PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Trotz Serverumzug wird der Server als Spamschleuder verwendet



sakura
02.02.2008, 18:09
Was kann ich machen, ich weiss einfach nicht mehr weiter... Bekomm tagtäglich tausende von Emails in meine queue, weil mein Server spam versendet bis mein qmail Server abschmiert. Ich hoffe mir kann wer helfen

Liebe Grüße aus der nähe von Koblenz
Sakura

schara56
02.02.2008, 18:16
...]tagtäglich tausende von Emails in meine queue, weil mein Server spam versendet[...Hallo Sakura, willkommen im Forum.
Was genau meinst Du mit 'Spams versendet'? Kommen bei Dir die non-delivery-reports (NDRs) an? Das kann einfach und banal bedeuten, dass jemand Deine E-Mail-Adresse als reply-to verwendet. Schau mal hier (http://www.antispam-ev.de/wiki/JoeJob) rein. Zur Sicherheit kannst Du noch das sogenannte Catch-All (http://www.antispam-ev.de/wiki/Catch-All) abschalten.

@Mods
bitte verschieben.

sakura
02.02.2008, 18:21
Hallo Sakura, willkommen im Forum.
Was genau meinst Du mit 'Spams versendet'? Kommen bei Dir die non-delivery-reports (NDRs) an? Das kann einfach und banal bedeuten, dass jemand Deine E-Mail-Adresse als reply-to verwendet. Schau mal hier (http://www.antispam-ev.de/wiki/JoeJob) rein. Zur Sicherheit kannst Du noch das sogenannte Catch-All (http://www.antispam-ev.de/wiki/Catch-All) abschalten.

@Mods
bitte verschieben.

Sorry bin echt noch im Serveradministration totaler anfänger, besonders im Spam bereich. Bin zwar Linuxanwender aber so wie ich das sehen kann, sendne sie emails raus und die nicht ankommen landen eben im queue. Wenn du magst kann ich dir auch meine ICQ NR. geben bin einfach verzweifelt und trau mich auch nicht mehr so wirklch ran, weil ich einfach angst habe wichtige Spuren oder sonstiges zu löschen. Und Danke für dein Herzliche begrüßung, bzw. schnelle Antwort

Goofy
02.02.2008, 18:22
Ich hab den Thread mal in "serverseitige Spamabwehr" verschoben.

Könntest Du mal einen Beispielheader (http://www.antispam-ev.de/wiki/EMailHeader) einer Spam-Mail posten?

sakura
02.02.2008, 18:29
Received: (qmail 10464 invoked from network); 2 Feb 2008 xx:xx:xx +0100
Received: from 78-106-249-220.broadband.corbina.ru (HELO user) (78.106.249.220)
by avas01.nro1.de with SMTP; 2 Feb 2008 xx:xx:xx +0100
Received: from [78.106.249.220] by smtp.secureserver.net; Sat, 2 Feb 2008 xx:xx:xx +0300
From: "Cliff Cope" <violatesv74 [at] zimbirds.com>
To: <XXXXXXXe>
Subject: Penisverlaengerung
Date: Sat, 2 Feb 2008 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0006_01C8659F.C6D34880"
X-Mailer: Microsoft Office Outlook, Build 11.0.6353
Thread-Index: [filtered]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.2663
Message-ID: [ID filtered]
-------------------------------------------------------------------------
Received: (qmail 10499 invoked for bounce); 2 Feb 2008 xx:xx:xx +0100
Date: 2 Feb 2008 xx:xx:xx +0100
From: MAILER-DAEMON [at] india547.server4you.de
To: poor [at] spamvictim.tld
Subject: failure notice
--------------------------------------------------------------------------
Received: (qmail 10691 invoked for bounce); 2 Feb 2008 xx:xx:xx +0100
Date: 2 Feb 2008 xx:xx:xx +0100
From: MAILER-DAEMON [at] india547.server4you.de
To: poor [at] spamvictim.tld
Subject: failure notice
--------------------------------------------------------------------------

So hier habt ihr mal 3 Stück, kann auch nen irc channel aufmachen wäre mir auch recht.
Recht Herzlich vielen Dank für eure Mühe und schnellen Antworten

schara56
02.02.2008, 18:36
...]senden sie emails raus und die nicht ankommen landen eben im queue.[...Genau das sind NDRs.

