Hi! Ich habe jetzt ein etwas größeres SPAM Problem... Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains! Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann? Die Mails kommen wohl über einen ausländischen Server ins System - Mein Mailserver ist def. nicht betroffen. Im Augenblick sehe ich nur die Möglichkeit, diese Meldungen zu ignorieren oder die generelle Weiterleitung aller Mails dieser Domain an mich wieder weg zu nehmen (Dann wären die Antwort-Mails nicht zustellbar und ich würde nur noch Meldungen im Logfile sehen ...) Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :) Mit den besten Grüßen, Konrad -- Konrad Neitzel Mobile: +49 (172) 689 31 45
Konrad Neitzel schrieb:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Dagegen kannst Du eigentlich so gut wie gar nichts machen. Wir haben aehnliche Probleme hier. Bei mir laufen zudem noch staendig Virenwarnungen ein, die automatisch generiert wurden, weil meine Adresse als Return-Adresse verwendet wurde als sich der Virus von einem befallenen System selbst verschickt hat. Die Leute, die solche Mails dann erhalten, raffen leider nicht, dass der entsprechende Virus ueberhaupt nicht von mir kam... Nun ja, ich hoffe, das ebbt langsam wieder ab mit den Viren. So am Rande vermerkt: Hier an der Uni wurden im Monat August ca. 400.000 Viren(!) in Emails abgefangen... CU, Th.
On Fri, 12 Sep 2003 23:38:41 +0200, Thomas Hertweck wrote
Dagegen kannst Du eigentlich so gut wie gar nichts machen.
Naja - mindestens einer von DOMAINFACTORY-DE ist jetzt tot. Totgelacht, weil ich mit rechtlichen Schritten gedroht habe :) Und ich bekomme noch ein paar SPAM-eMails mehr. Wobei: Da ich ca. 50 SPAM eMail am Tag bekomme bin ich sicher, dass die meine Adresse auch schon hatten :)
Wir haben aehnliche Probleme hier. Bei mir laufen zudem noch staendig Virenwarnungen ein, die automatisch generiert wurden, weil meine Adresse als Return-Adresse verwendet wurde als sich der Virus von einem befallenen System selbst verschickt hat. Die Leute, die solche Mails dann erhalten, raffen leider nicht, dass der entsprechende Virus ueberhaupt nicht von mir kam... Nun ja, ich hoffe, das ebbt langsam wieder ab mit den Viren. So am Rande vermerkt: Hier an der Uni wurden im Monat August ca. 400.000 Viren(!) in Emails abgefangen...
Argh ... das ist heftig. Aber da stecken ja auch eine entsprechend grosse Menge User dahinter. Und das mit dem Viren verstehe ich ja noch, da der Virus ja zwei Adressen aus dem Adressbuch nimmt - eine als Ziel und eine als Absender. Aber das mit dem SPAM ist ja böswillig und macht mich wirklich sauer. So lösche ich derzeit weit über 100 Rückmeldungen! Und die Rückmeldungen schaue ich mir meist noch an, da es ja ein Problem eines Kunden sein könnte und die müsste ich schnellstmöglich beheben. (Angenommen ich wäre irgendwo gelistet oder so. Wäre fatal!) Und noch eines: Wenn jemand billig Viagra haben will: Ich kenne die Bezugsmöglichkeiten mitlerweile auswendig. Oder hat hier jemand einen zu "kleinen"??? *grummel* Mit den besten Grüßen, Konrad Neitzel PS: Ja ja ... ich weiss ... die Leute meinen es nur gut mit mir. Das sind in wirklichkeit keine Spammer sondern nur die Entwickler von diesem Open Source Produkt SpamAs...(Name fällt mir gerade nicht ein!). Die wollen, dass ich das auch installiere :) ==> Würde natürlich SCO behaupten, denn Open Source ist ja das größte Übel aller Zeiten! Mit den besten Grüßen Konrad -- Konrad Neitzel Mobile: +49 (172) 689 31 45
Konrad Neitzel schrieb:
Und ich bekomme noch ein paar SPAM-eMails mehr. Wobei: Da ich ca. 50 SPAM eMail am Tag bekomme bin ich sicher, dass die meine Adresse auch schon hatten :)
Einmal SPAM, immer SPAM. Wenn Deine Adresse einmal irgendwo bekannt wurde und Du SPAM erhaeltst, dann kommt meist noch viel mehr nach. Leider sind so Tips wie "Provider anschreiben" manchmal nicht wirk- lich hilfreich: Erstens muss man die Header von Emails sehr genau analysieren, um herauszufinden, wo eine SPAM-Email wirklich herkommt (und das kann aufwendig sein), und zweitens interessiert es chine- sische Provider anscheinend keinen Deut, wenn sich bei denen jemand ueber SPAM von ihren Kunden beschwert - vielleicht verdienen sie auch daran mit, man weiss es ja nie...
[...] Argh ... das ist heftig. Aber da stecken ja auch eine entsprechend grosse Menge User dahinter. Und das mit dem Viren verstehe ich ja noch, da der Virus ja zwei Adressen aus dem Adressbuch nimmt - eine als Ziel und eine als Absender.
Sicherlich gibt es bei uns jede Menge User, aber eingehende 400.000 Viren in einem Monat abgefangen ist auch fuer hier nicht der Regel- fall :-) Der Monat August war da extrem. Unschoen bleibt dabei ein- fach, dass - wie Du selbst erfahren musstest - viele Leute nicht verstehen, dass so eine Viren-Mail (oder lass es auch eine SPAM-Mail sein) nicht von der Adresse kommt, die sie in ihrem MUA sehen und der dort angezeigt wird. Dementsprechend beschweren sich dann manche Leu- te bei den voellig falschen Personen.
Aber das mit dem SPAM ist ja böswillig und macht mich wirklich sauer. So lösche ich derzeit weit über 100 Rückmeldungen!
Siehe oben. Dagegen kannst Du aber kaum etwas machen.
Und die Rückmeldungen schaue ich mir meist noch an, da es ja ein Problem eines Kunden sein könnte und die müsste ich schnellstmöglich beheben. (Angenommen ich wäre irgendwo gelistet oder so. Wäre fatal!)
Von solchen Listen halte ich ueberhaupt nichts, solange Header von Emails so leicht zu faelschen sind. Da geraten mit Sicherheit viele unschuldige Leute auf solche Listen.
Und noch eines: Wenn jemand billig Viagra haben will: Ich kenne die Bezugsmöglichkeiten mitlerweile auswendig.
Ja, das geht uns hier genau so. Zumindest hilft Spamassassin, die Mails leicht filtern zu koennen - das macht es ertraeglicher, aber ist natuerlich auch nur eine Reaktion, keine Aktion gegen Spammer. Beim Beschweren solltest Du extrem vorsichtig sein und das nur tun, wenn Du absolut sicher bist, woher die Email wirklich kommt. Oft ist das gar nicht so einfach herauszufinden und es Bedarf einer guten Analyse. Im Gegensatz zu Briefpost hat ein SPAMmer kaum Mehraufwand, wenn er seine Mails irgendwo auf der grossen weiten Welt ueber ein offenes Relay einliefern will - er muss ja da gar nicht wirklich hin- reisen. Die Analyse der Headerzeilen der Mails endet dann oft bei dem jeweiligen Server ohne dass man an brauchbare Informationen kommt. Vom Aufwand, das alles zurueck zu verfolgen mal ganz abgesehen. Hier mal ein Beispiel fuer einen Header: ====================================================================== Return-path: <tarnadresse@fantasy.net> Envelope-To: <rzxy@rz.uni-karlsruhe.de> Received: from localhost (exim@[127.0.0.1]) by mailhost.rz.uni-karlsruhe.de with spam-scanned (Exim 3.36 #1) id 19aVG9-0005Jx-00 for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 08:50:29 +0200 Received: from mail.duncanthrax.net (root@foobar.duncanthrax.net [217.115.139.137]) by mailhost.rz.uni-karlsruhe.de with esmtp (Exim 3.36 #1) id 19aVG7-0005JY-00 for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 08:50:27 +0200 Received: from mailflt (helo=exilist)) by mail.duncanthrax.net with local-bsmtp (Exim 4.20) id 19aVG6-0006CE-IF for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 08:50:26 +0200 Received: from [204.244.50.131] (helo=mail.mercuryfilmworks.com) by mail.duncanthrax.net with esmtp (Exim 4.20) id 19aVG1-0006C0-4g for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 08:50:21 +0200 Received: from h24-85-168-87.vn.shawcable.net ([24.85.168.87] helo=odin) by mail.mercuryfilmworks.com with asmtp (Exim 4.10) id 19aVQj-0004QT-00 for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 00:01:25 -0700 Received: from free.fr (montpellier-1-a7-62-147-83-226.dial.proxad.net [62.147.83.226]) by postfix4-1.free.fr (Postfix) with ESMTP id B44C539E90 From: "Tarni" <tarnadresse@fantasy.net> To: <mustermann@rz.uni-karlsruhe.de> Subject: Beispiel eines kompletten Headers Date: Wed, 7 Jul 2003 23:50:17 +0200 CES Message-ID: <002701c346af$863cab90$0a0200c0@falscheanga.be> MIME-Version: 1.0 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit X-Priority: 3 (Normal) X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook, Build 10.0.2627 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165 Importance: Normal ====================================================================== Und nun sag mir mal, woher die Mail wirklich kam... :-) Ist natuer- lich noch ein einfaches Beispiel, aber es verdeutlicht, dass man sehr aufpassen muss, bei wem man sich beschwert. Wen wuerdest denn Du nun anschreiben? CU, Th.
