Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPAM Flut was tun? Emails werden in unserem Namen verschickt.

Frage Internet E-Mail

Mitglied: Tommy1983

Tommy1983 (Level 2) - Jetzt verbinden

09.10.2014, aktualisiert 13:04 Uhr, 3177 Aufrufe, 16 Kommentare

Hallo zusammen,
wir haben hier zur Zeit ein riesen Problem.

Kurze Erklärung:

Email Adresse info@firma.com gehostet bei Ratiokontakt wird an einem AP von uns abgerufen.
Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt. Ich habe mir die Mail Header mal genauer angeschaut und gesehen das dass Problem wohl nicht bei uns im Haus oder auch nicht bei Ratiokontakt zu suchen ist?!?!

Received: from AEJ-POST.aej-online.de (192.168.3.8) by AEJ-Post.aej-online.de 
 (192.168.3.8) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 8 Oct 
 2014 06:57:34 +0200 
Received: from kainar-edu.kz (178.88.69.7) by AEJ-POST.aej-online.de 
 (192.168.3.8) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend 
 Transport; Wed, 8 Oct 2014 06:57:22 +0200 
Received: from [172.16.1.1] (unknown [46.4.106.211]) by kainar-edu.kz 
 (Postfix) with ESMTP id AB8923DA0BD1;        Wed,  8 Oct 2014 07:51:20 +0600 (ALMT) 
Content-Type: multipart/alternative; boundary="===============1839833966==" 
MIME-Version: 1.0 
Subject: Wichtig. 
To: Recipients <info@firma.com> 
From: "J.Tambo " <info@firma.com> 
Date: Wed, 8 Oct 2014 03:53:28 +0200 
Reply-To: jeremy.tambo@aim.com 
X-Antivirus: avast! (VPS 141007-2, 10/07/2014), Outbound message 
X-Antivirus-Status: Clean 
Message-ID: <20141008015120.AB8923DA0BD1@kainar-edu.kz> 
Return-Path: info@firma.com
Es kommt immer wieder die IP Adresse [46.4.106.211] auf. Laut whois abfrage ist das ein Server von Hetzner AG.
Dort habe ich angerufen und die konnten bestätigen das von dort aus SPAMs verschickt werden. Sie wollen den Kunden informieren das er das bitte unterlassen soll.

Was ich bisher getan habe:

1.) Passwort von info@firma.com geändert
2.) In Outlook Regel erstellt für alle kommenden Mail delivery Mails.
3.) an abuse@hetzner.de die SPAM Mails weitergeleitet.
4.) Kontakt mit Ratiokontakt aufgenommen.
5.) Den AP mit Malewarebytes, Spybot und Kaspersky überprüft (alles i.O)

Kann ich noch was anderes tun?

Mit freundlichen Grüßen Tommy
Mitglied: fisi-pjm
09.10.2014 um 09:05 Uhr
Hi,

E-Mail funktioniert ähnlich wie Post. Du kannst niemand hindern deine Adresse als Absenderadresse anzugeben. Wenn der Brief nicht zustellbar ist kommt er zu dir zurück. So ja auch bei den E-Mail delivery reports die du bekommst.

Deine Schritte waren gut und richtig. Da wir leider nichts über deine Infrastruktur wissen können wir dir weiterhin keine großen Tipps geben. Ich würde versuchen auf dem Mailserver selbst ein Drop einzurichten der die betreffenden E-Mails schon vorher weg schmeißt bevor sie in Outlook abgefragt werden.
Verbaler dir dabei aber nicht deine korrekten Benachrichtigungen falls eine E-mail mal nicht durch kommt.

Weiter kannst du nur hoffen das der Provider des Spamers ihm bald den Hahn abdreht.

Gruß
PJM
Bitte warten ..
Mitglied: wiesi200
09.10.2014 um 09:08 Uhr
Hallo,

mal abgesehen davon das deine Schritte vernünftig waren. Kann man den SPAM nicht verhindern.
Nur deinen Spamfilter vielleicht mal kontrollieren und gegen was vernünftigeres tauschen.
Bitte warten ..
Mitglied: Tommy1983
09.10.2014 um 09:13 Uhr
Naja was heist meinen SPAM Filter. Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter wird von Ratiokontakt vorgegeben und hat bisher auch immer super funktioniert. Als Client Schutz setzen wir Kaspersky Endpoint Security 10 ein.
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 09:48 Uhr
Zitat von wiesi200:

Hallo,

mal abgesehen davon das deine Schritte vernünftig waren. Kann man den SPAM nicht verhindern.
Nur deinen Spamfilter vielleicht mal kontrollieren und gegen was vernünftigeres tauschen.

