Hallo!
Ich bekomme seit vier Tagen pro Tag mehrere tausend Mails pro Tag in mein
Postfach.
Die Mails sehen wie folgt aus:
----- The following addresses had permanent fatal errors -----
RCPT To:
<<< 550 5.1.1 ... User unknown 550 5.1.1 ... User unknown Reporting-MTA: dns; afw.squit.de Received-From-MTA: DNS; localhost Arrival-Date: Tue, 6 May 2003 14:11:04 +0200 Final-Recipient: RFC822; f17d8c35496@squit.de Action: failed Status: 5.1.1 Remote-MTA: DNS; [192.168.1.51] Diagnostic-Code: SMTP; 550 5.1.1 ... User unknown Last-Attempt-Date: Tue, 6 May 2003 14:11:04 +0200 Return-Path: <> Received: from localhost (localhost [127.0.0.1]) by afw.zenit.de (8.11.6/8.9.3/SuSE Linux 8.9.3-0.1) with ESMTP id h46CB4g31618 for ; Tue, 6 May 2003 14:11:04 +0200 Received: from granddaddy.nexternal.com ([63.108.88.100] [63.108.88.100]) by afw.squit.de (AvMailGate-2.0.1.11) id 31607-2D434C91; Tue, 06 May 2003 14:11:03 +0200 Received: by granddaddy.nexternal.com with Internet Mail Service (5.5.2656.59) id <J4JAYCB3>; Tue, 6 May 2003 05:16:13 -0700 Message-ID: From: System Administrator To: f17d8c35496@squit.de Subject: Undeliverable: wogfish unchristgan bqm o nko whfkexspx Date: Tue, 6 May 2003 05:16:13 -0700 Importance: high X-Priority: 1 MIME-Version: 1.0 X-Mailer: Internet Mail Service (5.5.2656.59) X-MS-Embedded-Report: Content-Type: multipart/mixed; boundary="----_=_NextPart_000_01C313C9.4918C595" X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.11; AVE: 6.19.0.3; VDF: 6.19.0.11; host: afw.squit.de) Your message To: lm@chappellet.com Subject: wogfish unchristgan bqm o nko whfkexspx Sent: Tue, 6 May 2003 05:26:17 -0700 did not reach the following recipient(s): LM@CHAPPELLET.COM on Tue, 6 May 2003 05:16:00 -0700 The recipient name is not recognized The MTS-ID of the original message is: c=us;a= ;p=nexternal soluti;l=GRANDMA0305061215KBPVKXSR MSEXCH:IMS:Nexternal Solutions:NEXTERNAL:GRANDMA 0 (000C05A6) Unknown Recipient
Message-ID: <3-g-7kg-8--srz@pysw.y1.h.twar>
From: Arthur Comer
Michael Paarmann sagte:
Hallo!
Ich bekomme seit vier Tagen pro Tag mehrere tausend Mails pro Tag in mein Postfach.
Die Mails sehen wie folgt aus:
----- The following addresses had permanent fatal errors -----
[snip, musste nicht wirklich sein, oder?]
Mein Mailserver steht in einer DMZ. Ich habe soweit auch alles überprüft - er ist weder gehackt worden noch erlaubt er unbefugtes Relaying. Es sieht eher so aus, als versendet jemand mit dem Absender "irgendeinen Schwachsinn"@squit.de tausende Mails pro Tag. Der Inhalt ist immer der Selbe. Allerdings stehen am Ende der Mail immer verschiedene wirre Zeichen. Möchte hier jemand den Sendmail-Bug aus dem März ausnutzen?
Da verschickt eine emails mit einer Adresse die es nicht gibt und es wird ge-bounced, an den Mailserver der Domain eben. Mail an "abuse"?
Für einen Tip wäre ich sehr dankbar.
Gruß, Michel
Gruss Michael -- http://www.cloudbase.at fon: +43-664-1458908
Hi!
[snip, musste nicht wirklich sein, oder?]
Hmm, habe ich gemacht, weil vielleicht jemand den Wortlaut der Mail erkennt.
Da verschickt eine emails mit einer Adresse die es nicht gibt und es wird ge-bounced, an den Mailserver der Domain eben. Mail an "abuse"?
