obliterator
Goto Top

SPAM Flut was tun? Emails werden in unserem Namen verschickt.

Hallo zusammen,
wir haben hier zur Zeit ein riesen Problem.

Kurze Erklärung:

Email Adresse info@firma.com gehostet bei Ratiokontakt wird an einem AP von uns abgerufen.
Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt. Ich habe mir die Mail Header mal genauer angeschaut und gesehen das dass Problem wohl nicht bei uns im Haus oder auch nicht bei Ratiokontakt zu suchen ist?!?!

Received: from AEJ-POST.aej-online.de (192.168.3.8) by AEJ-Post.aej-online.de
 (192.168.3.8) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 8 Oct
 2014 06:57:34 +0200
Received: from kainar-edu.kz (178.88.69.7) by AEJ-POST.aej-online.de
 (192.168.3.8) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend
 Transport; Wed, 8 Oct 2014 06:57:22 +0200
Received: from [172.16.1.1] (unknown [46.4.106.211]) by kainar-edu.kz
 (Postfix) with ESMTP id AB8923DA0BD1;        Wed,  8 Oct 2014 07:51:20 +0600 (ALMT)
Content-Type: multipart/alternative; boundary="===============1839833966=="
MIME-Version: 1.0
Subject: Wichtig.
To: Recipients <info@firma.com>
From: "J.Tambo " <info@firma.com>
Date: Wed, 8 Oct 2014 03:53:28 +0200
Reply-To: jeremy.tambo@aim.com
X-Antivirus: avast! (VPS 141007-2, 10/07/2014), Outbound message
X-Antivirus-Status: Clean
Message-ID: <20141008015120.AB8923DA0BD1@kainar-edu.kz>
Return-Path: info@firma.com
Es kommt immer wieder die IP Adresse [46.4.106.211] auf. Laut whois abfrage ist das ein Server von Hetzner AG.
Dort habe ich angerufen und die konnten bestätigen das von dort aus SPAMs verschickt werden. Sie wollen den Kunden informieren das er das bitte unterlassen soll.

Was ich bisher getan habe:

1.) Passwort von info@firma.com geändert
2.) In Outlook Regel erstellt für alle kommenden Mail delivery Mails.
3.) an abuse@hetzner.de die SPAM Mails weitergeleitet.
4.) Kontakt mit Ratiokontakt aufgenommen.
5.) Den AP mit Malewarebytes, Spybot und Kaspersky überprüft (alles i.O)

Kann ich noch was anderes tun?

Mit freundlichen Grüßen Tommy

Content-Key: 251411

Url: https://administrator.de/contentid/251411

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: fisi-pjm
fisi-pjm 09.10.2014 um 09:05:15 Uhr
Goto Top
Hi,

E-Mail funktioniert ähnlich wie Post. Du kannst niemand hindern deine Adresse als Absenderadresse anzugeben. Wenn der Brief nicht zustellbar ist kommt er zu dir zurück. So ja auch bei den E-Mail delivery reports die du bekommst.

Deine Schritte waren gut und richtig. Da wir leider nichts über deine Infrastruktur wissen können wir dir weiterhin keine großen Tipps geben. Ich würde versuchen auf dem Mailserver selbst ein Drop einzurichten der die betreffenden E-Mails schon vorher weg schmeißt bevor sie in Outlook abgefragt werden.
Verbaler dir dabei aber nicht deine korrekten Benachrichtigungen falls eine E-mail mal nicht durch kommt.

Weiter kannst du nur hoffen das der Provider des Spamers ihm bald den Hahn abdreht.

Gruß
PJM
Mitglied: wiesi200
wiesi200 09.10.2014 um 09:08:27 Uhr
Goto Top
Hallo,

mal abgesehen davon das deine Schritte vernünftig waren. Kann man den SPAM nicht verhindern.
Nur deinen Spamfilter vielleicht mal kontrollieren und gegen was vernünftigeres tauschen.
Mitglied: obliterator
obliterator 09.10.2014 um 09:13:22 Uhr
Goto Top
Naja was heist meinen SPAM Filter. Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter wird von Ratiokontakt vorgegeben und hat bisher auch immer super funktioniert. Als Client Schutz setzen wir Kaspersky Endpoint Security 10 ein.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.10.2014 um 09:48:44 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

mal abgesehen davon das deine Schritte vernünftig waren. Kann man den SPAM nicht verhindern.
Nur deinen Spamfilter vielleicht mal kontrollieren und gegen was vernünftigeres tauschen.

Nunja, die Option ist hier NDNs/NDRs generell zu ignorieren oder druchzulassen. Die Variante, nur NDNs/NDRs anzunehmen, die sich auf selbst verschickte Mails beziehen, wird er bei dieser Konstellation nicht implementieren können.

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.10.2014 aktualisiert um 09:53:41 Uhr
Goto Top
Zitat von @obliterator:

Kann ich noch was anderes tun?

