Telekom mahnt Spamversand über unsere Server an
12.12.2011
10:40:12 Uhr1967 Aufrufe
10 Antworten
10:40:12 Uhr
10 Antworten
Noch nicht bewertet
Bereits zum 2. mal innerhalb von 8 Wochen mahnt uns die Telekom wegen Spamversand über einen unserer Server an.
Kennt jemand ein gutes Sicherheitstool zum Aufspüren von Malware, Trojaner etc.?
Wie schon Eingangs beschrieben soll über einen unserer Server mehrfach Spam versendent worden sein.
Das angeforderte Protokoll der Telekom sieht so aus:
Abuse-ID: 60963762
IP-Adresse: 217.92.102.41
Datum/Uhrzeit des Vorfalls: 2 Dec 2011 10:20:25 -0000, entspricht deutscher Zeit: 02.12.2011, 11:20:25 (MEZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/ ...
Date: Sat, 03 Dec 2011 10:45:34 +0100
From: Trendmicro <abuse>
Message-ID: <4964a8cc447324397d9c52a5b94b7205generated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 217.92.102.41
Timestamp: 2 Dec 2011 10:20:25 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Liste aus 60957900
7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
Abuse-ID: 60932132
IP-Adresse: 217.92.102.41
Datum/Uhrzeit des Vorfalls: 1 Dec 2011 13:12:00 -0000, entspricht deutscher Zeit: 01.12.2011, 14:12:00 (MEZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
...
Mit Malwarebytes, McAfee Stinger, Trendmicro (online) und Microsoftprodukten habe ich schon erfolglos gesucht.
Wo kann ich sonst noch suchen und vorallem in welche Richtung um dem ganzen Herr zu werden?
Grüße
uwe.hiss
P.S. Außer die Server kommt keiner über Port 25 raus
Wie schon Eingangs beschrieben soll über einen unserer Server mehrfach Spam versendent worden sein.
Das angeforderte Protokoll der Telekom sieht so aus:
Abuse-ID: 60963762
IP-Adresse: 217.92.102.41
Datum/Uhrzeit des Vorfalls: 2 Dec 2011 10:20:25 -0000, entspricht deutscher Zeit: 02.12.2011, 11:20:25 (MEZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Beschwerdef?hrer sendet IP-Adresse, den Zeitpunkt und die
Tatsachenfeststellung, dass Spam an eine Spamtrap gesendet wurde. Es
sind keine Informationen ?ber die Header (Kopfzeilen) oder gar die Spam-Mail selbst vorhanden.
Sendet maximal eine Beschwerde pro IP-Adresse und 24 Stunden.
Weitere Hinweise auch unter http://bol.homepage.t-online.de/DTAG/bol/ ...
Date: Sat, 03 Dec 2011 10:45:34 +0100
From: Trendmicro <abuse>
Message-ID: <4964a8cc447324397d9c52a5b94b7205generated.by.abuse.dialin.>
User-Agent: Abuse-Datenbank/Listen-Splitter
To: abuse
Subject: Aus Liste generierter Vorgang
Extrahierter Vorgang.
IP: 217.92.102.41
Timestamp: 2 Dec 2011 10:20:25 -0000
Dieser Vorgang wurde aus einer Liste von IPs/Timestamps extrahiert
Beschwerde wegen Spam-Einlieferung
Liste aus 60957900
7777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777777
Abuse-ID: 60932132
IP-Adresse: 217.92.102.41
Datum/Uhrzeit des Vorfalls: 1 Dec 2011 13:12:00 -0000, entspricht deutscher Zeit: 01.12.2011, 14:12:00 (MEZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
...
Mit Malwarebytes, McAfee Stinger, Trendmicro (online) und Microsoftprodukten habe ich schon erfolglos gesucht.
Wo kann ich sonst noch suchen und vorallem in welche Richtung um dem ganzen Herr zu werden?
Grüße
uwe.hiss
P.S. Außer die Server kommt keiner über Port 25 raus
ackerdiesel schreibt am 12.12.2011 um 10:50:28 Uhr
Hallo,
Was für ein Mail-Gateway setzt Du den ein ? Hast Du vielleicht einen offenen Relay - Server ? Das würde ich als erstes testen. z.b. mit:
http://www.mxtoolbox.com/diagnostic.aspx
Was für ein Mail-Gateway setzt Du den ein ? Hast Du vielleicht einen offenen Relay - Server ? Das würde ich als erstes testen. z.b. mit:
http://www.mxtoolbox.com/diagnostic.aspx
Lochkartenstanzer schreibt am 12.12.2011 um 12:15:30 Uhr
Moin moin,
um ein offenens relay zu betreiben reicht ein falsch konfigurierter Server.