Hallo Thomas, nur mal als Kontrolle, ob ich den Header richtig verstanden habe. Am Samstag, 13. September 2003 12:12 schrieb Thomas Hertweck:
Und nun sag mir mal, woher die Mail wirklich kam
Gehe ich recht in der Annahme, daß dies die entscheidende Zeile ist? Received: from free.fr (montpellier-1-a7-62-147-83-226.dial.proxad.net [62.147.83.226]) by ... Dann müßte doch der Postmaster diser Adresse (oder des dazu gehörigen Netzes - vermutlich herauszufinden mit Whois) der Adressat der Beschwerde sein, oder? Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Heimo Ponnath schrieb:
nur mal als Kontrolle, ob ich den Header richtig verstanden habe. Am Samstag, 13. September 2003 12:12 schrieb Thomas Hertweck:
Und nun sag mir mal, woher die Mail wirklich kam
Gehe ich recht in der Annahme, daß dies die entscheidende Zeile ist?
Received: from free.fr (montpellier-1-a7-62-147-83-226.dial.proxad.net [62.147.83.226]) by ...
Dann müßte doch der Postmaster diser Adresse (oder des dazu gehörigen Netzes - vermutlich herauszufinden mit Whois) der Adressat der Beschwerde sein, oder?
[X] Der Kandidat hat Null Punkte. Du haettest Dich hiermit beim falschen Provider beschwert. Das ist es, was ich meinte mit meiner Aussage, man muss genau aufpassen, bei wem man sich beschwert und den Header genau analysieren... :-) CU, Th.
Oh, oh, Thomas, Am Samstag, 13. September 2003 12:37 schrieb Thomas Hertweck:
[X] Der Kandidat hat Null Punkte.
Gibst Du bitte nach einiger Zeit die Auflösung bekannt? Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Heimo Ponnath schrieb:
Am Samstag, 13. September 2003 12:37 schrieb Thomas Hertweck:
[X] Der Kandidat hat Null Punkte.
Gibst Du bitte nach einiger Zeit die Auflösung bekannt?
Da das hier wohl langsam OT wird und nicht mehr wirklich viel mit Linux zu tun hat (obwohl es natuerlich ein interessantes und wichtiges Thema ist), hier nur eine Stellungnahme; weite- re Kommentare vielleicht besser per PM: Du musst unterscheiden zwischen Message- und Envelope-Headers. Message-Headers koennen vom Sender beeinflusst werden und da- mit quasi beliebig gefaelscht werden. So kannst Du z.B. den Headern From, From: und To: nicht trauen, ebenso wenig den ganzen X-Headern. Manche finden es dann cool, die Header von Emails aufzublasen mit Infos, die keinen interessieren, wie z.B. X-Uptime: mit der Uptime des Systems, von der aus die Email verschickt wurde oder X-Warning: mit mehr oder weniger sinnfreien Spruechen dahinter oder Keywords, die Scanner an- sprechen sollen. Alles unnoetig und fuer das Senden der Mail irrelevant. Sobald eine Mail den Spammer verlassen hat, hat er keine Moeg- lichkeit mehr, die Mail auf ihrem Weg zu beeinflussen - alle Verschleierungsmassnahmen muessen also durch den Spammer vor oder beim Absenden durchgefuehrt werden. Das wichtigste Mittel zur Analyse sind die Received: Headers. Jeder in den Transport der Mail involvierte Mail-Server fuegt eine derartige Zeile ueber der Received: Zeile des vorherigen Servers ein. Die letzte (und juengste) Received: Zeile steht also oben, die aelteste unten. Du musst die Received: Eintrae- ge nun von oben nach unten auf ihre Plausibilitaet pruefen, denn - und das ist der Trick an der Geschichte - die unter- sten Received: Zeilen koennen gefaelscht sein. In Wahrheit sind es gar keine Received: Zeilen, sondern sie wurden bereits vom Spammer vor dem Absenden generiert und gehoeren zum Message- Header. Findest Du eine Received: Zeile, die inkonsistent und gefaelscht ist, so sind alle Received: Zeilen darunter garan- tiert auch gefaelscht. Zu dem Beispiel, was ich gepostet hatte: Alle Header-Infos unterhalb der letzten Received-Zeile koennen auf alle Faelle beliebig durch den Sender gesetzt werden und dem ist somit nicht zu trauen. Schauen wir mal auf die ersten beiden (also untersten) Received: Eintraege: Received: from h24-85-168-87.vn.shawcable.net ([24.85.168.87] helo=odin) by mail.mercuryfilmworks.com with asmtp (Exim 4.10) id 19aVQj-0004QT-00 for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 00:01:25 -0700 Received: from free.fr (montpellier-1-a7-62-147-83-226.dial.proxad.net [62.147.83.226]) by postfix4-1.free.fr (Postfix) with ESMTP id B44C539E90 Die unterste Received: Zeile war gefaelscht, d.h. sie wurde bereits vom Spammer als oberste Zeile im Message-Header einge- fuegt, um den wahren Ursprung der Mail zu verschleiern. Je mehr Muehe sich ein Spammer macht (evtl. auch mehrere Received: Header einfuegt), desto schwieriger wird es, das alles zu ent- tarnen. Die erste wirkliche Received: Zeile ist demnach eigent- lich Received: from h24-85-168-87.vn.shawcable.net ([24.85.168.87] helo=odin) by mail.mercuryfilmworks.com with asmtp (Exim 4.10) id 19aVQj-0004QT-00 for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 00:01:25 -0700 Du kannst das erkennen, weil die letzte Received: Zeile eigent- lich nicht passt. Es muesste ein Eintrag sein, wie die Mail zu h24-85-168-87.vn.shawcable.net gelangt ist. Stattdessen sagt die Zeile, wie die Mail zu postfix4-1.free.fr geliefert wurde. Es fehlt also die Verbindung zwischen dem Server postfix4-1.free.fr und dem Server h24-85-168-87.vn.shawcable.net, die aus zwei voel- lig verschiedenen IP-Bereichen kommen, wenn ich das richtig sehe. Ferner muesste man mal schauen, ob der Name, mit dem sich der einliefernde Rechner identifiziert hat (free.fr) zu dem passt, was durch Reverse DNS herausgefunden wurde, das ist die Angabe in Klammern. Theoretisch koennte auch die zweitletzte Received: Zeile gefaelscht gewesen sein, das laesst sich nicht 100% ausschliessen. Sie sieht jedoch konsistent aus: Der Server mail.mercuryfilmworks.com mit der Software Exim in Version 4.10 hat von h24-85-168-87.vn.shawcable.net mit der IP 24.85.168.87 eine Mail bekommen und ihr die interne ID 19aVQj-0004QT-00 zugewiesen. Die IP und der Name passen zusammen, wie man leicht herausfinden kann, der einliefernde Server hat sich also korrekt zu erkennen gegeben - stimmen IP und Name nicht ueberein, so deutet das schwer darauf hin, dass hier manipuliert wurde beim Einliefern der Mail. SMTP ist in dieser Hinsicht leider nicht besonders sicher. Mit der ID kannst Du uebrigens nichts an- fangen, die wird auf der Maschine generiert und kann auch nur dort in den Logs ausgewertet werden. Was allerdings etwas verwundert, ist die anscheinend recht lange Verweildauer, ehe die Mail weiter ausgeliefert wurde. Willst Du Dich also ueber SPAM beschweren, so darfst Du nicht den Provider in der untersten Received: Zeile anschreiben, sondern musst den aus der zweituntersten Received: Zeile nehmen. Wie Du siehst ist es mitunter echter Aufwand, den wahren Einlieferungsort der Mail herauszufinden, um dann einen Provider anschreiben zu koennen. Und das Beispiel hier ist noch relativ harmlos :-) HTH, Thomson
Am Samstag, 13. September 2003 17:57 schrieb Thomas Hertweck:
Da das hier wohl langsam OT wird und nicht mehr wirklich viel mit Linux zu tun hat (obwohl es natuerlich ein interessantes und wichtiges Thema ist), hier nur eine Stellungnahme; weite- re Kommentare vielleicht besser per PM:
Danke ! Erst einmal kopiert. Daraus mache ich mal nen Info Text fuer meine Webseite (wenn ich alles verstanden habe *G*). cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Uff, Thomas, Am Samstag, 13. September 2003 18:57 schrieb Thomas Hertweck:
Wie Du siehst ist es mitunter echter Aufwand, den wahren Einlieferungsort der Mail herauszufinden, um dann einen Provider anschreiben zu koennen.