Hetzner höflich bitten, nicht nur den Kunden zu bitten, sondern ihm den SMTP-verkehr abzudrehen, ggf. mit einer Androhung einer Kostennotiz für entstandenen Schaden (Arbeitszeit der Mtarbeiter, die die mails sortieren müssen).

Nachdem die Kiste aber vermutlich anfällig ist, könntest Du sie auch einfach "aufmachen" und runterfahren. das könnte Dir aber auch negativ ausgelegt werden. Kommt drauf an, ob der betreffende Richter "Notwehr" oder "Gefahr in Verzug" als Argument akzeptiert.

Ansonsten könntest Du die Mails, die über 46.4.106.211 gehen blacklisten. Hilft aber nur in diesem fall, nicht für zukünftige andere wildgewordene mailer.

lks
Mitglied: AndiEoh
AndiEoh 09.10.2014 um 09:57:35 Uhr
Goto Top
Hallo,

so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender Adresse nicht <> ist, sondern = der Zieladresse. Wenn euer Eingang tatsächlich Postfix ist einfach die IP Adresse des Senders (46.4.106.211) blockieren oder mal über ein paar RBLs nachdenken:

http://cbl.abuseat.org/lookup.cgi?ip=46.4.106.211

Gruß

Andi
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.10.2014 um 10:04:41 Uhr
Goto Top
Zitat von @AndiEoh:

Hallo,

so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender Adresse
nicht <> ist, sondern = der Zieladresse.

Der TO sagt

> Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar
> wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt.

Er würde diese gar nicht in sein Postfach bekommen, wenn die ordentlich zugestellt würden. er wird daher mit zimlicher sicherheit die NDNs/NDRs abbekommen. Der obige Auszug des headers scheint nicht dem NDN, sondern einer Mail die (vermutlich) einem System zugestellt wurde, auf das der TO zugriff hat, bzw ihm von einem Bekannten weitergeleitet wurde. Das sagt mir jedenfalls meine Kristallkugel udn meine Erfahrung mit Backscatter.

Wie auch immer. Solange man die Kiste nicht abschaltet/unschädlich macht, kann man gegen den versand nichts unternehmen.

lks

PS: Man könnt ench die Keule "Schadenersatz wegen Rufschädigung" herausholen udn dem Hetzner-Kunden damit winken.
Mitglied: AndiEoh
AndiEoh 09.10.2014 um 10:20:53 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

> Zitat von @AndiEoh:
>
> Hallo,
>
> so wie ich das sehe sind das keine NDR sondern es wird lediglich vorgegauckelt. Zu sehen ist das daran das die Absender
Adresse
> nicht <> ist, sondern = der Zieladresse.

Der TO sagt

> > Seit gestern erhalten wir ohne ende SPAM Mails ( bzw. Mail delivery Mails. >180000 ) und zwar
> > wird in unserem Namen (info@firma.com) Mails an irgendwelche Email Adressen verschickt.

Hab ich auch gelesen.

Er würde diese gar nicht in sein Postfach bekommen, wenn die ordentlich zugestellt würden. er wird daher mit zimlicher
sicherheit die NDNs/NDRs abbekommen. Der obige Auszug des headers scheint nicht dem NDN, sondern einer Mail die (vermutlich) einem
System zugestellt wurde, auf das der TO zugriff hat, bzw ihm von einem Bekannten weitergeleitet wurde. Das sagt mir jedenfalls
meine Kristallkugel udn meine Erfahrung mit Backscatter.

Meine Kristallkugel sagte mir das Spammer gerne mal Absender=Empfänger setzen und es für viele dann so aussieht als ob es NDRs wären so wie z.B. Beispiel in der gezeigten Mail. Oft wird noch der Display Name entprechen gesetzt, sodass die Empfänger der Meinung sind die Mail sollte ihnen gar nicht zugestellt werden.

Echter Backscatter ist selten geworden heutzutage.

Deswegen einfach mal die IP des Spammers blocken. Manchmal sind die Spammer einfach nur zu blöde Ihre eigene Scriptsammlung richtig einzustellen.

Gruß

Andi
Mitglied: obliterator
obliterator 09.10.2014 aktualisiert um 10:33:31 Uhr
Goto Top
Wie soll ich denn die IP des Spammers blocken wenn das ganze garnicht bei uns auf den Servern geschieht?
Die Mails die reinkommen sind doch die von den einzelnen angeschriebenen Personen?Es funktioniert doch von Prinzip alles richtig?
Spammer schickt mit unserer Email Adresse Mails raus und die Antwort Mail kommt zurück zu uns (immer unterschieldiche IPs)?!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.10.2014 um 10:35:46 Uhr
Goto Top
Zitat von @obliterator:

Spammer schickt mit unserer Email Adresse Mails raus und die Antwort Mail kommt zurück zu uns (immer unterschieldiche IPs)?!