Sicher? Mal getestet? man kann im Eifer des Gefechts sehr schnell sich ein loch ins Knie bohren. Insbesondere dann, wenn man nebenbei-Admin ist.
Hast Du die geprüft, oder auch die Clients? Wenn Ihr hinter einem Router sitzt, der NAT macht (sehr wahrscheinlich) , kann es im Prinzip jede Kiste in eurem Netz sein, die SPAM verschickt.
Update:
Ihr habt T-DSL-Business mit statischen Adressen. Daher soltest Du dein gesammtes LAN auf Malware prüfen. Wenn einer Deiner Clientkisten den SPAM erzeugt und dann über Euren Exchange/SBS rausschickt, greift da kein SPAMschutz, solange die Clients keinen Einschränkungen unterliegen.
lks
um ein offenens relay zu betreiben reicht ein falsch konfigurierter Server.
Offene Relays haben wir laut Admin auch nicht - es sei denn sie wurden explizit geöffnet.
Sicher? Mal getestet? man kann im Eifer des Gefechts sehr schnell sich ein loch ins Knie bohren. Insbesondere dann, wenn man nebenbei-Admin ist.
Die anderen Server (u.a. 3 Terminals) laufen unter 2008 Standard.
Hast Du die geprüft, oder auch die Clients? Wenn Ihr hinter einem Router sitzt, der NAT macht (sehr wahrscheinlich) , kann es im Prinzip jede Kiste in eurem Netz sein, die SPAM verschickt.
Update:
Ihr habt T-DSL-Business mit statischen Adressen. Daher soltest Du dein gesammtes LAN auf Malware prüfen. Wenn einer Deiner Clientkisten den SPAM erzeugt und dann über Euren Exchange/SBS rausschickt, greift da kein SPAMschutz, solange die Clients keinen Einschränkungen unterliegen.
lks
uwe.hiss schreibt am 12.12.2011 um 13:25:44 Uhr
Die Clients, den SBS und die Terminals habe ich mit den angegeben Tools geprüft - ohne Ergebnis.
(Externe Notebooks und Clients von anderen Standorten die via VPN hier zugreifen fehlen noch)
Den Link zu mxtoolbox habe ich (auch mit dem Parameter) Blacklist mal laufen lassen.
Hier waren die Ergebnisse mit SMTP-Parameter soweit im grünen Bereich.
Mit einer Ausnahme: Warning - Reverse DNS does not match SMTP Banner! Was soll mir das sagen?
Irritiert hat mich eher das hier:
BACKSCATTERER LISTED Detail Return codes were: 127.0.0.2
Nach dem ich mal nach hintergründe zu diesem Begriff "Backscatter" gegooglet hab und auch backscatter.org fütterte erhielt ich u.a. diesen Eintrag:
30.08.2011 12:22 CEST listed
Nicht gerade mit gleicher Uhrzeit, aber für den gleichen Tag gibt es einen Protokolleintrag von der T-kom:
Abuse-ID: 57133544
IP-Adresse: 217.92.102.41
Datum/Uhrzeit des Vorfalls: 30 Aug 2011 12:38:29 -0000, entspricht deutscher Zeit: 30.08.2011, 14:38:29 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Gibt es hier einen Zusammenhang?
Grüße
uwe.hiss
(Externe Notebooks und Clients von anderen Standorten die via VPN hier zugreifen fehlen noch)
Den Link zu mxtoolbox habe ich (auch mit dem Parameter) Blacklist mal laufen lassen.
Hier waren die Ergebnisse mit SMTP-Parameter soweit im grünen Bereich.
Mit einer Ausnahme: Warning - Reverse DNS does not match SMTP Banner! Was soll mir das sagen?
Irritiert hat mich eher das hier:
BACKSCATTERER LISTED Detail Return codes were: 127.0.0.2
Nach dem ich mal nach hintergründe zu diesem Begriff "Backscatter" gegooglet hab und auch backscatter.org fütterte erhielt ich u.a. diesen Eintrag:
30.08.2011 12:22 CEST listed
Nicht gerade mit gleicher Uhrzeit, aber für den gleichen Tag gibt es einen Protokolleintrag von der T-kom:
Abuse-ID: 57133544
IP-Adresse: 217.92.102.41
Datum/Uhrzeit des Vorfalls: 30 Aug 2011 12:38:29 -0000, entspricht deutscher Zeit: 30.08.2011, 14:38:29 (MESZ)
Beschwerdef?hrer: Trendmicro
Beschwerdeart: Spam via Port 25 an Spamtrap
Gibt es hier einen Zusammenhang?
