outlook geht das genauso, nur ist das nicht so flink wie der Thunderbird. Dort läd der die Nachrichten immer erst in den Posteingang und verschiebt sie dann.

Der Thunderbird ist so flink dass du gar ned merkst dass du Spam bekommen hast.

btw. wenn du 5000 Spams am Tag bekommst machste was falsch. Zumindest im privaten Bereich.

[Spike]

Der Thread dreht sich aber um den Firmenbereich und davon habe ich geredet
Und der Aufwand firmenweit ein Regelsystem zu erstellen ist eher unsinnig, man muss das Problem bei der Wurzel packen, sprich beim Mailserver.

[Ashen-Shugar]

Hatte das gleiche Problem mit meiner Domain. Die Adresse wurde von irgendjemandem gefälscht, waren immer andere Absender. Musste dann auch von catch-all auf bounce umstellen. Sollen die Autoreplies miteinander reden

[Bonzai]

Und wo landet der Autoreply wenn es unzustellbar ist?

geht das dann immer hin und her?

[Ashen-Shugar]

Keine Ahnung, bei mir landet's nicht

[Spike]

Bounce und Auto-Reply sind nicht dasselbe. Beim normalen Bounce wird einfach nur ne Fehlermeldung zurückgeworfen damit der andere Server bescheid weiß. Darauf geantwortet wird dann nicht mehr.

Wer Ping-Pong spielen möchte stellt halt Auto-Reply ein

[Bonzai]

Och wie langweilig. Ich hab mir schon die wildesten Theorien ausgedacht wie man die Server lahmlegen könnte indem man Autoreply versus Mailer Deamon fighten lassen könnte

Was wäre denn dann mit einem richtigen Autoreply? Oder reagiert der nicht auf Mailer Deamon bzw hat der daemon keine antwortadresse din?

[Spike]

Ist doch Einstellungssache. Wer viel Spam bekommt und Autoreply drin hat, landet ganz schnell auf einer Blacklist. Dann hat es sich Aus-Auto-Replyd.

[iob]

Das ist so geil wie Spam das Medium Emal kaputt macht

[Bonzai]

[Tong]

Ich seh das nicht ganz so dramatisch... die Spamfilter meines Providers funktionieren fast perfekt, ich krich wirklich sehr selten mal Spam und dann lernt der Spamfilter sehr schnell für alle Kunden.
Ich bin auch überzeugt davon, dass E-Mails bald einzeln abgerechnet werden und dementsprechend Mechanismen geschaffen werden, die eine Abrechnung möglich und somit den unkontrollierten Spam fast unmöglich machen.

[Spike]

Abrechnen wird nie passieren. Eher werden "trusted" E-Mails eingeführt damit der Absender auch wirklich von seiner IP absendet.

[Tong]

Abrechnen wird nie passieren.

Wenn Spike das so festlegt, passierts auch net !
Bin mir da echt nicht so sicher, zumal das auch wieder ein richtiger Markt wäre an dem einiges an Geld zu verdienen ist ... und das ist meist entscheidender als alles andere.

[Spike]

Wer möchte und kann da Geld verdienen? Und wie soll das funktionieren? Müssten ja alle mitmachen, auch die Leute die nix davon haben. Aber hey, vielleicht wird bald ja auch die Luft zum Atmen besteuert, wer weiß

[iob]

Die müssen einfach nen anderes Protokoll nutzen. Gibt da schon genug technische Impelementierungen... Aber dafür brauchts wieder Infrastruktur.... .