Mail an abuse ? Was soll ich denn da reinschreiben? Und an wen ? Michel
Hi auch: Am Dienstag, 6. Mai 2003 14:33 schrieb Michael Paarmann:
Hallo! Ich bekomme seit vier Tagen pro Tag mehrere tausend Mails pro Tag in mein Postfach. Mein Mailserver steht in einer DMZ. Ich habe soweit auch alles uberpruft er ist weder gehackt worden noch erlaubt er unbefugtes Relaying. Es sieht eher so aus, als versendet jemand mit dem Absender "irgendeinen Schwachsinn"@squit.de tausende Mails pro Tag. Der Inhalt ist immer der Selbe. Allerdings stehen am Ende der Mail immer verschiedene wirre Zeichen.
Nun, dein Mailserver verwaltet die Domäne squit.de, die user xyz@squit.de existieren aber nicht. Also kannst du doch einen "default-user" auf deinem Mailserver einrichten, der alle Mails erhält, deren Ziel nicht existiert. Für diesen Default-User eine .procmailrc und ab damit nach /dev/null. Das rettet dir natürlich nicht deine Resourcen, die der Mailserver beim Bearbeiten verbraucht, deshalb könntest du vielleicht nachsehen, von wem dir der ganze Kram angeliefert wird. Wenn das immer von demselben Mailserver zu dir kommt, könntest du den ja auf deine Blacklist setzen und nix mehr von ihm annehmen? Bernd -- One OS to rule them all, one OS to find them. One OS to bring them all, and in the darkness bind them In the land of Redmond, where the shadows lie.
Hallo! Danke für Deine Antwort.
Also kannst du doch einen "default-user" auf deinem Mailserver einrichten, der alle Mails erhält, deren Ziel nicht existiert. Für diesen Default-User eine .procmailrc und ab damit nach /dev/null.
Dann sehe ich die Mails nur nicht, aber das Problem ist ja weiter existent.
Wenn das immer von demselben Mailserver zu dir kommt, könntest du den ja auf deine Blacklist setzen und nix mehr von ihm annehmen?
Nee, es sind so gut wie immer verschiedene Mailserver, von denen die Mails kommen. Sieht so aus, als müßte ich mit den Tonnen von Mails leben. Oder hat jemand noch einen Tipp? Gruß, Michel
* On Tue, 06 May 2003 at 15:36 +0200, Michael Paarmann wrote: [R.I.P.]
Also kannst du doch einen "default-user" auf deinem Mailserver einrichten, der alle Mails erhält, deren Ziel nicht existiert. Für diesen Default-User eine .procmailrc und ab damit nach /dev/null.
Dann sehe ich die Mails nur nicht, aber das Problem ist ja weiter existent.
Das Problem heisst Spam. Wenn Du eine wirksame Lösung findest, um dieses Problem ein für alle Mal aus der Welt zu schaffen, kannst Du Dir für den Rest Deines Lebens eine Südsee-Insel kaufen. Spammer werden immer dreister, und offene Mail-Relays, Proxies, etc. werden leider auch nicht gerade weniger. Eine relativ effektive Abhilfe ist aber, Mails, die aus asiatischen IP-Bereichen kommen, generell abzulehnen. Sorry, mehr Abhilfe, als das Zeug zu ignorieren, kann ich leider nicht anbieten. /apm -- GPG welcome, request public key: mailto:adalbert+key@lopez.at
Hi, ich nochmal... Am Dienstag, 6. Mai 2003 15:56 schrieb Adalbert Michelic:
* On Tue, 06 May 2003 at 15:36 +0200, Michael Paarmann wrote: [R.I.P.]
Also kannst du doch einen "default-user" auf deinem Mailserver einrichten, der alle Mails erhält, deren Ziel nicht existiert. Für diesen Default-User eine .procmailrc und ab damit nach /dev/null.
Dann sehe ich die Mails nur nicht, aber das Problem ist ja weiter existent.
Das Problem heisst Spam. Wenn Du eine wirksame Lösung findest, um dieses Problem ein für alle Mal aus der Welt zu schaffen, kannst Du Dir für den Rest Deines Lebens eine Südsee-Insel kaufen. Spammer werden immer dreister, und offene Mail-Relays, Proxies, etc. werden leider auch nicht gerade weniger.