Grüße
uwe.hiss
Lochkartenstanzer schreibt am 12.12.2011 um 14:06:18 Uhr
Mit sicherheit:
Euer Server hat vermutlich die Mails angenommen und dann als nicht zustellbar an den (vermeintlichen) Absender zurückgeschickt, die das dann als SPAm eingestuft haben.
Soltlest Du erstmal so an die Telekom melden.
Ansonsten solltest Du euren Exchange mal prüfen und schauen, wie weit Ihr schon die Annahme von Mails an nicht existente Empfänger verweigern könnt.
lks
Nachtrag: Ich beobachte, daß SPAM, der zu mir trotz diverser Filter durchkommt meist backscatter ist.
Rico55 schreibt am 12.12.2011 um 14:40:15 Uhr
Wenn der Server bei jedem spam einen Bounce zurückschickt , stimmt schon etwas nicht.
Jeder Mensch der ein Linux aufsetzen kann und eine halbe Stunde Zeit inverstiert, kann dich damit bös nerven - würde ich mal fix ändern.
PS: die Konsequenz aus der Mahnung der Telekom ist irgendwann die, dass die einen Antrag stellen euren Server in verschiedene zentrale Backlists einzutragen.
Da so gut wie jeder Server den ich kenne , diese zentralen Blacklists wie zb Spamhouse und wie Sie alle heißen, fragt bevor er eine Mail annimmt, endet das im schlimmsten Fall damit das
eure Mails an Kunden unzustellbar werden.
Ich würde mir ein Forum suchen in dem Leute sitzen die auf mein Mailsystem spezialisiert sind und die Mal höflich nach Hilfe fragen.
Jeder Mensch der ein Linux aufsetzen kann und eine halbe Stunde Zeit inverstiert, kann dich damit bös nerven - würde ich mal fix ändern.
PS: die Konsequenz aus der Mahnung der Telekom ist irgendwann die, dass die einen Antrag stellen euren Server in verschiedene zentrale Backlists einzutragen.
Da so gut wie jeder Server den ich kenne , diese zentralen Blacklists wie zb Spamhouse und wie Sie alle heißen, fragt bevor er eine Mail annimmt, endet das im schlimmsten Fall damit das
eure Mails an Kunden unzustellbar werden.
Ich würde mir ein Forum suchen in dem Leute sitzen die auf mein Mailsystem spezialisiert sind und die Mal höflich nach Hilfe fragen.
peter- schreibt am 13.12.2011 um 14:47:58 Uhr
Hallo uwe.hiss
Reverse DNS: Der Eintrag verknüpft eine IP-Adresse mit einem Hostnamen und wird im DNS-System gepflegt
SMTP Banner: Wird vom SMTP-Server bei Verbindungsaufbau durch einen anderen Server/Host als Antwort gesendet und ist in der SMTP-Server Konfiguration zu finden.
Die Warnung bedeutet also "nur", das dein Mailserver unter der von dir genutzten IP-Adresse sich bei Verbindungsaufbau mittels SMTP anders nennt, als im reverseDNS eingetragen.
hth
Peter
Zitat von uwe.hiss:
Mit einer Ausnahme: Warning - Reverse DNS does not match SMTP Banner! Was soll mir das sagen?
Mit einer Ausnahme: Warning - Reverse DNS does not match SMTP Banner! Was soll mir das sagen?
Reverse DNS: Der Eintrag verknüpft eine IP-Adresse mit einem Hostnamen und wird im DNS-System gepflegt
SMTP Banner: Wird vom SMTP-Server bei Verbindungsaufbau durch einen anderen Server/Host als Antwort gesendet und ist in der SMTP-Server Konfiguration zu finden.
Die Warnung bedeutet also "nur", das dein Mailserver unter der von dir genutzten IP-Adresse sich bei Verbindungsaufbau mittels SMTP anders nennt, als im reverseDNS eingetragen.
hth
Peter
Adaministrator schreibt am 19.12.2011 um 10:36:32 Uhr
Hallo,
habe gerade die ip Addresse mit MX toolbox geprüft:
http://www.mxtoolbox.com/SuperTool.aspx?a ...
Dort steht, dass Sie noch kein Reverse-DNS eingetragen haben.
Das Reverse-DNS (pd95c6629.dip0.t-ipconnect.de) muss auf den Exchange Server unter dein Virtueller Server für SMTP als FQDN eintragen werden.
