PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Missbrauch von E-Mail-Konten zum Spammen verhindern



eschmid72
10.10.2015, 00:59
Hallo!

Ich bin Programmierer und Server-Admin und arbeite betreue auch Webseiten. Hin und wieder kommt es vor, dass Hacker ein E-Mail-Konto hacken oder 'ne Seite mit fremdem PHP-Code infizieren.
Dann wird meistens das E-Mail-Konto oder die Webseite zum Spamversand missbraucht, und die IP des Servers landet auch in einer Blacklist.

Es müsste doch eigentlich möglich sein, zu erkennen, dass über ein Mail-Konto plötzlich viele Spams ausgehen.
Ich will, dass dann das Konto dann gleich deaktiviert wird, und nicht stündlich tausende Mails rausgehen.

Kennt sich hier wer aus?

Ralgert
10.10.2015, 02:20
Ich bin Programmierer und Server-Admin und arbeite betreue auch Webseiten.
...
Kennt sich hier wer aus?

Diese Kombi ist nicht so gut.
Aber gut, dass du Hilfe holen willst.

Solche Erkennungen und automatische Abschaltungen kann man bei sendmail und Co sehr gut einstellen. Aber auch etliche Konfigurationsoberflaechen bieten das an. Schau mal ins Handbuch und / oder gib mal bekannt, welche Produkte du nutzt. Hier schwirren ab und an auch ein paar Admins herum.

Wegen Konto deaktivieren, bzw. filtern: bitte Rechtslage schecken ^^

AAD
10.10.2015, 07:59
Automatisch ist immer problematisch, was ist wenn ein Kunde eine Newsletter an 10.000 Kunde sendet, dann würde der check vermutlich dann das konto deaktivieren.

Ich nutze Zabbix für das Server monitoring. Bei den Mailservern habe ich ein check eingerichtet wenn die Outgoing Mails einen Wert überschreitet bekomme ich eine nachricht aufs Handy und dann checke ich warum so viel mails versendet werden.

TillP
10.10.2015, 09:42
Ich gebe jetzt mal meine Standard-Antwort, die zwar meistens nicht auf Gegenliebe stößt, aber leider der Wahrheit entspricht:

Bitte höre damit auf, Server zu administrieren.
Ohne dir zu nahe treten zu wollen, aber wer eine Frage dieser Art stellt, macht deutlich, dass er nicht qualifiziert ist, Server zu administrieren.
Das ist ungefähr so, als wenn ein LKW-Fahrer fragt: "Wie komme ich denn nun rückwärts an die Laderampen, ich bin bisher nur vorwärts LKW gefahren."

Neben den Spammern selbst gibt es leider zwei Ursachen für Spam:
1) Menschen, die bei Spammern kaufen
2) Adminstratoren, die Spam-Versand durch falsche Konfiguration zu einfach machen


Es ist zwar gut, dass du dir zu der Thematik Gedanken machst. Aber Administration besteht nicht nur darin, etwas einzurichten und dann funktioniert es ja. Administration bedeutet auch, dauerhafte Überwachung des Systems und regelmäßige Änderungen in der Konfiguration und Updates, wenn diese erforderlich sind. Und üblicherweise lernt man das über mehrere Jahre. Und wenn man es einmal "kann", muss man sich dauerhaft fort- und weiterbilden, denn nach 1 -2 Jahren ist das Wissen, das man hat komplett veraltet.

hoppala
12.10.2015, 10:47
Ich gebe jetzt mal meine Standard-Antwort, die zwar meistens nicht auf Gegenliebe stößt, aber leider der Wahrheit entspricht:


Leider ist die Standard-Antwort nicht besonders hilfreich. Wenn ein Nebenbei-Admin, der Problembewusstsein und das Interesse an persönlicher Weiterbildung zur Verbesserung zeigt, damit aufhört, übernimmt normalerweise nicht ein besser qualifizierter Admin die Aufgabe...
Ich bin selbst Nebenbei-Admin, setze mich intensiv mit der Mail-Spam-Problematik auseinander und habe natürlich auch sowohl ausgehenden Spam durch gehackte E-Mail-Konten erlebt als auch wirksame Gegenmaßnahmen ergriffen.
Gegen das Knacken von E-Mail-Accountinformationen ist man als Admin ohne massive Eingriffe in den Datenschutz relativ machtlos, denn was die Benutzer auf ihren Windows-Clients so alles treiben, liegt außerhalb unseres Einflusses.
TillP, bist du professionell in dem Bereich tätig? Hast du eigene Erfahrungen damit, wie man Spam durch gehackte Konten verhindert? Dann wären sicher einige Admins bei Yahoo, Microsoft/Hotmail usw. an deinen Kenntnissen interessiert, denn von dort kommen die allermeisten Spam-Mails über Mail-Konten, die das Mailsystem auf unserem Server abweist.
Aufgrund der realen Erfahrungen bin ich sehr viel skeptischer, was die Bewunderung der Profis für ihre Spamvermeidungs-Fertigkeiten angeht.

hoppala

TillP
12.10.2015, 11:06
TillP, bist du professionell in dem Bereich tätig?
Ich war in dem Bereich tätig, mittlerweile bin ich nur noch damit beschäftigt, Papier zu beschreiben...