Ack Vielleicht ist das ja zu naiv, aber könntest du nicht den Weg der Mails rückverfolgen? Gut du sagst, du erhälst die Mails von verschiedenen Servern, aber in dem Fall fungieren die doch alle als Relay. Eine Mail an deine Domain hat direkt an deinen Mailserver und nicht über irgendwelche anderen Relais zu hüpfen oder? Also mail die admins der Mailserver mal an. Einige werden sich über den Hinweis freuen, denn viele wissen ja gar nicht, das sie Relais sind. Ich erinnere mich über grosse Aufregung in unserer IV-Abteilung, als unser hauseigener Mailserver plötzlich als Relais entlarvt und auf die Blacklist gesetzt wurde. Das gibt in einem seriösen Unternehmen ganz schön Ärger. Daher werden normale Admins sicher gern mit die zusammenarbeiten und die Spam-Quelle finden wollen. Und die die es nicht wollen meldest du halt als Relais und ab auf die Blacklist. GL, Bernd -- One OS to rule them all, one OS to find them. One OS to bring them all, and in the darkness bind them In the land of Redmond, where the shadows lie.
Ahoi! Ich noch mal...
Vielleicht ist das ja zu naiv, aber könntest du nicht den Weg der Mails rückverfolgen? Gut du sagst, du erhälst die Mails von verschiedenen Servern, aber in dem Fall fungieren die doch alle als Relay.
Puh, das sind mittlerweile mehr als tausend verschiedene Mailserver. Ich glaube die Relayen garnicht, sondern irgendjemand schickt wie irre Mails zu denen. Der eigentliche Empfänger ist nicht vorhanden und der Absender hat halt meine Domain. Folgerichtig bekomme ich als Postmaster eine Mail, dass der andere Server die Mail ablehnt. Also kein Relaying.
Ich erinnere mich über grosse Aufregung in unserer IV-Abteilung, als unser hauseigener Mailserver plötzlich als Relais entlarvt und auf die Blacklist gesetzt wurde. Das gibt in einem seriösen Unternehmen ganz schön Ärger.
He he, ist mir auch schon mal passiert. Peinlich, peinlich.
Daher werden normale Admins sicher gern mit die zusammenarbeiten und die Spam-Quelle finden wollen. Und die die es nicht wollen meldest du halt als Relais und ab auf die Blacklist.
Ich tu mein Bestes. Danke.
GL, Bernd
Am Dienstag, 6. Mai 2003 17:10 schrieb Michael Paarmann:
Puh, das sind mittlerweile mehr als tausend verschiedene Mailserver.
Hm, ob das der Grund dafür ist, dass ich seit 17:30 vom Internet abgeschnitten bin, T-DSL ist Tod hier. Naja, wenn die Mail in der Liste ankommt, wisst Ihr, dass ich wieder online bin ;-) -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de
Am Dienstag, 6. Mai 2003 14:33 schrieb Michael Paarmann:
Hallo!
Ich bekomme seit vier Tagen pro Tag mehrere tausend Mails pro Tag in mein Postfach. [schnippschnapp] Mein Mailserver steht in einer DMZ. Ich habe soweit auch alles überprüft - er ist weder gehackt worden noch erlaubt er unbefugtes Relaying. Es sieht eher so aus, als versendet jemand mit dem Absender "irgendeinen Schwachsinn"@squit.de tausende Mails pro Tag. Der Inhalt ist immer der Selbe. Allerdings stehen am Ende der Mail immer verschiedene wirre Zeichen. Möchte hier jemand den Sendmail-Bug aus dem März ausnutzen?
Jemand verschickt Spam mit gefälschter Absenderadresse (deine Domain). Das bedeutet: Alle Bounces gehen an deinen Server (obwohl du und dein Server unschuldig seid). Ein Haufen Leute werden glauben, dass die Mails von dir kommen, du kannst dich also schon mal auf Beschwerden gefasst machen. Siehe dazu auch diesen Thread: news:b8im8h$a7gnk$1@ID-43225.news.dfncis.de Speziell diesen Artikel: news:3eace093$1@e-post.inode.at Gruß, Daniel
Hallo Michael, hallo Leute, Am Dienstag, 6. Mai 2003 14:33 schrieb Michael Paarmann:
Ich bekomme seit vier Tagen pro Tag mehrere tausend Mails pro Tag in mein Postfach.