Ich würde auch schnell handeln, before dein IP auch noch auf weitere Blacklisten aufgenommen wird.
Das haben wir mal gehabt, und es dauert ewig bis es wieder runter ist.
Hope this helps,
Adam
habe gerade die ip Addresse mit MX toolbox geprüft:
http://www.mxtoolbox.com/SuperTool.aspx?a ...
Dort steht, dass Sie noch kein Reverse-DNS eingetragen haben.
Das Reverse-DNS (pd95c6629.dip0.t-ipconnect.de) muss auf den Exchange Server unter dein Virtueller Server für SMTP als FQDN eintragen werden.
Ich würde auch schnell handeln, before dein IP auch noch auf weitere Blacklisten aufgenommen wird.
Das haben wir mal gehabt, und es dauert ewig bis es wieder runter ist.
Hope this helps,
Adam
Lochkartenstanzer schreibt am 19.12.2011 um 10:52:12 Uhr
Es wäre mir neu, daß die Blacklister jemanden aufnehmen, bloß weil er kein Reverse-DNS für seinen Server hat.
Es stimmt zwar schon, daß einige Leute ihren MTA so konfigurieren, daß er das prüft und dann keine Mail haben will oder das als Kriterium für möglichen Spam nimmt. Aber auf dem Blacklists landet man deswegen nicht gleich als Spammer . Wenn das bei euch so passiert ist, muß noch etwas anderes passiert. sein. Oder ihr habt eifach die NDNs falsch interpretiert.
lks
Es stimmt zwar schon, daß einige Leute ihren MTA so konfigurieren, daß er das prüft und dann keine Mail haben will oder das als Kriterium für möglichen Spam nimmt. Aber auf dem Blacklists landet man deswegen nicht gleich als Spammer . Wenn das bei euch so passiert ist, muß noch etwas anderes passiert. sein. Oder ihr habt eifach die NDNs falsch interpretiert.
lks
Adaministrator schreibt am 19.12.2011 um 11:16:48 Uhr
Hallo,
es ist eher einen "Verbrechen" mit niedriger Einstufung, kann aber wenn es in das richtige Spamtrap aufgenommen wird dazuführen, dass es geblacklisted wird.
Siehe hier: http://wiki.hetzner.de/index.php/DNS-Reve ...
"Manche Spamfilter stufen Mails von solchen Absendern eher als "spammig" ein, daher sollten derartige Inkonsistenzen vermieden werden.
Im obigen Beispiel könnte der Reverse-DNS-Eintrag und der Hostname des Mailservers beispielsweise "srv01.grossefirma.de" lauten,
"www.grossefirma.de" könnte als CNAME-Eintrag (Alias) ohne sichtbare Auswirkungen auf "srv01.grossefirma.de" umgeleitet werden."
Das weiss ich auch nur, weil es uns passiert ist. Ein unser Server ist im Juli dieses Jahres ausgefallen und musste neu installiert werden.
Ich habe dabei vergessen unser SMTP Banner einzutragen, schon 4 Wochen später waren wir auch auf ein Blacklist.
Es hat wieder ein bisschen gedauert, aber wir sind jetzt sauber.
@Uwe: was ich vergessen habe, dein IP Addresse hierfür muss auch natürlich statisch sein.
Adam
es ist eher einen "Verbrechen" mit niedriger Einstufung, kann aber wenn es in das richtige Spamtrap aufgenommen wird dazuführen, dass es geblacklisted wird.
Siehe hier: http://wiki.hetzner.de/index.php/DNS-Reve ...
"Manche Spamfilter stufen Mails von solchen Absendern eher als "spammig" ein, daher sollten derartige Inkonsistenzen vermieden werden.
Im obigen Beispiel könnte der Reverse-DNS-Eintrag und der Hostname des Mailservers beispielsweise "srv01.grossefirma.de" lauten,
"www.grossefirma.de" könnte als CNAME-Eintrag (Alias) ohne sichtbare Auswirkungen auf "srv01.grossefirma.de" umgeleitet werden."
Das weiss ich auch nur, weil es uns passiert ist. Ein unser Server ist im Juli dieses Jahres ausgefallen und musste neu installiert werden.
Ich habe dabei vergessen unser SMTP Banner einzutragen, schon 4 Wochen später waren wir auch auf ein Blacklist.
Es hat wieder ein bisschen gedauert, aber wir sind jetzt sauber.
@Uwe: was ich vergessen habe, dein IP Addresse hierfür muss auch natürlich statisch sein.
Adam