Daher ist folgende Lektüre hier (http://www.antispam-ev.de/wiki/JoeJob) und hier (http://www.antispam-ev.de/wiki/Catch-All) empfehlenswert.
Was setzt Du für einen MTA (http://de.wikipedia.org/wiki/Mail_Transfer_Agent) ein? Sendmail oder vielleicht Postfix?
Wenn Du manche Informationen nicht posten möchtest kannst Du diese auch gerne als persönliche Nachricht an renommierte User senden.

sakura
02.02.2008, 18:37
Genau das sind NDRs.

Daher ist folgende Lektüre hier (http://www.antispam-ev.de/wiki/JoeJob) und hier (http://www.antispam-ev.de/wiki/Catch-All) empfehlenswert.
Was setzt Du für einen MTA (http://de.wikipedia.org/wiki/Mail_Transfer_Agent) ein? Sendmail oder vielleicht Postfix?
Wenn Du manche Informationen nicht posten möchtest kannst Du diese auch gerne als persönliche Nachricht an renommierte User senden.

Ist mir egal hauptsache das Probelm ist gelöst, ich vrewende sent-mail und qmail server braucht ihr sonst noch was?

Goofy
02.02.2008, 18:40
Das sind offensichtlich alles Bounce (http://www.antispam-ev.de/wiki/Bounce)-Mails.

Da passiert folgendes:

Irgendeine Spammer-Landplage verwendet Deine Domain, um in seine Absendeangaben für seinen Spam einen falschen Absender reinzufälschen.

Das ist leider gängige Spammerpraxis und wird durch den veralteten SMTP-Protokollstandard möglich, der nicht überprüft, ob die versendende IP-Adresse zu der Absendedomain passt.

Durch die Verwendung real existierender, aber unbeteiligter fremder Domains meinen die Spammer, dass sie an den Spamfiltern besser vorbeikämen (was bei einem guten Spamfilter jedoch regelmässig nicht der Fall ist).

Der Spam wird dabei keinesfalls über Deinen Server versendet, sondern es werden i.d.R. wurmverseuchte PCs von Super-DAUs (sogenannte "Bots (http://www.antispam-ev.de/wiki/Botnetz)") als Verteilstation genommen.

Den Huddel damit hast aber dann Du. Wenn eine Spammail nicht zustellbar ist, was je nach Qualität der von Spammy verwendeten Adresslisten oft der Fall ist (Adresse veraltet etc.), wird Dir als vermeintlichem Versender eine bounce-Nachricht ("delivery failed....mailsystem...invoked for bounce") zugestellt.

Dagegen machen kann man nicht viel, nur das Catchall solltest Du dringend abschalten, wie Schara56 schon sagt.

Und auf Deiner Webseite solltest Du einen Hinweis platzieren, dass derzeit Deine Domain illegal als Absender für Spam genommen wird und Du das nicht beeinflussen kannst.

Wann der Zirkus aufhört, kann Dir lediglich der Spammer sagen. Erfahrungsgemäß dauert sowas von einigen Tagen bis zu einigen Wochen, selten länger. Irgendwann sucht sich der Spacken eine andere Domain.

Ergänzend dazu hilft es oft, den Mail-Alias umzustellen.

Ohnehin sollte man keinesfalls die häufig benutzten Alias-Namen wie "info", "Webmaster" etc. verwenden.

Also z.B. nicht:
"info [at] Deine_Domain.de".

Sondern z.B.:

"'Rückantwort_2008 [at] Deine_Domain.de".

Wenn das Catchall abgeschaltet ist, kriegst Du dann auch keine Bounces auf "info" mehr. Ausserdem wird "info" etc. von Spammern sowieso in brute-force-Technik genommen, um Deine Domain vollzuspammen.

Wenn dieser Alias dann mit der Zeit vollgespammt wird, kannst Du nächstes Jahr einen Alias "'Rückantwort_2009 [at] Deine_Domain.de" einrichten.

sakura
02.02.2008, 19:05
Und dies ist bereits bei mir seit einigen Monaten und es wird nicht besser, habe am Tag ca. 18 Tausen Emails, im Ordner. Innerhalb von 2 Minuten habe ich ca. 1000 Emails

Goofy
02.02.2008, 19:08
Dann solltest Du wirklich den Mail-Alias Deiner Domain umstellen, dann CatchAll abschalten, und dann bereits auf Serverebene alle Mails außer an Deinen neuen Alias blocken. Wie das geht, muss Dir Schara56 erklären.

sakura
02.02.2008, 19:22
Ok nun sendet er die nicht vorhandenen Emails in Reject, aber ich denke mir das ist doch eine heftige Serverbelastung oder etwa nicht? Außerdem habe ich die Sorge, das irgendwann eine KLage in mein Haus flattert

Goofy
02.02.2008, 19:29
Wenn die bounces an nicht vorhandene Alias auf Serverebene abgelehnt werden, belastet das zwar schon den Mailserver. Das Kontaktieren des Mailservers kannst Du ja zunächst mal nicht verhindern. Jedoch ist die Belastung nicht so groß, als wenn der Server die Mails annehmen und verarbeiten muss.