Nunja, die Option ist hier NDNs/NDRs generell zu ignorieren oder druchzulassen. Die Variante, nur NDNs/NDRs anzunehmen, die sich auf selbst verschickte Mails beziehen, wird er bei dieser Konstellation nicht implementieren können.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014, aktualisiert um 09:53 Uhr
Zitat von Tommy1983:

Kann ich noch was anderes tun?

Hetzner höflich bitten, nicht nur den Kunden zu bitten, sondern ihm den SMTP-verkehr abzudrehen, ggf. mit einer Androhung einer Kostennotiz für entstandenen Schaden (Arbeitszeit der Mtarbeiter, die die mails sortieren müssen).

Nachdem die Kiste aber vermutlich anfällig ist, könntest Du sie auch einfach "aufmachen" und runterfahren. das könnte Dir aber auch negativ ausgelegt werden. Kommt drauf an, ob der betreffende Richter "Notwehr" oder "Gefahr in Verzug" als Argument akzeptiert.

Ansonsten könntest Du die Mails, die über 46.4.106.211 gehen blacklisten. Hilft aber nur in diesem fall, nicht für zukünftige andere wildgewordene mailer.

lks
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 09:57 Uhr
Hallo,

so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender Adresse nicht <> ist, sondern = der Zieladresse. Wenn euer Eingang tatsächlich Postfix ist einfach die IP Adresse des Senders (46.4.106.211) blockieren oder mal über ein paar RBLs nachdenken:

http://cbl.abuseat.org/lookup.cgi?ip=46.4.106.211

Gruß

Andi
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 10:04 Uhr
Zitat von AndiEoh:

Hallo,

so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender Adresse
nicht <> ist, sondern = der Zieladresse.

Der TO sagt

> Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar
> wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt.

Er würde diese gar nicht in sein Postfach bekommen, wenn die ordentlich zugestellt würden. er wird daher mit zimlicher sicherheit die NDNs/NDRs abbekommen. Der obige Auszug des headers scheint nicht dem NDN, sondern einer Mail die (vermutlich) einem System zugestellt wurde, auf das der TO zugriff hat, bzw ihm von einem Bekannten weitergeleitet wurde. Das sagt mir jedenfalls meine Kristallkugel udn meine Erfahrung mit Backscatter.

Wie auch immer. Solange man die Kiste nicht abschaltet/unschädlich macht, kann man gegen den versand nichts unternehmen.

lks

PS: Man könnt ench die Keule "Schadenersatz wegen Rufschädigung" herausholen udn dem Hetzner-Kunden damit winken.
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 10:20 Uhr
Zitat von Lochkartenstanzer:

> Zitat von AndiEoh:
>
> Hallo,
>
> so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender
Adresse
> nicht <> ist, sondern = der Zieladresse.

Der TO sagt

> > Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar
> > wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt.

Hab ich auch gelesen.

Er würde diese gar nicht in sein Postfach bekommen, wenn die ordentlich zugestellt würden. er wird daher mit zimlicher
sicherheit die NDNs/NDRs abbekommen. Der obige Auszug des headers scheint nicht dem NDN, sondern einer Mail die (vermutlich) einem
System zugestellt wurde, auf das der TO zugriff hat, bzw ihm von einem Bekannten weitergeleitet wurde. Das sagt mir jedenfalls
meine Kristallkugel udn meine Erfahrung mit Backscatter.

Meine Kristallkugel sagte mir das Spammer gerne mal Absender=Empfänger setzen und es für viele dann so aussieht als ob es NDRs wären so wie z.B. Beispiel in der gezeigten Mail. Oft wird noch der Display Name entprechen gesetzt, sodass die Empfänger der Meinung sind die Mail sollte ihnen gar nicht zugestellt werden.

Echter Backscatter ist selten geworden heutzutage.

Deswegen einfach mal die IP des Spammers blocken. Manchmal sind die Spammer einfach nur zu blöde Ihre eigene Scriptsammlung richtig einzustellen.

Gruß

Andi
Bitte warten ..
Mitglied: Tommy1983
09.10.2014, aktualisiert um 10:33 Uhr
Wie soll ich denn die IP des Spammers blocken wenn das ganze garnicht bei uns auf den Servern geschieht?
Die Mails die reinkommen sind doch die von den einzelnen angeschriebenen Personen?Es funktioniert doch von Prinzip alles richtig?
Spammer schickt mit unserer Email Adresse Mails raus und die Antwort Mail kommt zurück zu uns (immer unterschieldiche IPs)?!
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 10:35 Uhr
Zitat von Tommy1983:

Spammer schickt mit unserer Email Adresse Mails raus und die Antwort Mail kommt zurück zu uns (immer unterschieldiche IPs)?!


Wie sieht denn die Antwort aus? Istd das eine unzustellbarkeitsnachricht oder eine reguläre Mail?

lks
Bitte warten ..
Mitglied: Tommy1983
09.10.2014, aktualisiert um 10:42 Uhr
Unzustellbarkeitsnachricht, Automatische Antwort, Mail delivery, failure notice, Abwesenheitsnotiz usw...


und das ist die Mail die immer raus geht...