Hast du eigene Erfahrungen damit, wie man Spam durch gehackte Konten verhindert? Dann wären sicher einige Admins bei Yahoo, Microsoft/Hotmail usw. an deinen Kenntnissen interessiert, denn von dort kommen die allermeisten Spam-Mails über Mail-Konten, die das Mailsystem auf unserem Server abweist.
Aufgrund der realen Erfahrungen bin ich sehr viel skeptischer, was die Bewunderung der Profis für ihre Spamvermeidungs-Fertigkeiten angeht.


Die gehackten Konten sind aber nur ein kleiner Baustein des Problems:

1) Wie werden denn diese Konten gehackt?
Durch Sicherheitslücken im Client oder bei anderen Webseiten.

2) Wie wird über ein gehacktes Konto Spam versendet?
Meistens über ein Skript, dass auf einem anderen angegriffenen System (in der Regel Webserver) liegt. Spammer nutzen gehackte Konten fast nie direkt.


Aber ich bezog mich auch im Schwerpunkt auf den zweiten Teil der Frage, nämlich den Spamversand über gehackte Webseiten/Skripte.

homer
12.10.2015, 11:29
Meistens über ein Skript, dass auf einem anderen angegriffenen System (in der Regel Webserver) liegt. Spammer nutzen gehackte Konten fast nie direkt.

Dann bist du aber schon einige Zeit raus aus der direkten Server-Administration?
Ich hab in der letzten Zeit immer wieder Mailkonten stillegen müssen, die per SMTP/Submission mir korrekten SMTP-Auth-Daten Spam verschickt haben. Selbst nach einigen Wochen(*) probieren es noch relativ viele Zombies, ihren Mist mit den alten Zugangsdaten abzukippen und wandern damit direkt in die Blacklist auf der Firewall.
Ich vermute, da ist im Netzwerk oder auf dem Client selbst ein Sniffer oder Keylogger gelaufen, der die Daten abgegriffen hat.
Von daher ist der Ansatz mit der Mailqueue-Überwachung schon mal nicht schlecht, um zumindest mal einen ersten Hinweis auf Missbrauch zu bekommen.

(*) Aktuelles Beispiel: Für ein Konto musste ich Ende August ein neues Passwort setzen. noch heute hab ich pro Stunde bis zu fünf Verbindungsversuche mit dem alten Passwort.

hoppala
12.10.2015, 11:35
Die gehackten Konten sind aber nur ein kleiner Baustein des Problems:

1) Wie werden denn diese Konten gehackt?
Durch Sicherheitslücken im Client oder bei anderen Webseiten.

2) Wie wird über ein gehacktes Konto Spam versendet?
Meistens über ein Skript, dass auf einem anderen angegriffenen System (in der Regel Webserver) liegt. Spammer nutzen gehackte Konten fast nie direkt.

Aber ich bezog mich auch im Schwerpunkt auf den zweiten Teil der Frage, nämlich den Spamversand über gehackte Webseiten/Skripte.

Ok, dem kann ich absolut zustimmen - gehackte Webseiten und CMS sind ein Hauptvehikel für den Spamversand, und da geht nix über laufende Aktualisierung und zeitnahes Einspielen von Patches. Mit entsprechendem Einsatz kann man das "nebenbei" schaffen, aber der Zeitaufwand dafür ist nicht zu unterschätzen, und wenn man das nicht leisten kann oder will, sollte es wirklich jemand tun, der das kann.

hoppala

Hippo
12.10.2015, 12:18
Mit entsprechendem Einsatz kann man das "nebenbei" schaffen, aber der Zeitaufwand dafür ist nicht zu unterschätzen, und wenn man das nicht leisten kann oder will, sollte es wirklich jemand tun, der das kann.


Ist halt dann aber auch eine Frage der Firmengröße und der zur Verfügung stehenden Manpower.
Manches hätte man gerne aber es ist halt vielleicht zu einem bestimmten Zeitpunkt weder selbst noch durch den Einsatz externer Dienstleister machbar wenns das Konto aktuell halt grad nicht hergibt.

TillP
12.10.2015, 12:25
Dann bist du aber schon einige Zeit raus aus der direkten Server-Administration?
Ich hab in der letzten Zeit immer wieder Mailkonten stillegen müssen, die per SMTP/Submission mir korrekten SMTP-Auth-Daten Spam verschickt haben. Selbst nach einigen Wochen(*) probieren es noch relativ viele Zombies, ihren Mist mit den alten Zugangsdaten abzukippen und wandern damit direkt in die Blacklist auf der Firewall.


Das meinte ich mit "Spammer versenden nicht direkt".
Es sind eben Zombies aus einem Botnetz, die sich verbinden zum versenden, aber nicht der Spammer direkt mit einem Skript, dass beim Spammer läuft.

Ralgert
16.10.2015, 19:41
<Werbung>*Glitzerstreu*
Kauft guenstigen Ralgert Strom.
Demnaechst auch in Ihrem Kabel.
</Werbung>

Ich betreibe bald ein neues AKW. Habe zwar nicht die Manpower oder nicht genuegend Kleingeld fuer die Sicherheit, aber egal, ich mache das nur Nebenbei.
:bomb: