Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

SPAM Flut was tun? Emails werden in unserem Namen verschickt.

Frage Internet E-Mail

Mitglied: obliterator

obliterator (Level 2) - Jetzt verbinden

09.10.2014, aktualisiert 13:04 Uhr, 3405 Aufrufe, 16 Kommentare

Hallo zusammen,
wir haben hier zur Zeit ein riesen Problem.

Kurze Erklärung:

Email Adresse info@firma.com gehostet bei Ratiokontakt wird an einem AP von uns abgerufen.
Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt. Ich habe mir die Mail Header mal genauer angeschaut und gesehen das dass Problem wohl nicht bei uns im Haus oder auch nicht bei Ratiokontakt zu suchen ist?!?!

Received: from AEJ-POST.aej-online.de (192.168.3.8) by AEJ-Post.aej-online.de 
 (192.168.3.8) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 8 Oct 
 2014 06:57:34 +0200 
Received: from kainar-edu.kz (178.88.69.7) by AEJ-POST.aej-online.de 
 (192.168.3.8) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend 
 Transport; Wed, 8 Oct 2014 06:57:22 +0200 
Received: from [172.16.1.1] (unknown [46.4.106.211]) by kainar-edu.kz 
 (Postfix) with ESMTP id AB8923DA0BD1;        Wed,  8 Oct 2014 07:51:20 +0600 (ALMT) 
Content-Type: multipart/alternative; boundary="===============1839833966==" 
MIME-Version: 1.0 
Subject: Wichtig. 
To: Recipients <info@firma.com> 
From: "J.Tambo " <info@firma.com> 
Date: Wed, 8 Oct 2014 03:53:28 +0200 
Reply-To: jeremy.tambo@aim.com 
X-Antivirus: avast! (VPS 141007-2, 10/07/2014), Outbound message 
X-Antivirus-Status: Clean 
Message-ID: <20141008015120.AB8923DA0BD1@kainar-edu.kz> 
Return-Path: info@firma.com
Es kommt immer wieder die IP Adresse [46.4.106.211] auf. Laut whois abfrage ist das ein Server von Hetzner AG.
Dort habe ich angerufen und die konnten bestätigen das von dort aus SPAMs verschickt werden. Sie wollen den Kunden informieren das er das bitte unterlassen soll.

Was ich bisher getan habe:

1.) Passwort von info@firma.com geändert
2.) In Outlook Regel erstellt für alle kommenden Mail delivery Mails.
3.) an abuse@hetzner.de die SPAM Mails weitergeleitet.
4.) Kontakt mit Ratiokontakt aufgenommen.
5.) Den AP mit Malewarebytes, Spybot und Kaspersky überprüft (alles i.O)

Kann ich noch was anderes tun?

Mit freundlichen Grüßen Tommy
Mitglied: fisi-pjm
09.10.2014 um 09:05 Uhr
Hi,

E-Mail funktioniert ähnlich wie Post. Du kannst niemand hindern deine Adresse als Absenderadresse anzugeben. Wenn der Brief nicht zustellbar ist kommt er zu dir zurück. So ja auch bei den E-Mail delivery reports die du bekommst.

Deine Schritte waren gut und richtig. Da wir leider nichts über deine Infrastruktur wissen können wir dir weiterhin keine großen Tipps geben. Ich würde versuchen auf dem Mailserver selbst ein Drop einzurichten der die betreffenden E-Mails schon vorher weg schmeißt bevor sie in Outlook abgefragt werden.
Verbaler dir dabei aber nicht deine korrekten Benachrichtigungen falls eine E-mail mal nicht durch kommt.

Weiter kannst du nur hoffen das der Provider des Spamers ihm bald den Hahn abdreht.

Gruß
PJM
Bitte warten ..
Mitglied: wiesi200
09.10.2014 um 09:08 Uhr
Hallo,

mal abgesehen davon das deine Schritte vernünftig waren. Kann man den SPAM nicht verhindern.
Nur deinen Spamfilter vielleicht mal kontrollieren und gegen was vernünftigeres tauschen.
Bitte warten ..
Mitglied: obliterator
09.10.2014 um 09:13 Uhr
Naja was heist meinen SPAM Filter. Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter wird von Ratiokontakt vorgegeben und hat bisher auch immer super funktioniert. Als Client Schutz setzen wir Kaspersky Endpoint Security 10 ein.
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 09:48 Uhr
Zitat von wiesi200:

Hallo,

mal abgesehen davon das deine Schritte vernünftig waren. Kann man den SPAM nicht verhindern.
Nur deinen Spamfilter vielleicht mal kontrollieren und gegen was vernünftigeres tauschen.

Nunja, die Option ist hier NDNs/NDRs generell zu ignorieren oder druchzulassen. Die Variante, nur NDNs/NDRs anzunehmen, die sich auf selbst verschickte Mails beziehen, wird er bei dieser Konstellation nicht implementieren können.

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014, aktualisiert um 09:53 Uhr
Zitat von obliterator:

Kann ich noch was anderes tun?