Lieber Freund, Mein Name ist Herr Jeremy Zuma Tambo, der Chef der Samda Dorf cummunity und Zeit vertrieben von Samda privaten Bergbau coporation in Limpopo Province Südafrika. Ich schreibe Ihnen auf Basis Investitionen möchte ich in yor Land zu platzieren. Ich brauche Ihre Hilfe, um die transfering meiner Mittel, um Ihr Land zu verwalten und die Durchführung von Investitionen auf, was Sie intresting und profitabel zu finden. Sie werden entsprechend belohnt werden. So starten wir €15.000.000.00 Euro investieren. Wenn Sie an einer Zusammenarbeit mit mir kontaktieren Sie mich durch meine interessiert sind, Private E-Mail: jeremy.tambo@aim.com für weitere Details, Ihre früheste Reaktion auf dieses Schreiben wird geschätzt. Mit freundlichen Grüßen, Jeremy Zuma Tambo



This email is free from viruses and malware because avast! Antivirus protection is active.
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 10:46 Uhr
Zitat von Tommy1983:

Unzustellbarkeitsnachricht, Automatische Antwort, Mail delivery, failure notice, Abwesenheitsnotiz usw...

Also backscatter.

gegen die automatischen Antworten und Abwesenheitsnotizen kannst Du nichts machen.

Bei den NDNs könntesdt Du diese generell anblehnen, dann hast Du aber das Problem, daß du auch von deinen regulären nachrichten keine Meldungen bekommst.

eine "zwischenlösung" wäre es, zu überprüfen, ob die NDNs sich auf einen Message-ID beziehen, die von euch kommt. Dazu müßtest Du aber die Kontrolle über Euren Mailer haben und dort Filter installieren können.

lks
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 12:22 Uhr
kainar-edu.kz (178.88.69.7) ist doch euer (Postfix) Eingangs-Relay, oder? Also dort in den Logs (/var/log/mail.log) steht für jede E-Mail Haarklein wo sie herkommt bzw. wer sie eingeliefert hat. Wenn die alle von 46.4.106.211 wie oben im Header zu sehen ist kommen, dann schmeiß diese IP in die Blockliste und gut ist. Backscatter würde von sehr vielen unterschiedlichen IPs ankommen, dagegen kann man nicht viel machen. Wenn der idioten Spammer auf seiner Büchse aber tatsächlich immer eure Adresse als Absender verwendet und Bounces erzeugt, dann Blocklist und gut ist.

Gruß

Andi
Bitte warten ..
Mitglied: Tommy1983
09.10.2014 um 13:05 Uhr
Nein 178.88.69.7 ist nicht unser eingangs Relay.

Zitat von AndiEoh:

kainar-edu.kz (178.88.69.7) ist doch euer (Postfix) Eingangs-Relay, oder? Also dort in den Logs (/var/log/mail.log) steht für
jede E-Mail Haarklein wo sie herkommt bzw. wer sie eingeliefert hat. Wenn die alle von 46.4.106.211 wie oben im Header zu sehen
ist kommen, dann schmeiß diese IP in die Blockliste und gut ist. Backscatter würde von sehr vielen unterschiedlichen
IPs ankommen, dagegen kann man nicht viel machen. Wenn der idioten Spammer auf seiner Büchse aber tatsächlich immer eure
Adresse als Absender verwendet und Bounces erzeugt, dann Blocklist und gut ist.

Gruß

Andi
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 13:38 Uhr
Ist eh egal da du am falschen Ende bist "Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter wird von Ratiokontakt"
Dann lass bei Ratiokontakt die "info@firma.com" auf dem Eingangsrelay für deine Zieladressen sperren. Hilft nicht gegen echte Bounces, gegen den Müll aus dem Beispiel schon.

Gruß

Andi
Bitte warten ..
Mitglied: Tommy1983
09.10.2014 um 13:45 Uhr
Genau das habe ich eben getan. Habe sämtliche Emails von diesem J.Zumba und die ganzen Mail delivery Mails via Filter nun löschen und sperren lassen.

Zitat von AndiEoh:

Ist eh egal da du am falschen Ende bist "Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter
wird von Ratiokontakt"
Dann lass bei Ratiokontakt die "info@firma.com" auf dem Eingangsrelay für deine Zieladressen sperren. Hilft nicht
gegen echte Bounces, gegen den Müll aus dem Beispiel schon.

Gruß

Andi
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

E-Mail
gelöst Mail Spam fremde IP (10)

Frage von BerndP zum Thema E-Mail ...

iOS
SPAM Einladungen im iCloud Kalender löschen (1)

Tipp von Frank zum Thema iOS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...