*aua* Wie schon von anderen geschrieben, scheint da jemand Spam mit Deiner Absenderdomain zu verschicken :-(
Die Mails sehen wie folgt aus:
----- The following addresses had permanent fatal errors ----- [Bounce-Nachricht, da Empfänger unbekannt]
Hast Du die Received-Header der folgenden Spam-Mail irgendwo? (sollte wohl in einem der Bounces zu finden sein, Auswahl genug hast Du ja *duck*) Daran könnte man nämlich den Weg des Spam zurückverfolgen.
Message-ID: <3-g-7kg-8--srz@pysw.y1.h.twar> From: Arthur Comer
To: lm@chappellet.com Subject: wogfish unchristgan bqm o nko whfkexspx Date: Tue, 6 May 2003 05:26:17 -0700 [...] Dear Webmaster, [...]
BTW: diese Mail ist noch gar nicht in meiner Spam-Sammlung ;-)
Der Inhalt ist immer der Selbe. Allerdings stehen am Ende der Mail immer verschiedene wirre Zeichen. Möchte hier jemand den Sendmail-Bug aus dem März ausnutzen?
Nö, ich schätze eher, dass das eine "Unique ID" für jede Mail ist. Gruß Christian Boltz PS: keine Zufallssig --
Leider Gottes ist es so, daß wenn man einen Spammer zu Strecke gebracht hat, dafür drei neue auftauchen. Das ist wie bei den Fliegen. Schlägst Du eine Tot, kommen 40 zur Beerdigung. ;) [> Martin Mewes und Michael Raab in suse-linux]
Hallo, On Tue, May 06, 2003 at 02:33:24PM +0200, Michael Paarmann wrote:
Hallo!
Ich bekomme seit vier Tagen pro Tag mehrere tausend Mails pro Tag in mein Postfach.
Viel tun kannst du effektiv nicht. Jemand verschickt mit deiner Domain als gefälschtem Absender SPAM Mails, die dann nicht zugestellt werden können, weil ein Spammer meistens an relativ ungeprüfte Adressen mailt. Das ist so wie wenn jemand mit deiner Adresse Postwerbung verschickt und du bekommst die ganzen nicht zustellbaren Retouren. Sowas haben wir auch schon ein paarmal erlebt - meistens verwendet der Spammer bei nächsten Mailing eine ander Domain im gefälschtem Absender, dann ist wieder Ruhe. Etwas Linderung kannst du durch die Analyse der versendeten E-Mails er- zielen. Wenn du die wahre Quelle findest und die sich nicht ändert kannst du versuchen dorthin eine Abuse-Mail zu schreiben und um Gegen- massnahmen bitten. Du kannst auch versuchen Ihnen anzudrohen, dass du den entstandenen Schaden geltend machen wirst. Ob das rechtlich dann wirklich durchzusetzen ist, bleibt dabei aber die Frage. In diesem Fall wird der Spammer aber auf eine andere Maschine ausweichen und das Spiel geht von vorne los. Gruß, Jan -- Jan Theofel Fon: +49 (7 11) 48 90 83 - 0 ETES - EDV-Systemhaus GbR Fax: +49 (7 11) 48 90 83 - 50 Libanonstrasse 58 A * D-70184 Stuttgart Web: http://www.etes.de ______________________________________ Inflex - eMail Scanning and Protection Queries to: postmaster@etes.de
* Jan Theofel schrieb am 07.Mai.2003:
Viel tun kannst du effektiv nicht. Jemand verschickt mit deiner Domain als gefälschtem Absender SPAM Mails, die dann nicht zugestellt werden können, weil ein Spammer meistens an relativ ungeprüfte Adressen mailt. Das ist so wie wenn jemand mit deiner Adresse Postwerbung verschickt und du bekommst die ganzen nicht zustellbaren Retouren.
Sowas haben wir auch schon ein paarmal erlebt - meistens verwendet der Spammer bei nächsten Mailing eine ander Domain im gefälschtem Absender, dann ist wieder Ruhe.