Hetzner höflich bitten, nicht nur den Kunden zu bitten, sondern ihm den SMTP-verkehr abzudrehen, ggf. mit einer Androhung einer Kostennotiz für entstandenen Schaden (Arbeitszeit der Mtarbeiter, die die mails sortieren müssen).

Nachdem die Kiste aber vermutlich anfällig ist, könntest Du sie auch einfach "aufmachen" und runterfahren. das könnte Dir aber auch negativ ausgelegt werden. Kommt drauf an, ob der betreffende Richter "Notwehr" oder "Gefahr in Verzug" als Argument akzeptiert.

Ansonsten könntest Du die Mails, die über 46.4.106.211 gehen blacklisten. Hilft aber nur in diesem fall, nicht für zukünftige andere wildgewordene mailer.

lks
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 09:57 Uhr
Hallo,

so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender Adresse nicht <> ist, sondern = der Zieladresse. Wenn euer Eingang tatsächlich Postfix ist einfach die IP Adresse des Senders (46.4.106.211) blockieren oder mal über ein paar RBLs nachdenken:

http://cbl.abuseat.org/lookup.cgi?ip=46.4.106.211

Gruß

Andi
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 10:04 Uhr
Zitat von AndiEoh:

Hallo,

so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender Adresse
nicht <> ist, sondern = der Zieladresse.

Der TO sagt

> Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar
> wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt.

Er würde diese gar nicht in sein Postfach bekommen, wenn die ordentlich zugestellt würden. er wird daher mit zimlicher sicherheit die NDNs/NDRs abbekommen. Der obige Auszug des headers scheint nicht dem NDN, sondern einer Mail die (vermutlich) einem System zugestellt wurde, auf das der TO zugriff hat, bzw ihm von einem Bekannten weitergeleitet wurde. Das sagt mir jedenfalls meine Kristallkugel udn meine Erfahrung mit Backscatter.

Wie auch immer. Solange man die Kiste nicht abschaltet/unschädlich macht, kann man gegen den versand nichts unternehmen.

lks

PS: Man könnt ench die Keule "Schadenersatz wegen Rufschädigung" herausholen udn dem Hetzner-Kunden damit winken.
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 10:20 Uhr
Zitat von Lochkartenstanzer:

> Zitat von AndiEoh:
>
> Hallo,
>
> so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender
Adresse
> nicht <> ist, sondern = der Zieladresse.

Der TO sagt

> > Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar
> > wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt.

Hab ich auch gelesen.

Er würde diese gar nicht in sein Postfach bekommen, wenn die ordentlich zugestellt würden. er wird daher mit zimlicher
sicherheit die NDNs/NDRs abbekommen. Der obige Auszug des headers scheint nicht dem NDN, sondern einer Mail die (vermutlich) einem
System zugestellt wurde, auf das der TO zugriff hat, bzw ihm von einem Bekannten weitergeleitet wurde. Das sagt mir jedenfalls
meine Kristallkugel udn meine Erfahrung mit Backscatter.

Meine Kristallkugel sagte mir das Spammer gerne mal Absender=Empfänger setzen und es für viele dann so aussieht als ob es NDRs wären so wie z.B. Beispiel in der gezeigten Mail. Oft wird noch der Display Name entprechen gesetzt, sodass die Empfänger der Meinung sind die Mail sollte ihnen gar nicht zugestellt werden.

Echter Backscatter ist selten geworden heutzutage.

Deswegen einfach mal die IP des Spammers blocken. Manchmal sind die Spammer einfach nur zu blöde Ihre eigene Scriptsammlung richtig einzustellen.

Gruß

Andi
Bitte warten ..
Mitglied: obliterator
09.10.2014, aktualisiert um 10:33 Uhr
Wie soll ich denn die IP des Spammers blocken wenn das ganze garnicht bei uns auf den Servern geschieht?
Die Mails die reinkommen sind doch die von den einzelnen angeschriebenen Personen?Es funktioniert doch von Prinzip alles richtig?
Spammer schickt mit unserer Email Adresse Mails raus und die Antwort Mail kommt zurück zu uns (immer unterschieldiche IPs)?!
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 10:35 Uhr
Zitat von obliterator:

Spammer schickt mit unserer Email Adresse Mails raus und die Antwort Mail kommt zurück zu uns (immer unterschieldiche IPs)?!


Wie sieht denn die Antwort aus? Istd das eine unzustellbarkeitsnachricht oder eine reguläre Mail?

lks
Bitte warten ..
Mitglied: obliterator
09.10.2014, aktualisiert um 10:42 Uhr
Unzustellbarkeitsnachricht, Automatische Antwort, Mail delivery, failure notice, Abwesenheitsnotiz usw...


und das ist die Mail die immer raus geht...