Klagen kann da IMHO niemand. Mails an einen nicht existierenden Alias auf Deiner Domain musst du nicht annehmen, da kann Dir selbst nach dem deutschen UWG niemand an den Karren fahren.

Und von einem Eintrag in eine Blacklist habe ich auch noch nichts gehört, nur weil Du Mails an "nichtvorhandenen_Alias [at] Deine_Domain.de" zurückweist.

sakura
02.02.2008, 19:30
Ja aber es werden auch denke ich welche versendet, wie kann ich denn sicher gehen das dies nicht der Fall ist. Gibt es dort einen log oder sowas?

Goofy
02.02.2008, 19:35
Die Bounce-Mails erfolgen allesamt auf Spams, die nicht über Deinen Server gelaufen sind, sondern über virenverseuchte Bots von Endanwender-PCs rund um den Globus.

Deine eigenen Mails setzt Du mit Absendeangabe über den tatsächlich existierenden Alias ab.
Antworten darauf können Dir selbstverständlich zugestellt werden.

Vergiß nicht, Deine Webseite so umzustellen, dass dort im Impressum die neue Mailadresse mit dem neuen Alias erscheint.

sakura
02.02.2008, 19:38
Sorry nicht Böse gemeint, aber irgendwie versteh ich das nicht so ganz. Wie das funktionieren soll, weil ich habe nen Presse Email und Mitarbeiter Email-Adressen. Wie meinst du das genau? sagen wir mal die Email-Adresse lautet test [at] meine_domain.de

Goofy
02.02.2008, 19:41
Hier kannst Du testen, ob Dein Mailserver eine Sicherheitslücke hat und als Open Relay verwendet werden kann.
http://www.abuse.net/relay.html

Normalerweise hat Dein Mailserver aber mit der ganzen Spammerei nix zu tun, nur Deine Domain wird als Reply-To gefälscht.

sakura
02.02.2008, 19:43
Er sagte mir mehrmals

.553 sorry, that domain isn't in my list of allowed rcpthosts (#5.7.1) und 553 we don't relay (#5.7.1)

und am ende sagte er mir
Relay test result
All tests performed, no relays accepted

schara56
02.02.2008, 19:46
...]All tests performed, no relays acceptedPerfekt! Dein Server ist kein offnenes Relay und so soll es auch sein.

Goofy
02.02.2008, 19:46
Sorry nicht Böse gemeint, aber irgendwie versteh ich das nicht so ganz. Wie das funktionieren soll, weil ich habe nen Presse Email und Mitarbeiter Email-Adressen. Wie meinst du das genau? sagen wir mal die Email-Adresse lautet [gelöscht durch Mod]

Was verstehst Du nicht? Den Spam-Versand über Bots mit gefälschten Absendeadressen?

sakura
02.02.2008, 19:48
Perfekt! Dein Server ist kein offnenes Relay und so soll es auch sein.

Also das bedeutet das er auch nix versendet und kann mich entspannt erstmal zurück lehnen?

Goofy
02.02.2008, 19:50
Joar. ;)

sakura
02.02.2008, 20:00
Dann möchte ich mich recht herzlich bei euch bedanken, für eure Mühe, Geduld und hilfreiche Hilfe. War echt am verzweifeln, als Dank wäre ich auch gerne bereit ein wenig Grafik oder sontiges für euch zu entwicklen. Weil 1. Bin Mediengestalter für Digital und Printmedien und 2. Benötige ich noch Referenzen ^^.

Danke noch mal bis dann
Sakura

Goofy
02.02.2008, 20:06
Kommen wir gerne drauf zurück bei Bedarf. ;)

Meine Empfehlung - diese Seite:

http://www.antispam-ev.de/wiki/BeitrittVerein ;)

sakura
02.02.2008, 20:37
Was verstehst Du nicht? Den Spam-Versand über Bots mit gefälschten Absendeadressen?

Naja das mit den aliases....Das versteh ich nicht und was bringt mir das genau also der interne Bereich zum Beispiel...Was gibt es denn dort, was es hier nicht gibt?