das ist ja schon fast kriminalistische Arbeit. Vielen Dank für die umfassende Darstellung - auch OTs können gelegentlich ganz wertvoll sein. Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Hallo, Am Sat, 13 Sep 2003, Thomas Hertweck schrieb: [..]
Received: from h24-85-168-87.vn.shawcable.net ([24.85.168.87] helo=odin) by mail.mercuryfilmworks.com with asmtp (Exim 4.10) id 19aVQj-0004QT-00 for mustermann@rz.uni-karlsruhe.de; Thu, 10 Jul 2003 00:01:25 -0700 Received: from free.fr (montpellier-1-a7-62-147-83-226.dial.proxad.net [62.147.83.226]) by postfix4-1.free.fr (Postfix) with ESMTP id B44C539E90 [..] Und nun sag mir mal, woher die Mail wirklich kam... :-)
Von einem Kunden von shawcable.net? Zumindest legt das das Received von mercuryfilmworks nahe, die vermutlich das offene Relay sind. -dnh -- This reminds me of a colleague a few days ago who turned to me and asked in a bit of a hushed voice: "what's the politically acceptable name for a clitmouse?" -- Matt, in the Monastery
From: thertw@rz.uni-karlsruhe.de [mailto:thertw@rz.uni-karlsruhe.de]On
Konrad Neitzel schrieb:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Das habe ich hier leider auch (gehabt bis eben)
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Dagegen kannst Du eigentlich so gut wie gar nichts machen.
Mir wurden seit gestern auch zwei Adressen mit MAILER-DAEMON- Meldungen zugepflastert. Hauptsächlich handelte es sich um meine info@-Adresse. Ich habe dem Spuk ein Ende gesetzt, indem ich diese Adresse gecancelled und durch eine andere Adresse er- setzt habe. Daß das funktioniert, habe ich natürlich gleich aus- probiert, indem ich an die alte Adresse eine Test-Mail geschickt habe. Diese Mail wurde allerfeinst als unzustellbar abgewiesen. Nun ist erstmal Ruhe auf dem Kanal. Gehostet wurde das bei 1&1. Das soll jetzt keine Werbung sein. Meine andere betroffene Adresse wird bei Strato gehostet. Dort wird im Administrations- bereich folgende Stellungnahme abgegeben: <Zitat> 12.09.03 Sehr geehrte STRATO Kundin, sehr geehrter STRATO Kunde, vielen Dank für Ihre Nachricht. Wir nehmen Ihr Anliegen sehr ernst und bedauern, dass Sie Unannehmlichkeiten hatten. In den letzten Tagen wurden unter der STRATO-Absenderadresse (z.B. Ein_Name@strato.de) E-Mails versendet, die nicht von uns stammten. Es kann auch sein, dass unter der Absenderadresse Ihrer Domain Ein_Name@wunschname.de E-Mails versendet wurden, die nicht von Ihnen stammten. Es handelt sich um E-Mails mit einer gefälschten Absender-Adresse, deren Inhalt unstatthaft bzw. unanständig ist (in der Fachsprache nennt man solche E-Mails "SPAM"). Diese E-Mail-Fälschungen sind strafbar und wir prüfen rechtliche Schritte gegen den Absender dieser E-Mails. Unser Rechenzentrum hat ebenfalls Gegenmaßnahmen eingeleitet. Wir wollen Ihnen nochmals versichern, dass STRATO zu keiner Zeit Ausgangspunkt oder Veranlasser dieser unstatthaften Mails war; wir sind wie Sie Opfer dieser Attacke. Wir bitten um Ihr Verständnis. Hier zu Ihrer Hilfe, ein Link zu unserem FAQ-System: </Zitat> Der Link führt allerdings zu einigen Allerweltshinweisen, die auch nicht weiterhelfen. Besser wäre es, wenn Strato (und alle anderen Provider) unzustellbare Mails nicht einfach dem Hauptpostfach zuord- nen, sondren. ebenfalls zurückschicken würden. Oder gibts da andere Meinungen?
Wir haben aehnliche Probleme hier. Bei mir laufen zudem noch staendig Virenwarnungen ein, die automatisch generiert wurden, weil meine Adresse als Return-Adresse verwendet wurde als sich der Virus von einem befallenen System selbst verschickt hat.
Woher die Ursache hier stammt, kann ich nicht sagen. Hier gibt es jedenfalls keine befallenen Rechner.
Die Leute, die solche Mails dann erhalten, raffen leider nicht, dass der entsprechende Virus ueberhaupt nicht von mir kam... Nun ja, ich hoffe, das ebbt langsam wieder ab mit den Viren.
Ein Traum, der wohl leider noch lange nicht wahr werden wird.
So am Rande vermerkt: Hier an der Uni wurden im Monat August ca. 400.000 Viren(!) in Emails abgefangen...
Au-ha Gruß Martin (aus'm Urlaub)
Martin Falley am Samstag, 13. September 2003 22:08:
From: thertw@rz.uni-karlsruhe.de [mailto:thertw@rz.uni-karlsruhe.de]On
Konrad Neitzel schrieb:
[...] Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Dagegen kannst Du eigentlich so gut wie gar nichts machen.
... Meine andere betroffene Adresse wird bei Strato gehostet. Dort wird im Administrations- bereich folgende Stellungnahme abgegeben:
<Zitat>
12.09.03 Sehr geehrte STRATO Kundin, sehr geehrter STRATO Kunde,
vielen Dank für Ihre Nachricht. Wir nehmen Ihr Anliegen sehr ernst und bedauern, dass Sie Unannehmlichkeiten hatten.
In den letzten Tagen wurden unter der STRATO-Absenderadresse (z.B. Ein_Name@strato.de) E-Mails versendet, die nicht von uns stammten. Es kann auch sein, dass unter der Absenderadresse Ihrer Domain Ein_Name@wunschname.de E-Mails versendet wurden, die nicht von Ihnen stammten.
Es handelt sich um E-Mails mit einer gefälschten Absender-Adresse, deren Inhalt unstatthaft bzw. unanständig ist (in der Fachsprache nennt man solche E-Mails "SPAM").
Diese E-Mail-Fälschungen sind strafbar und wir prüfen rechtliche Schritte gegen den Absender dieser E-Mails. Unser Rechenzentrum hat ebenfalls Gegenmaßnahmen eingeleitet.