Wie sieht denn die Antwort aus? Istd das eine unzustellbarkeitsnachricht oder eine reguläre Mail?

lks
Mitglied: obliterator
obliterator 09.10.2014 aktualisiert um 10:42:42 Uhr
Goto Top
Unzustellbarkeitsnachricht, Automatische Antwort, Mail delivery, failure notice, Abwesenheitsnotiz usw...


und das ist die Mail die immer raus geht...

Lieber Freund, Mein Name ist Herr Jeremy Zuma Tambo, der Chef der Samda Dorf cummunity und Zeit vertrieben von Samda privaten Bergbau coporation in Limpopo Province Südafrika. Ich schreibe Ihnen auf Basis Investitionen möchte ich in yor Land zu platzieren. Ich brauche Ihre Hilfe, um die transfering meiner Mittel, um Ihr Land zu verwalten und die Durchführung von Investitionen auf, was Sie intresting und profitabel zu finden. Sie werden entsprechend belohnt werden. So starten wir €15.000.000.00 Euro investieren. Wenn Sie an einer Zusammenarbeit mit mir kontaktieren Sie mich durch meine interessiert sind, Private E-Mail: jeremy.tambo@aim.com für weitere Details, Ihre früheste Reaktion auf dieses Schreiben wird geschätzt. Mit freundlichen Grüßen, Jeremy Zuma Tambo


This email is free from viruses and malware because avast! Antivirus protection is active.
Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.10.2014 um 10:46:17 Uhr
Goto Top
Zitat von @obliterator:

Unzustellbarkeitsnachricht, Automatische Antwort, Mail delivery, failure notice, Abwesenheitsnotiz usw...

Also backscatter.

gegen die automatischen Antworten und Abwesenheitsnotizen kannst Du nichts machen.

Bei den NDNs könntesdt Du diese generell anblehnen, dann hast Du aber das Problem, daß du auch von deinen regulären nachrichten keine Meldungen bekommst.

eine "zwischenlösung" wäre es, zu überprüfen, ob die NDNs sich auf einen Message-ID beziehen, die von euch kommt. Dazu müßtest Du aber die Kontrolle über Euren Mailer haben und dort Filter installieren können.

lks
Mitglied: AndiEoh
AndiEoh 09.10.2014 um 12:22:25 Uhr
Goto Top
kainar-edu.kz (178.88.69.7) ist doch euer (Postfix) Eingangs-Relay, oder? Also dort in den Logs (/var/log/mail.log) steht für jede E-Mail Haarklein wo sie herkommt bzw. wer sie eingeliefert hat. Wenn die alle von 46.4.106.211 wie oben im Header zu sehen ist kommen, dann schmeiß diese IP in die Blockliste und gut ist. Backscatter würde von sehr vielen unterschiedlichen IPs ankommen, dagegen kann man nicht viel machen. Wenn der idioten Spammer auf seiner Büchse aber tatsächlich immer eure Adresse als Absender verwendet und Bounces erzeugt, dann Blocklist und gut ist.

Gruß

Andi
Mitglied: obliterator
obliterator 09.10.2014 um 13:05:51 Uhr
Goto Top
Nein 178.88.69.7 ist nicht unser eingangs Relay.

Zitat von @AndiEoh:

kainar-edu.kz (178.88.69.7) ist doch euer (Postfix) Eingangs-Relay, oder? Also dort in den Logs (/var/log/mail.log) steht für
jede E-Mail Haarklein wo sie herkommt bzw. wer sie eingeliefert hat. Wenn die alle von 46.4.106.211 wie oben im Header zu sehen
ist kommen, dann schmeiß diese IP in die Blockliste und gut ist. Backscatter würde von sehr vielen unterschiedlichen
IPs ankommen, dagegen kann man nicht viel machen. Wenn der idioten Spammer auf seiner Büchse aber tatsächlich immer eure
Adresse als Absender verwendet und Bounces erzeugt, dann Blocklist und gut ist.

Gruß

Andi
Mitglied: AndiEoh
AndiEoh 09.10.2014 um 13:38:35 Uhr
Goto Top
Ist eh egal da du am falschen Ende bist "Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter wird von Ratiokontakt"
Dann lass bei Ratiokontakt die "info@firma.com" auf dem Eingangsrelay für deine Zieladressen sperren. Hilft nicht gegen echte Bounces, gegen den Müll aus dem Beispiel schon.

Gruß

Andi
Mitglied: obliterator
obliterator 09.10.2014 um 13:45:00 Uhr
Goto Top
Genau das habe ich eben getan. Habe sämtliche Emails von diesem J.Zumba und die ganzen Mail delivery Mails via Filter nun löschen und sperren lassen.

Zitat von @AndiEoh:

Ist eh egal da du am falschen Ende bist "Das ist eine einzelne Email Adresse die via Pop3 abgerufen wird und der SPAM Filter
wird von Ratiokontakt"
Dann lass bei Ratiokontakt die "info@firma.com" auf dem Eingangsrelay für deine Zieladressen sperren. Hilft nicht
gegen echte Bounces, gegen den Müll aus dem Beispiel schon.

Gruß

Andi