Goofy
02.02.2008, 21:23
Eine vollwertige e-Mail-Adresse besteht aus einem Alias und der dazugehörigen Domain.

Angenommen, Deine Domain heißt

karnickelzuechter.de (die gibts nicht, ist nur fiktiv...)

und es gibt für diese Domain einen Mailserver, dann kann man auf diesem Mailserver für alle anzusteuernden Konten verschiedene "alias" einrichten.
Der "Alias" identifiziert den Benutzer des Mailkontos.

Also:

Dein Webmasterzugang heisst dann

webmaster [at] karnickelzuechter.de

Der Postmaster hat:

postmaster [at] karnickelzuechter.de

Die Kunden kriegen auf der Webseite eine Mailadresse, wo sie den zuständigen Support etc. kontaktieren können:

info [at] karnickelzuechter.de
oder
support [at] karnickelzuechter.de

Die Sekretärin des Geschäftsführers kriegt:

tippse24 [at] karnickelzuechter.de

Der Geschäftsführer hat:

bigboss [at] karnickelzuechter.de

Alle sind sie also über den Alias mit ihrem Mailkonto identifizierbar.

Wenn jetzt der Mailserver weiß, dass nur die oben genannten Alias-Konten existieren, kann er, wenn er darauf konfiguriert wird, alle Mails an z.B.

izzibizzi_teenieweenie [at] karnickelzuechter.de

gleich bei der Kontaktierung abweisen.

Und zwar gleich zu Anfang des SMTP-Dialogs (http://www.staff.uni-mainz.de/schoepf/sysadm/sysadm_58.html), wenn nämlich der sogenannte "Envelope" übermittelt wird.

Wenn Spammy Deinem Mailserver dann nämlich sagt:

RCPT TO: <izzibizzi_teenieweenie [at] karnickelzuechter.de>

schlägt Dein Mailserver in der Datenbank nach, ob es diesen Alias bei Euch gibt.

Da es ihn nicht gibt, bricht Dein Mailserver den Dialog dann sofort mit einer Fehlermeldung ab. Er sagt dann z.B.:

550 unknown recipient

und tschüss. :D

------------------------

Nun noch was zum internen Bereich für Mitglieder. Dort erfährt man Dinge, die z.B. aus rechtlichen Gründen nicht einem breiteren Kreis zugänglich gemacht werden können. Man erhält aucht Tipps z.B. zur Konfiguration von Spamfiltern, die wir nicht breittreten wollen, um den Spammern nicht ihre eigenen Fehler zu offenbaren.

Über die Serviceleistungen für Mitglieder: Serviceleistungen

mas
25.02.2008, 21:19
1. WICHTIG: Wenn man selbst sagt von der Mailserverkonfiguration keine Ahnung zu haben und nicht weiß, ob man nun gerade am relayen ist dann

SOFORT runter mit dem mailserver und erstmal informieren. Wirklich, stell Dir vor da wären jetzt Tausende spams rausgegangen - die Kündigung deines Providers wäre dir sicher gewesen - mindestens.

2. qmail hat wohl seine Fans, ist aber nicht unbedingt das beste bezgl. einfach Konfigurieren für Unerfahrene. Es ist schon seeehr speziell. Besser fängt mal wohl mit exim oder postfix als MTA an.

3. Wenn man gerade mit Backscatter SPAM zugemüllt wird (und solche Bounces sind nix anderes), dann sollte man zumindest übergangsweise mal backscatterer.org als blacklist verwenden und alle die da gelisted sind DENY'en.

siehe http://www.dontbouncespam.org/#BS

für Erläuterungen. Normalerweise ist das ein bischen zu scharf mit der RBL zu DENYen aber wenn man gerade unter BEschuß steht durchaus zu vertreten.

----

Und catchall aus wurde ja schon gesagt.

-----

NOCHMAL: Erst informieren, dann MTA aufsetzen. NIEMALS andersherum. Es gibt schon genug portblocks auf port 25.

homer
25.02.2008, 21:36
2. qmail hat wohl seine Fans, ist aber nicht unbedingt das beste bezgl. einfach Konfigurieren für Unerfahrene. Es ist schon seeehr speziell. Besser fängt mal wohl mit exim oder postfix als MTA an.
Einspruch! In der Standardinstallation nimmt qmail grade mal Mails von localhost und für den FQDN an (wie postfix, exim, sendmail auch). Wenn natürlich, wie hier vermutet, die Mails über ein Webinterface/CGI an den Mailer übergeben werden, dann hat man verloren.