Wir wollen Ihnen nochmals versichern, dass STRATO zu keiner Zeit Ausgangspunkt oder Veranlasser dieser unstatthaften Mails war; wir sind wie Sie Opfer dieser Attacke.
Wir bitten um Ihr Verständnis.
Hier zu Ihrer Hilfe, ein Link zu unserem FAQ-System:
</Zitat>
Der Link führt allerdings zu einigen Allerweltshinweisen, die auch nicht weiterhelfen. Besser wäre es, wenn Strato (und alle anderen Provider) unzustellbare Mails nicht einfach dem Hauptpostfach zuord- nen, sondren. ebenfalls zurückschicken würden. Oder gibts da andere Meinungen?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen. Das blinde bouncen von Bounces bringt allerdings auch nichts außer weiteren Traffic. Eigentlich ist das alles nur große Sch.. - hoffentlich wird man dieser Typen habhaft und brummt für solchen Schwachfug ein paar saftige Strafen auf. Nur sowas schreckt ab. Aber wahrscheinlich wird man sie kaum kriegen. -- Gruß MaxX 8-)
Am Samstag, 13. September 2003 22:21 schrieb Matthias Houdek:
Martin Falley am Samstag, 13. September 2003 22:08:
From: thertw@rz.uni-karlsruhe.de [mailto:thertw@rz.uni-karlsruhe.de]On
Konrad Neitzel schrieb:
[...] Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Ich bin bei HostEurope, das SpamProblem in Eurer Form habe ich nicht. Aber ich halte das für einen Fehler hier Tippfehler-Mailadressen einzurichten, Ich bekomme komischerweise den meisten SPAM auf e-Mailadressen welche ich so nicht eingerichtet habe: Ich verwende grundsätzlich Thilo-Alfred-Baetzig; gesendet wird immer an thilo-alfred-baetzig. Normal dürfte das ja nicht ankommen, an webmaster bekomme ich garnix (im Moment)
Das blinde bouncen von Bounces bringt allerdings auch nichts außer weiteren Traffic. Eigentlich ist das alles nur große Sch.. - hoffentlich wird man dieser Typen habhaft und brummt für solchen Schwachfug ein paar saftige Strafen auf. Nur sowas schreckt ab. Aber wahrscheinlich wird man sie kaum kriegen.
30 Jahre Goulack, und zur weiteren Abschreckung für andere natürlich mit Webcam hehe. Ist evtl auc etwas abwegig, aber ich halte SPAM mitlerweile für ein Problem in Dimensionen worüber ein einzelner Staat nicht Herr werden kann (wir alle sind der Staat), Daher währe es doch gut wenn sich hier so UNO mässig mal was bewegen würde, oder so eine SPAM Konvention wie die Genfer Konvention. Jeder Staat der das dann unterzeichnet und umsetzt kommt au ne weise Liste, von diesem kann man e-Mail empfangen, alle anderen .... ist aber mittlerweile OT MfG Thilo -- http://www.chef-de-cuisine.de http://www.gasthof-linde.de
Thilo Alfred Bätzig am Sonntag, 14. September 2003 10:57:
Am Samstag, 13. September 2003 22:21 schrieb Matthias Houdek:
Martin Falley am Samstag, 13. September 2003 22:08:
From: thertw@rz.uni-karlsruhe.de [mailto:thertw@rz.uni-karlsruhe.de]On
Konrad Neitzel schrieb:
[...] Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Ich bin bei HostEurope, das SpamProblem in Eurer Form habe ich nicht. Aber ich halte das für einen Fehler hier Tippfehler-Mailadressen einzurichten, Ich bekomme komischerweise den meisten SPAM auf e-Mailadressen welche ich so nicht eingerichtet habe: Ich verwende grundsätzlich Thilo-Alfred-Baetzig; gesendet wird immer an thilo-alfred-baetzig. Normal dürfte das ja nicht ankommen, an webmaster bekomme ich garnix (im Moment)
Bei mir (und sicher auch bei den anderen) schlagen täglich > 50 Mails pro Domain als Unzustellbarkeits-Infos auf. Die sind alle an <irgendwer>@houdek.de gerichtet und landen so als unzustellbar bei mir im Sammelbecken webmaster@houdek.de. Dieses Postfach will ich einfach nicht mehr abfragen, sondern nur noch löschen. Naja, Tippfehler-Aliase sind nicht zwingend nötig, aber es kommt halt vor, dass mir jemand eine Mail schickt und sich beim Postfach vertippt (z.B. "mathias" statt "matthias"). Und diese Mail würde dann bei webmaster laden und mich nie erreichen. Und der Absender erhält auch keine Nachricht, da die Mail ja zugestellt wurde (nur ins flachse Postfach). Eine generelle Fehler-Antwort in webmaster will ich aber auch nicht einrichten, schade um den Traffic. -- Gruß MaxX 8-)
Am Sonntag, 14. September 2003 11:58 schrieb Matthias Houdek:
Thilo Alfred Bätzig am Sonntag, 14. September 2003 10:57:
Am Samstag, 13. September 2003 22:21 schrieb Matthias Houdek:
Martin Falley am Samstag, 13. September 2003 22:08:
From: thertw@rz.uni-karlsruhe.de [mailto:thertw@rz.uni-karlsruhe.de]On
Konrad Neitzel schrieb:
[...] Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Ich bin bei HostEurope, das SpamProblem in Eurer Form habe ich nicht. Aber ich halte das für einen Fehler hier Tippfehler-Mailadressen einzurichten, Ich bekomme komischerweise den meisten SPAM auf e-Mailadressen welche ich so nicht eingerichtet habe: Ich verwende grundsätzlich Thilo-Alfred-Baetzig; gesendet wird immer an thilo-alfred-baetzig. Normal dürfte das ja nicht ankommen, an webmaster bekomme ich garnix (im Moment)
Bei mir (und sicher auch bei den anderen) schlagen täglich > 50 Mails pro Domain als Unzustellbarkeits-Infos auf. Die sind alle an <irgendwer>@houdek.de gerichtet und landen so als unzustellbar bei mir im Sammelbecken webmaster@houdek.de. Dieses Postfach will ich einfach nicht mehr abfragen, sondern nur noch löschen.
Naja ich habe bei der Einrichtung meiner EMail Adressen aus gerade diesem grund des Spammings auf die verd.... Catch all Verzichtet.
Naja, Tippfehler-Aliase sind nicht zwingend nötig, aber es kommt halt vor, dass mir jemand eine Mail schickt und sich beim Postfach vertippt (z.B. "mathias" statt "matthias"). Und diese Mail würde dann bei webmaster laden und mich nie erreichen. Und der Absender erhält auch keine Nachricht, da die Mail ja zugestellt wurde (nur ins flachse Postfach).
Eine generelle Fehler-Antwort in webmaster will ich aber auch nicht einrichten, schade um den Traffic.
Ein weises Wort gelassen ausgesprochen... Gut ich bekomme hier auf meine Listenadressen (Ich richte für jede Liste wo ich mich eintrage eine extra Mailadresse ein) so gut wie kein SPAM Auf der SuSE Linux Listenadresse schlug jetzt vor ca 3 Wochen das erste mal seit 3 Jahren eine (ganze) Spam Mail auf, sonst ist´s sauber. Und die Sache mit den Tippfehlern wird der Versender schon merken wenn er ne Antwort zurückbekommt dass er ne Falsche empfängeradresse angegeben habe. Aber Offenbar scheint es den meisten egal zu sein, ich bekomme das oft zu hören dass es bei e-Mailadressen nicht wichtig währe ob man groß/klein schreiben tut (bei windows währe es ja auch egal). Mit Sorge betracht ich hier nur mein t-Online Postfach, gewissermasen ist das ja schon notwendig, wenn es darum geht dass man an den t-online-Supprt ne frage hätte, aber benutzt wird das nur von SPAMMern, ...so wie es scheint (Neue Europarichtlienie =keine HTML Mails mehr hehe) MfG Thilo -- http://www.chef-de-cuisine.de http://www.gasthof-linde.de
Thilo Alfred Bätzig am Sonntag, 14. September 2003 14:47:
Am Sonntag, 14. September 2003 11:58 schrieb Matthias Houdek:
Thilo Alfred Bätzig am Sonntag, 14. September 2003 10:57:
Am Samstag, 13. September 2003 22:21 schrieb Matthias Houdek:
Martin Falley am Samstag, 13. September 2003 22:08:
From: thertw@rz.uni-karlsruhe.de [mailto:thertw@rz.uni-karlsruhe.de]On
Konrad Neitzel schrieb: > [...] > Ich könnte ausflippen! Ständig kriege ich Mails, dass eine > Mail nicht zugestellt werden konnte. Gibt es da eine > generelle Idee, was und wie ich evtl. machen kann?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Ich bin bei HostEurope, das SpamProblem in Eurer Form habe ich nicht. Aber ich halte das für einen Fehler hier Tippfehler-Mailadressen einzurichten, Ich bekomme komischerweise den meisten SPAM auf e-Mailadressen welche ich so nicht eingerichtet habe: Ich verwende grundsätzlich Thilo-Alfred-Baetzig; gesendet wird immer an thilo-alfred-baetzig. Normal dürfte das ja nicht ankommen, an webmaster bekomme ich garnix (im Moment)
Bei mir (und sicher auch bei den anderen) schlagen täglich > 50 Mails pro Domain als Unzustellbarkeits-Infos auf. Die sind alle an <irgendwer>@houdek.de gerichtet und landen so als unzustellbar bei mir im Sammelbecken webmaster@houdek.de. Dieses Postfach will ich einfach nicht mehr abfragen, sondern nur noch löschen.
Naja ich habe bei der Einrichtung meiner EMail Adressen aus gerade diesem grund des Spammings auf die verd.... Catch all Verzichtet.
Ich kann nicht drauf verzichten, auch wenn ich es möchte. Mein Provider ... Und es hat ja an sich auch etwas Gutes (wenn dieser scheiß SPAM und alles was dazu gehört nicht wäre).
Naja, Tippfehler-Aliase sind nicht zwingend nötig, aber es kommt halt vor, dass mir jemand eine Mail schickt und sich beim Postfach vertippt (z.B. "mathias" statt "matthias"). Und diese Mail würde dann bei webmaster laden und mich nie erreichen. Und der Absender erhält auch keine Nachricht, da die Mail ja zugestellt wurde (nur ins flachse Postfach).
Eine generelle Fehler-Antwort in webmaster will ich aber auch nicht einrichten, schade um den Traffic.
Ein weises Wort gelassen ausgesprochen... Gut ich bekomme hier auf meine Listenadressen (Ich richte für jede Liste wo ich mich eintrage eine extra Mailadresse ein) so gut wie kein SPAM Auf der SuSE Linux Listenadresse schlug jetzt vor ca 3 Wochen das erste mal seit 3 Jahren eine (ganze) Spam Mail auf, sonst ist´s sauber.
echten SPAM kriege ich ca. 10 am Tag, das ist erträglich. Das hier ist viel schlimmer (von möglichen Beschwerden, die evtl. noch folgen, mal ganz abgesehen).
Und die Sache mit den Tippfehlern wird der Versender schon merken wenn er ne Antwort zurückbekommt dass er ne Falsche empfängeradresse angegeben habe.
Aber Offenbar scheint es den meisten egal zu sein, ich bekomme das oft zu hören dass es bei e-Mailadressen nicht wichtig währe ob man groß/klein schreiben tut (bei windows währe es ja auch egal).
<IRONIE> Ja, warum hat sich da die *n*x-Welt auch so pingelig und hält sich nicht an den weltweiten Standard aus Redmond? </IRONIE>
Mit Sorge betracht ich hier nur mein t-Online Postfach, gewissermasen ist das ja schon notwendig, wenn es darum geht dass man an den t-online-Supprt ne frage hätte, aber benutzt wird das nur von SPAMMern, ...so wie es scheint
(Neue Europarichtlienie =keine HTML Mails mehr hehe)
Hatte ich sogar mal gebounct, hab aber nur Kunden dadurch verloren. -- Gruß MaxX 8-)
From: Matthias Houdek [mailto:linux@houdek.de] Martin Falley am Samstag, 13. September 2003 22:08:
Der Link führt allerdings zu einigen Allerweltshinweisen, die auch nicht weiterhelfen. Besser wäre es, wenn Strato (und alle anderen Provider) unzustellbare Mails nicht einfach dem Hauptpostfach zuord- nen, sondren. ebenfalls zurückschicken würden. Oder gibts da andere Meinungen?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Strato nimmt alle Mails, die nicht bestimmten, bestehenden Postfächern zugeordnet werden können, trotzdem an und ordnet sie dem Hauptpostfach zu. und gerade darin liegt die Croux. Würden die Mails als unzustellbar zurück- gehen, könnte sich der Webmaster der betroffenen Mails mal Gedanken machen und solche offensichtlich als Spam kenntliche Mails einfach gegen /dev/null verwerfen, anstatt sie zu bouncen.
Das blinde bouncen von Bounces bringt allerdings auch nichts außer weiteren Traffic. Eigentlich ist das alles nur große Sch.. - hoffentlich
wird man dieser Typen habhaft und brummt für solchen Schwachfug ein
Es ist kein 'blindes' bouncen, sondern eher gezielt, denn die MAILER-DAEMON- Adressen gibt es ja tatsächlich und waren von Spam angeblich von mir be- troffen. paar
saftige Strafen auf. Nur sowas schreckt ab. Aber wahrscheinlich wird man sie kaum kriegen.
Wahrscheinlich ist es so. Solche Idioten müßte man mit amerikanischen Ge- setzen zuleibe rücken. Die sind da nicht so lasch wie unsere europäischen. Da kann ein Verurteilter schnell mal für ein paar Millionen haftbar ge- macht werden. Hier wissen die Richter nicht einmal, wovon die Rede ist. Gruß Martin
Martin Falley am Sonntag, 14. September 2003 12:20:
From: Matthias Houdek [mailto:linux@houdek.de]
Martin Falley am Samstag, 13. September 2003 22:08:
Der Link führt allerdings zu einigen Allerweltshinweisen, die auch nicht weiterhelfen. Besser wäre es, wenn Strato (und alle anderen Provider) unzustellbare Mails nicht einfach dem Hauptpostfach zuord- nen, sondren. ebenfalls zurückschicken würden. Oder gibts da andere Meinungen?
Ich bin auch bei Strato und hab das gleiche Problem. Ich hab jetzt weitere Mailadressen mit etlichen möglichen Tippfehler-Aliasen auf meine verwendeten Mailadressen eingerichtet und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Strato nimmt alle Mails, die nicht bestimmten, bestehenden Postfächern zugeordnet werden können, trotzdem an und ordnet sie dem Hauptpostfach zu. und gerade darin liegt die Croux. Würden die Mails als unzustellbar zurück- gehen, könnte sich der Webmaster der betroffenen Mails mal Gedanken machen und solche offensichtlich als Spam kenntliche Mails einfach gegen /dev/null verwerfen, anstatt sie zu bouncen.
Ja, sicher. Ich kann bei Strato ja das Webmaster-Postfach nicht entfernen, mit löschen meinte ich den Inhalt.
Das blinde bouncen von Bounces bringt allerdings auch nichts außer weiteren Traffic. Eigentlich ist das alles nur große Sch.. -
Es ist kein 'blindes' bouncen, sondern eher gezielt, denn die MAILER-DAEMON- Adressen gibt es ja tatsächlich und waren von Spam angeblich von mir be- troffen.
Es erzeugt trotzdem zusätzlichen, unnötigen Traffic. -- Gruß MaxX 8-)
Am Samstag, 13. September 2003 22:21 schrieb Matthias Houdek:
und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Warum löscht du dann die Webmaster-Adresse nicht gleich? An meine webmaster@ schrieb bisher niemand. Eventuell macht ein Webformular auf die Homepage um erreichbar zu sein. Da gibt es sicher irgendwo was fertiges. Ich las jetzt in anderen Threads, dass euer Hoster webmaster manchmal zwingend vorschreibt. Na dann wechselt doch den Hoster. Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
Al Bogner am Sonntag, 14. September 2003 14:38:
Am Samstag, 13. September 2003 22:21 schrieb Matthias Houdek:
und lösche webmaster@houdek.de (eben besagtes Hauptpostfach) nur noch ohne ansehen der Mails. Dumm ist nur, dass fehlgelaufene Mails kein Feedback an den Absender bringen.