Etwas Linderung kannst du durch die Analyse der versendeten E-Mails er- zielen. Wenn du die wahre Quelle findest und die sich nicht ändert kannst du versuchen dorthin eine Abuse-Mail zu schreiben und um Gegen- massnahmen bitten. Du kannst auch versuchen Ihnen anzudrohen, dass du den entstandenen Schaden geltend machen wirst. Ob das rechtlich dann wirklich durchzusetzen ist, bleibt dabei aber die Frage.
In diesem Fall wird der Spammer aber auf eine andere Maschine ausweichen und das Spiel geht von vorne los.
Das höhrt sich ja alles ganz schrecklich an. Ist es da nicht ratsam auf jeden Fall Anzeige gegen Unbekannt zu stellen? Schon allein, um sich juristischen Ärger Seitens der angeschriebenen vom Hals zu halten? Kann doch sein, daß da das ein oder andere doch ankommt. Bernd -- Alle meine Signaturen sind rein zufällig und haben nichts mit dem Text oder dem Schreiber zu tun, dem ich antworte. Falls irgendwelche Unrichtigkeiten dabei sein sollten, so bedauere ich das. Es wäre nett, wenn Du mich benachrichtigen würdest. |Zufallssignatur 0
Hallo, On Wed, May 07, 2003 at 02:30:22PM +0200, Bernd Brodesser wrote:
* Jan Theofel schrieb am 07.Mai.2003:
Etwas Linderung kannst du durch die Analyse der versendeten E-Mails er- zielen. Wenn du die wahre Quelle findest und die sich nicht ändert kannst du versuchen dorthin eine Abuse-Mail zu schreiben und um Gegen- massnahmen bitten. Du kannst auch versuchen Ihnen anzudrohen, dass du den entstandenen Schaden geltend machen wirst. Ob das rechtlich dann wirklich durchzusetzen ist, bleibt dabei aber die Frage.
In diesem Fall wird der Spammer aber auf eine andere Maschine ausweichen und das Spiel geht von vorne los.
Das höhrt sich ja alles ganz schrecklich an. Ist es da nicht ratsam auf jeden Fall Anzeige gegen Unbekannt zu stellen? Schon allein, um sich juristischen Ärger Seitens der angeschriebenen vom Hals zu halten? Kann doch sein, daß da das ein oder andere doch ankommt.
Ich bin zwar kein Rechtsanwalt, aber so ein paar Dinge kann man sich auch ohne dieses Wissen recht leicht an seinen Fingern abzählen: Der Spammer sitzt aller Wahrscheinlichkeit im Ausland. Wir bekommen in letzter Zeit viel SPAM aus Korea und China. Da wird man kaum eine Chance haben. Besser sieht es da inzwischen z.B. in USA Virginia aus: Dort gibt es bis zu 5 Jahre Haft... siehe: http://www.heise.de/newsticker/data/wst-30.04.03-000/ Wenn sich jemand beschwert reicht es ein Standard-Mail fertigzumachen, welches man den Leuten zuschickt. Da erklärt man, dass man nicht der Absender ist, das es sehr leicht ist diesen zu fälschen (am besten schickt man diese E-Mail mit der Empfängeradresse auch als Absender um das gleich zu zeigen ;-) und so weiter. Das ein Geschädigter Anzeige erstattet halte ich für unwahrscheinlich. Wenn doch dürften es Leute sein, die Wissen, dass die Absenderadresse gefälscht ist. Ich würde daher versuchen den Urheber zu ermitteln und entsprechende Be- schwerden an dessen ISP/Hoster senden. Wirksam ist auch häufig eine Be- schwerde beim Hoster der beworbenen Domain o.ä. Eine Anzeige gegen Unbekannt wird vermutlich zu keinem Erfolg führen, es sei denn der Verursacher sitzt in Deutschland. Gruß, Jan -- Jan Theofel Fon: +49 (7 11) 48 90 83 - 0 ETES - EDV-Systemhaus GbR Fax: +49 (7 11) 48 90 83 - 50 Libanonstrasse 58 A * D-70184 Stuttgart Web: http://www.etes.de ______________________________________ Inflex - eMail Scanning and Protection Queries to: postmaster@etes.de
participants (9)
-
Adalbert Michelic
-
B.Brodesser@t-online.de
-
Bernd Tannenbaum
-
Christian Boltz
-
Daniel Zwick
-
Jan Theofel
-
Manfred Tremmel
-
Michael Karges
-
Michael Paarmann