Grundsätzlich bin ich aber auch der Meinung, dass man schon einiges an Erfahrung zur korrekten Mailserver-Konfiguration mitbringen sollte.

Aleksander N
12.04.2008, 13:34
Hi,

ich habe das gleiche Problem mit den Spammails die einen Eintrag meiner URL verwenden.

Ich verwende postfix und courier imap auf einem SuSEsystem, habe ich das richtig verstanden, dass nur ein wechsel der Emailadresse eine Lösung bringen würde ?

Catchall habe ich auch schon deaktiviert, trotzdem langweilen die Mail delivery Emails extrem. :rolleyes:

Um eine andere Lösung wäre ich echt dankbar, da ich die Emailadressen nicht oder nur sehr schwer verändern kann.

Danke vorab.

gruß
Alex

Goofy
12.04.2008, 13:51
Wenn CatchAll schon deaktiviert ist und Du die Mailadresse nur schwer ändern kannst, hilft nur filtern.
Man kann dann z.B. temporär alle Mails mit Betreff "...delivery failed..." in den Junk-Ordner entsorgen lassen, wenn es zuviele sind, evtl. sogar sofort löschen lassen.
Falls der Filter beim Mailaccount Deines Hosters zu schlecht ist, hilft evtl. eine automatische Weiterleitung auf einen Freemailer-Account.

Aleksander N
12.04.2008, 17:31
Hi,

ich habe postgrey (http://postgrey.schweikert.ch/) installiert.
Der SPAM hat schon signifikant abgenommen, leider werden auch normale E-Mails erstmal abgewiesen, was aber durch eine erneute versendung gelöst werden kann.

Bis dato ne prima Sache, kann ich nur weiter empfehlen :)

gruß
alex

actro
12.04.2008, 17:33
Da die modernen Drohnen ebenfalls Mehrfachversuche bei der Einlieferung machen ist Greylisting obsolete. Dadurch wird nur noch der Internet-Traffic signifikant erhöht.

Aleksander N
12.04.2008, 17:37
Hmm,

meine Problem habe ich damit in den Griff bekommen.

Ich werde das weiter beobachten.

Danke für den Hinweis.

gruß
Alex

actro
12.04.2008, 17:50
Die bekommst Du auch mit RBLs in den Griff, ohne soviel Traffic ;)

Aleksander N
12.04.2008, 18:09
Hi,

damit meinstest Du Blacklists ? Wenn "ja" hatte ich auch schon drüber nachgedacht, Heise wäre so eine, oder welche Blacklist könnte man empfehlen ?

gruß
Alex

actro
12.04.2008, 18:12
Spamcop, Spamhaus..es gibt viele RBLs und alle haben Vor- und Nachteile.

Auszug aus meiner /etc/postfix/main.cf

reject_rbl_client cbl.abuseat.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client unconfirmed.dsbl.org,
reject_rbl_client zen.spamhaus.org,
reject_rbl_client dialup.blacklist.jippg.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client multihop.dsbl.org,

Aleksander N
12.04.2008, 18:17
Hi,

danke. Werde das mit einer Blacklist ausprobieren, wenn alles nach wunsch läuft kann ich den postgrey wieder deinstallieren, da die ankommenden Mails direkt geblockt werden.

Ist natürlich schon der bessere Weg.

gruß
Alex

nifiction
17.04.2008, 16:05
sakura, was Du auf jeden Fall machen solltest ist, wie Goofy schon sagt, catch-all deaktvieren. Wenn Du anfängst zu filtern, such vor allem nach einem Filter der ein rate-limit auf die Anzahl der Nachrichten, die pro Server oder IP an Dich gesendet werden dürfen, hat. Damit kannst Du dann vorbeugen, dass ein normaler SMTP-Server die anfängt hunderte gebouncte Spams abzuliefern. Mit regulären Kunden bzw. legitimen Mails sollte das auch keine Probleme geben, da die Dir ja normalerweise auch nicht 10 Nachrichten pro Domain und Minute schicken :)

Spammer sind Geschäftsleute wie wir auch. Die versuchen ja nicht "Dich zu ärgern" sondern einfach nur so viele Nachrichten wie möglich zu verschicken ;)

PS: und ach ja... false positives sollte der Filter auch nicht erzeugen (weil dann laufen Dir Deine Kunden schneller weg als Du gucken kannst ;))...