Warum löscht du dann die Webmaster-Adresse nicht gleich? An meine webmaster@ schrieb bisher niemand. Eventuell macht ein Webformular auf die Homepage um erreichbar zu sein. Da gibt es sicher irgendwo was fertiges.
Leichter gesagt als getan. (Siehe unten)
Ich las jetzt in anderen Threads, dass euer Hoster webmaster manchmal zwingend vorschreibt. Na dann wechselt doch den Hoster.
Das ist eine Frage des Aufwandes und des Preises. Ich will nicht einfach immer umziehen. Außerdem nutze ich auf einigen Seiten Zusatzdienste des Providers, auf die müsste ich dann verzichten oder aber die Seiten anpassen. -- Gruß MaxX 8-)
Konrad Neitzel wrote:
Hi!
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Dann würde ich erstmal schauen ob deine Domain bzw dein sendmail nicht auf einer Blacklist steht. Eine Übersicht an Datenbanken findest du hier: http://www.spam-blockers.com/SPAM-blacklists.htm MFg Marco
Am Freitag, 12. September 2003 23:30 schrieb Konrad Neitzel:
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Ich habe bei mir die "catchall-Adressen" abgestellt, damit ärgern mich wenigstens nicht mehr die zufällig generierten Adressen der Domain. Siehe auch MID <bjrv9m$maa34$1@ID-52028.news.uni-berlin.de> ff. in de.admin.net-abuse.mail Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
Guten Abend! Konrad Neitzel schrieb:
Hi!
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Das ist gemein :-)
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Die Mails kommen wohl über einen ausländischen Server ins System - Mein Mailserver ist def. nicht betroffen. Im Augenblick sehe ich nur die Möglichkeit, diese Meldungen zu ignorieren oder die generelle Weiterleitung aller Mails dieser Domain an mich wieder weg zu nehmen (Dann wären die Antwort-Mails nicht zustellbar und ich würde nur noch Meldungen im Logfile sehen ...)
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :)
Da Du nicht nur in Hinsicht der Rückmails der Leidtragende bist (immerhin verstehen ca 60% der Leute nicht, das man Absenderadressen frei angeben kann) sondern auch juristisch belangt werden kannst, solltest Du etwas unternehmen. 1. Mailheader analysieren: woher kommen die Mails tatsächlich (Provider, Server, IP-Raum) 2. Beschwerde e-Mail (am besten auf englisch) an abuse@netzprovider des Spammers 3. Wenn Du um Deinen Ruf fürchtest die 2. Beschwerde per Fax oder Einschreiben an die Adresse des Netzeigentümers, am besten von (D)einem Anwalt. Meistens klappt aber schon 1., da die Versender nur jemanden suchen, der das mit sich machen lässt... und das dürften so einige sein... Viel Spaß, Uli
Am Freitag, 12. September 2003 23:03 schrieb Ulrich Klenk:
1. Mailheader analysieren: woher kommen die Mails tatsächlich (Provider, Server, IP-Raum) bei mir alles durcheinander.
Soll ich die mal sammeln und zum download anbieten ? cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Mahlzeit! Stefan Onken schrieb:
Am Freitag, 12. September 2003 23:03 schrieb Ulrich Klenk:
1. Mailheader analysieren: woher kommen die Mails tatsächlich (Provider, Server, IP-Raum)
bei mir alles durcheinander.
Soll ich die mal sammeln und zum download anbieten ?
Naja, wenn ich noch ein paar von meinen dazu packe, können wir ja mal die 4GB Grenze des Kernels testen :-) Mit der Auswertung macht nur Sinn, wenn Du jemand hast, der wenige Deiner Adressen nutzt und nur über wenige Server einen Massenversand macht. (So wie es sehr häufig bei Spammern der Fall ist). Und da kannst Du so ansetzen. Gruß, Uli
Hallo, Am Freitag, 12. September 2003 23:30 schrieb Konrad Neitzel:
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Kenn ich.
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Die Mails kommen wohl über einen ausländischen Server ins System - Mein Mailserver ist def. nicht betroffen. Im Augenblick sehe ich nur die Möglichkeit, diese Meldungen zu ignorieren oder die generelle Weiterleitung aller Mails dieser Domain an mich wieder weg zu nehmen (Dann wären die Antwort-Mails nicht zustellbar und ich würde nur noch Meldungen im Logfile sehen ...)
Versuch doch mal rauszufinden, welcher Provider für die IP zuständig ist (Stichwort: Whois). Wenn Du Glück hast (je nach Herkunftsland), darf oder muss der Provider handeln. Zwei Tage nach meiner Beschwerde hörte es auf, da hatte ich tierisch Glück.
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :)
Ich hatte deswegen meinen Provider darüber informiert, der zeigte dafür Verständnis. Grüße René
Hallo Rene! On Sat, 13 Sep 2003 00:11:17 +0200, René Falk wrote
Versuch doch mal rauszufinden, welcher Provider für die IP zuständig ist (Stichwort: Whois). Wenn Du Glück hast (je nach Herkunftsland), darf oder muss der Provider handeln. Zwei Tage nach meiner Beschwerde hörte es auf, da hatte ich tierisch Glück.
Das ist anscheinend gar nicht so einfach. Entweder geben die Mailserver die Mail nicht mit ganzem Header zurück, oder mein Webmail- Client ist zu doof. Aber ich habe dann einen Mailservermeldung bekommen, wo der wichtige Header drinnen war. DOMAINFACTORY-DE ist der Spammer. Kommt mir irgendwie bekannt vor. Der ist doch schon bekannt für seinen SPAM oder irre ich da jetzt? Aber bald gibt es keinen SPAM mehr, denn der Typ lacht sich jetzt bestimmt tot, da ich Ihm geschrieben habe, dass ich rechtliche Schritte ergreifen werde, wenn er nicht aufhört. Ich habe ja keine Mittel, da neitzel ja nicht geschützt ist und die Absender-Adressen gibt es nicht, so dass es nicht als Betrug gelten kann. Seinen Peer habe ich auch angeschrieben, aber der verdient ja gut daran, so dass ich jetzt nur hoffen kann, dass die Idioten sagen: Na gut, dann gehen wir zur nächsten .de Domain in der Liste. Die Liste ist ja lang genug :)
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :)
Ich hatte deswegen meinen Provider darüber informiert, der zeigte dafür Verständnis.
Ich habe meinen Provider jetzt auch angeschrieben, damit die Bescheid wissen. Aber ich denke mal, dass sich da nicht viel tuen wird :( Aber DOMAINFACTORY-DE ist in München .. Und in München kann man auch mit einem Baseballschläger über die Strasse gehen, oder nicht? Wäre doch mal eine schöne Meldung im Heise-Newsticker: Am gestrigen Tag wurden die Mitarbeiter der Firma XYZ von erbosten Internet Nutzern gefangen, geteert und gefedert und so durch die Stadt abc getrieben. So wie bei Luky Luke - da gab es das doch immer :-)) Mit den besten Grüßen, Konrad -- Konrad Neitzel Mobile: +49 (172) 689 31 45
Konrad Neitzel am Freitag, 12. September 2003 23:30:
Hi!
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Hab ich seit gestern auch :-(
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Ich habe leider nur Webspace beim Provider, und alle Mails mit unbestimmbarem Empfänger landen beim webmaster@domain.tld. Bisher hatte ich auch keine weiteren Physichen Postfächer eingerichtet, das hat dann mein lokaler Mailserver aufgelöst. Mein Würgaround: 2. Postfach mit allen von mir genutzten Mailadressen incl. wahrscheinlicher Fipptehler als Alias eingerichtet und webmaster ignorieren. Ich muss das Postfach nur regelmäßig via POP löschen (versuch gerade ein Script dazu zu basteln), weil mein Speicherplatz für alle meine Postfächer gemeinsam gilt.
Die Mails kommen wohl über einen ausländischen Server ins System - Mein Mailserver ist def. nicht betroffen.
Es scheinen mehrere Server zu sein, die da genutzt werden. Und mit der fremden Domain schützt man sich halt wirksam gegen die Fehlermeldungen.