Lieber Freund, Mein Name ist Herr Jeremy Zuma Tambo, der Chef der Samda Dorf cummunity und Zeit vertrieben von Samda privaten Bergbau coporation in Limpopo Province Südafrika. Ich schreibe Ihnen auf Basis Investitionen möchte ich in yor Land zu platzieren. Ich brauche Ihre Hilfe, um die transfering meiner Mittel, um Ihr Land zu verwalten und die Durchführung von Investitionen auf, was Sie intresting und profitabel zu finden. Sie werden entsprechend belohnt werden. So starten wir €15.000.000.00 Euro investieren. Wenn Sie an einer Zusammenarbeit mit mir kontaktieren Sie mich durch meine interessiert sind, Private E-Mail: jeremy.tambo@aim.com für weitere Details, Ihre früheste Reaktion auf dieses Schreiben wird geschätzt. Mit freundlichen Grüßen, Jeremy Zuma Tambo



This email is free from viruses and malware because avast! Antivirus protection is active.
Bitte warten ..
Mitglied: Lochkartenstanzer
09.10.2014 um 10:46 Uhr
Zitat von obliterator:

Unzustellbarkeitsnachricht, Automatische Antwort, Mail delivery, failure notice, Abwesenheitsnotiz usw...

Also backscatter.

gegen die automatischen Antworten und Abwesenheitsnotizen kannst Du nichts machen.

Bei den NDNs könntesdt Du diese generell anblehnen, dann hast Du aber das Problem, daß du auch von deinen regulären nachrichten keine Meldungen bekommst.

eine "zwischenlösung" wäre es, zu überprüfen, ob die NDNs sich auf einen Message-ID beziehen, die von euch kommt. Dazu müßtest Du aber die Kontrolle über Euren Mailer haben und dort Filter installieren können.

lks
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 12:22 Uhr
kainar-edu.kz (178.88.69.7) ist doch euer (Postfix) Eingangs-Relay, oder? Also dort in den Logs (/var/log/mail.log) steht für jede E-Mail Haarklein wo sie herkommt bzw. wer sie eingeliefert hat. Wenn die alle von 46.4.106.211 wie oben im Header zu sehen ist kommen, dann schmeiß diese IP in die Blockliste und gut ist. Backscatter würde von sehr vielen unterschiedlichen IPs ankommen, dagegen kann man nicht viel machen. Wenn der idioten Spammer auf seiner Büchse aber tatsächlich immer eure Adresse als Absender verwendet und Bounces erzeugt, dann Blocklist und gut ist.

Gruß

Andi
Bitte warten ..
Mitglied: obliterator
09.10.2014 um 13:05 Uhr
Nein 178.88.69.7 ist nicht unser eingangs Relay.

Zitat von AndiEoh:

kainar-edu.kz (178.88.69.7) ist doch euer (Postfix) Eingangs-Relay, oder? Also dort in den Logs (/var/log/mail.log) steht für
jede E-Mail Haarklein wo sie herkommt bzw. wer sie eingeliefert hat. Wenn die alle von 46.4.106.211 wie oben im Header zu sehen
ist kommen, dann schmeiß diese IP in die Blockliste und gut ist. Backscatter würde von sehr vielen unterschiedlichen
IPs ankommen, dagegen kann man nicht viel machen. Wenn der idioten Spammer auf seiner Büchse aber tatsächlich immer eure
Adresse als Absender verwendet und Bounces erzeugt, dann Blocklist und gut ist.

Gruß

Andi
Bitte warten ..
Mitglied: AndiEoh
09.10.2014 um 13:38 Uhr
Ist eh egal da du am falschen Ende bist "Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter wird von Ratiokontakt"
Dann lass bei Ratiokontakt die "info@firma.com" auf dem Eingangsrelay für deine Zieladressen sperren. Hilft nicht gegen echte Bounces, gegen den Müll aus dem Beispiel schon.

Gruß

Andi
Bitte warten ..
Mitglied: obliterator
09.10.2014 um 13:45 Uhr
Genau das habe ich eben getan. Habe sämtliche Emails von diesem J.Zumba und die ganzen Mail delivery Mails via Filter nun löschen und sperren lassen.

Zitat von AndiEoh:

Ist eh egal da du am falschen Ende bist "Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter
wird von Ratiokontakt"
Dann lass bei Ratiokontakt die "info@firma.com" auf dem Eingangsrelay für deine Zieladressen sperren. Hilft nicht
gegen echte Bounces, gegen den Müll aus dem Beispiel schon.

Gruß

Andi
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2013 dynamische Verteilergruppe verschickt keine Emails (5)

Frage von blackhawk17 zum Thema Exchange Server ...

E-Mail
Problem mit Spam-Mail (6)

Frage von huberd zum Thema E-Mail ...

Erkennung und -Abwehr
Rittal verschickt USB-Stick mit Werbung. Was kann da schon schief gehen? (9)

Link von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Firewall
Konzept für Sicherheit und gegen SPAM, Viren etc. muss her (6)

Frage von typischAndy zum Thema Firewall ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

(7)

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(11)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Dir tc Befehl unter Windows 10 macht Probleme (14)

Frage von sugram zum Thema Batch & Shell ...

Windows Server
Windows Server Komplettspiegelung (13)

Frage von pdiddo zum Thema Windows Server ...

Windows Server
Windows Server 2016 RDS Remoteapp Anzeigefehler (11)

Frage von qlnGenius zum Thema Windows Server ...