Im Augenblick sehe ich nur die Möglichkeit, diese Meldungen zu ignorieren oder die generelle Weiterleitung aller Mails dieser Domain an mich wieder weg zu nehmen (Dann wären die Antwort-Mails nicht zustellbar und ich würde nur noch Meldungen im Logfile sehen ...)
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :)
Ja, wird wohl bald kommen. -- Gruß MaxX 8-)
Am Freitag, 12. September 2003 22:30 schrieb Konrad Neitzel:
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains! ich seit genau gestern auch.
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :) Hast Du schon ne bessere Idee ? Ich ueberlege auch nur meinen catchall Account rauszunehmen.
cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
On Sat, 13 Sep 2003 10:06:03 +0100, Stefan Onken wrote
Am Freitag, 12. September 2003 22:30 schrieb Konrad Neitzel:
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains! ich seit genau gestern auch.
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :) Hast Du schon ne bessere Idee ? Ich ueberlege auch nur meinen catchall Account rauszunehmen.
Naja - einen Spam-Absender habe ich identifiziert ... da müsste man sich mal zu einem Baseball-Spiel treffen ... Wir treffen uns in München und alle bringen einen Baseballschläger mit?? :-)) Nein im Ernst: Ich sehe da keine Möglichkeit. Anschreiben und hoffen, dass der Spammer sich totlacht. Andere Ideen habe ich nicht und hier ist auch noch nichts anderes gekommen :( Mit den besten Grüßen, Konrad -- Konrad Neitzel Mobile: +49 (172) 689 31 45
Hallo, hier meine Betrag, mithilfe von Blacklisten in sendmail verwirklicht. Leider ist es NUR eine Abhilfe und nicht immer so fehlerfrei, da auch "richtige" eMails manchmal abgelehnt werden. hier in meine /sbin/conf.d/SuSEconfig.sendmail die Zeilen zwischen ##..## hinzugefügt ...................... ##these add mail blacklisting echo "FEATURE(\`dnsbl',\`relays.ordb.org', \`\"550 eMail Rejected due to misconfiguration - see http://www.ordb.org/ \"')dnl" echo "FEATURE(\`dnsbl',\`list.dsbl.org', \`\"550 eMail Rejected - see http://dsbl.org/ \"')dnl" echo "FEATURE(\`dnsbl',\`bl.spamcop.net', \`\"550 eMail Rejected - see http://spamcop.net/bl.shtml \"')dnl" echo "FEATURE(\`delay_checks')dnl" ## ............... das ergibt in der /etc/sendmail.cf folgende filter Regel... ................... # DNS based IP address spam list relays.ordb.org R$* $: $&{client_addr} R::ffff:$-.$-.$-.$- $: <?> $(host $4.$3.$2.$1.relays.ordb.org. $: OK $) R$-.$-.$-.$- $: <?> $(host $4.$3.$2.$1.relays.ordb.org. $: OK $) R<?>OK $: OKSOFAR R<?>$+ $#error $@ 5.7.1 $: "550 eMail Rejected due to ..." # DNS based IP address spam list list.dsbl.org R$* $: $&{client_addr} R::ffff:$-.$-.$-.$- $: <?> $(host $4.$3.$2.$1.list.dsbl.org. $: OK $) R$-.$-.$-.$- $: <?> $(host $4.$3.$2.$1.list.dsbl.org. $: OK $) R<?>OK $: OKSOFAR R<?>$+ $#error $@ 5.7.1 $: "550 eMail Rejected - see ..." # DNS based IP address spam list bl.spamcop.net R$* $: $&{client_addr} R::ffff:$-.$-.$-.$- $: <?> $(host $4.$3.$2.$1.bl.spamcop.net. $: OK $) R$-.$-.$-.$- $: <?> $(host $4.$3.$2.$1.bl.spamcop.net. $: OK $) R<?>OK $: OKSOFAR R<?>$+ $#error $@ 5.7.1 $: "550 eMail Rejected - see ..." .................... was das ablehen von ein gut teil der SPAM verursacht!! Verwendet sonst jemand was ähnliches oder Kennt ihr weitere zuverlässige "blacklisting Adressen" IMHO, Stefan Am Samstag 13 September 2003 11:06 schrieb Stefan Onken:
Am Freitag, 12. September 2003 22:30 schrieb Konrad Neitzel:
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
ich seit genau gestern auch.
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :)
Hast Du schon ne bessere Idee ? Ich ueberlege auch nur meinen catchall Account rauszunehmen.
cu stonki
Am Samstag, 13. September 2003 12:20 schrieb Stefan Becker:
hier meine Betrag, mithilfe von Blacklisten in sendmail verwirklicht. Leider ist es NUR eine Abhilfe und nicht immer so fehlerfrei, da auch "richtige" eMails manchmal abgelehnt werden.
naja, SpamAssassin habe ich ja laufen. Das Problem ist doch, dass ich (und Konrad) fehlermeldung ueber nicht zustellbare Mails bekommen, die angeblich von unsere Domain verschickt wurden. Diese Fehlermeldungen stammen ja von "richtigen" Domains und "richtigen" Accounts (naemlich postmaster). cu stonki -- www.stonki.de: the more I see, the more I know....... www.proftpd.de: Deutsche ProFTPD Dokumentation www.krename.net: Der Batch Renamer für KDE www.kbarcode.net: Die Barcode Solution für KDE
Moin, Am Sa, 2003-09-13 um 11.06 schrieb Stefan Onken:
Am Freitag, 12. September 2003 22:30 schrieb Konrad Neitzel:
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains! ich seit genau gestern auch.
Willkommen im Club. Ich auch, und ebenfalls seit gestern. Kann es sein, daß sich jemand seine Domains aus dieser Liste holt? Die ganzen Bounces an meine Kiste zeigen, daß die Teile mit einem gefakten Sender $ZUFAELLIGER_NAME@gesindel.de verschickt wurden, und die Fehlermeldungen fallen alle in meinen Catchall, den ich nicht deaktivieren will. HASS HASS HASS! Gruß, Ratti -- -o) fontlinge | Font management for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/
Am Sonntag, 14. September 2003 13:30 schrieb Joerg Rossdeutscher:
Willkommen im Club. Ich auch, und ebenfalls seit gestern.
Mein 1. und bisher einziger Spam wurde vom Zeitreisenden Felix Norman am 15.9. um 6:30 versendet. Ich habe den starken Verdacht, dass zumindest ein Spammer in der ML abonniert ist. Meine Mail kam an postmaster an, catchall ist ja deaktiviert. Ok, nun gibt es weder postmaster noch webmaster auf meine Pinguin-Domain. Die fehlende Postmaster-Adresse akzeptieren aber einige Mailinglisten nicht. In diesem Fall muß man beim Abonnieren die Postmaster-Adresse eben kurzfristig aktivieren. Ach ja, hier sind ja genug, Profis. Mein Vorschlag: steigt wo möglich auf _temporäre_ _Sub_ - Domains um. Siehe http://www.docsnyder.de/nospam/subdomains.html
und die Fehlermeldungen fallen alle in meinen Catchall, den ich nicht deaktivieren will.
Da wird dir wohl nichts anderes übrig bleiben. Zum Glück habe ich vor ca. 2 Monaten meine catchall-Adresse gesperrt, als SPAM an marketing, info, usw. @meinedomain ankam. Ich habe dazu meine Mails nach den von mir verwendeten email-Adressen durchsucht und jede verwedete Adresse eingetragen. Das waren mehr als 300 Adresssen, aber nun ist fast Ruhe vor diesen Spammern und wenn eine bespammt wird, dann fliegt die einfach raus und es wird eine neue erstellt und der Mailpartner darüber informiert, wenn der Spam offensichtlich nicht von ihm kam. Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
Am Sonntag, 14. September 2003 14:23 schrieb Al Bogner:
Am Sonntag, 14. September 2003 13:30 schrieb Joerg Rossdeutscher:
Willkommen im Club. Ich auch, und ebenfalls seit gestern.
Mein 1. und bisher einziger Spam wurde vom Zeitreisenden Felix Norman am 15.9. um 6:30 versendet. Ich habe den starken Verdacht, dass zumindest ein Spammer in der ML abonniert ist. Meine Mail kam an postmaster an, catchall ist ja deaktiviert. Ok, nun gibt es weder postmaster noch webmaster auf meine Pinguin-Domain.
Achtung an die, die bei mydomain.com hosten: Ich verwende ja hier die Sub-Sub-Domain ml zum Posten und habe daher mailforwarding für pinguin.uni.cc deaktiviert, da ja nichts darüber läuft. Das bewirkte auch ein Bouncen der darunter liegenden Subdomain mit der Meldung: relaying to <..@..> prohibited by administrator. Ich hoffe, es gab keine Bounces in die Liste. Al -- Infos zu Softwarepatenten: http://swpat.ffii.org/index.de.html http://petition.eurolinux.org/index.html?LANG=de
Hallo, * Joerg Rossdeutscher <ratti@gesindel.de>:
Kann es sein, daß sich jemand seine Domains aus dieser Liste holt?
Glaube ich nicht. Ich hab' mir mal die Zeit genommen, und meine empfangenen 130 Spam-Mails der letzten 24 Stunden angeguckt. Ergebnis: Haufenweise DE-Domains im From, und das in der Hauptsache in Verbindung mit Viagra-Werbung. Keine Ahnung _warum_ das so ist, aber vielleicht haben die freundlichen Müllwerber gerade den deutschen Markt im Visier. Gruss, Andreas -- [andreas] > du -hs mutt-manual 328k mutt-manual *WOW!* [andreas] > du -hs gnus-manual 1.9M gnus-manual *GASP!*
Kann es sein, daß sich jemand seine Domains aus dieser Liste holt?
Glaube ich nicht.
Ich denke schon .... wenn der Spammer diese ML nicht abonniert hat sucht er sich die Adressen sicher auf einem anderen (veröffentlichenden) Weg dieser ML. Ich hab das selbe Prob wie Konrad Neitzel u.a. .... Erstaunlich ist bei mir das das erst jetzt passiert wo ich mit meiner (fast) nagelneuen Addy hier poste. *RätselinderFinsternis* Nice WE Ralf
Hallo, * On Fri, Sep 12, 2003 at 11:30 PM (+0200), Konrad Neitzel wrote:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Das geht mir seit gestern genauso. :-( Etwa 80 Bounces und Abwesenheitsnachrichten sind bislang eingetroffen, und wenn ich mich in der Newsgroup "de.admin.net-abuse.mail" so um- schaue, dann ist das noch sehr wenig.
Ich könnte ausflippen! Ständig kriege ich Mails, dass eine Mail nicht zugestellt werden konnte. Gibt es da eine generelle Idee, was und wie ich evtl. machen kann?
Eigentlich gar nichts, außer "Catch-All" zu deaktivieren und viel- leicht eine kurze Notiz auf die zur missbrauchten Mail-Domain ge- hörenden Webseite, um potentielle Beschwerden abzuwenden. Ohne "Catch-All" ist Ruhe, allerdings sieht man dann auch nicht mehr, ob der Spuk noch andauert. :-/ Das Blöde sind ja noch nicht mal die Bounces, sondern wie viel Mail davon ankommt, ob die eigene Domain auf Blacklists landet und an wie vielen Newslettern man dadurch subscribed wird.
Die Mails kommen wohl über einen ausländischen Server ins System -
Hier sind es ständig unterschiedliche Rechner, die den Spam los- schicken. Ich vermute, dass der Spammer da mehrere Rechner gehackt hat und diese nun zum Spammen missbraucht. Dass es wohl immer der selbe Spammer sein dürfte, vermute ich, da jedes Mal der selbe "Viagra-Verein" beworben wird.
Mein Mailserver ist def. nicht betroffen. Im Augenblick sehe ich nur die Möglichkeit, diese Meldungen zu ignorieren oder die generelle Weiterleitung aller Mails dieser Domain an mich wieder weg zu nehmen (Dann wären die Antwort-Mails nicht zustellbar und ich würde nur noch Meldungen im Logfile sehen ...)
Etwas anderes fällt mir leider auch nicht ein... :-((
Ich warte nur noch darauf, dass sich Leute bei meinem Provider beschweren, dass von meine Domain SPAM ausgeht :)
Oder dass mir Leute direkt Ärger machen bzw. mit Anzeige drohen. Gruß, Steffen
Hallo zusammen, und so wie es aussieht kann man wirklich nur diese catchall Einstellungen verwerfen und sonst nichts machen. Und dass ich meinte, die Domainfactory in München wäre für einen Teil des SPAMs verantwortlich kann ich auch gleich komplett knicken. Maximal kann ich mir derzeit vorstellen, dass da evtl. irgendwo ein Open Relay ist, aber dafür können die auch evtl. nur sehr wenig, denn es gibt ja sowas wie rootserver und so. Und da muss ich schon fast sagen, dass ich in meinem leicht gereizten Zustand dann auch extrem idiotische Dinge gesagt habe, aber das wird hoffentlich von den Münchenern niemand lesen oder mir nicht zu böse genommen! Ich habe derzeit massiv diese sch.... eMail. Bei 80 am Tag wäre ich ja glücklich :) Aber was solls. Werde ich ein paar Aliase mehr einrichten und den Catchall rausnehmen. Mit den besten Grüßen, Konrad Neitzel -- Konrad Neitzel Mobile: +49 (172) 689 31 45
Hallo, * On Sat, Sep 13, 2003 at 07:07 PM (+0200), Konrad Neitzel wrote:
und so wie es aussieht kann man wirklich nur diese catchall Einstellungen verwerfen und sonst nichts machen.
Ja, sieht wohl so aus. :-(
Und dass ich meinte, die Domainfactory in München wäre für einen Teil des SPAMs verantwortlich kann ich auch gleich komplett knicken.
Da wollte ich gerade schreiben, dass mich das schon sehr wundert, dass die dafür mitverantwortlich sind. Ich möchte hier keine Werbung machen... Allerdings habe ich meine Domain bei "domainfactory.de" gehostet und finde sie sehr seriös. Anfragen an den Support wurden da bisher eigentlich immer sehr schnell und sorgfältig beantwortet. Daher denke ich, dass die auch reagieren würden, wenn z.B. der Server einer ihrer Kunden als "Open Relay" dient. Sie wissen [1] auf jeden Fall um das Problem mit der aktuellen "Joe Job"-Flut [2]. Wie gesagt, das was bei mir hereinkommt, wurde alles von ganz ver- schiedenen Rechnern aus abgeschickt.
Maximal kann ich mir derzeit vorstellen, dass da evtl. irgendwo ein Open Relay ist, aber dafür können die auch evtl. nur sehr wenig, denn es gibt ja sowas wie rootserver und so.
Klar, denkbar wäre das. Aber dann müssten sie eigentlich massiven Traffic auf bestimmten Ports bemerken und das abstellen, aller- spätestens wenn Beschwerden kommen.
Ich habe derzeit massiv diese sch.... eMail. Bei 80 am Tag wäre ich ja glücklich :)
Dann möcht' ich besser nicht wissen, wie viele es in Deinem Fall sind...
Aber was solls. Werde ich ein paar Aliase mehr einrichten und den Catchall rausnehmen.
Ja, wird wohl das einzig Machbare sein. :-/ Viele Grüße, Steffen [1] http://www.domainfactory-status.de [2] http://www.spamfaq.net/terminology.shtml#joe_job
Hallo, Am Sat, 13 Sep 2003, Steffen Moser schrieb:
* On Fri, Sep 12, 2003 at 11:30 PM (+0200), Konrad Neitzel wrote:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Das geht mir seit gestern genauso. :-(
Dito.
Etwa 80 Bounces und Abwesenheitsnachrichten sind bislang eingetroffen,
Dito. [..]
Das Blöde sind ja noch nicht mal die Bounces, sondern wie viel Mail davon ankommt, ob die eigene Domain auf Blacklists landet und an wie vielen Newslettern man dadurch subscribed wird.
Ja. *seufz*
Die Mails kommen wohl über einen ausländischen Server ins System -
Hier sind es ständig unterschiedliche Rechner, die den Spam los- schicken. Ich vermute, dass der Spammer da mehrere Rechner gehackt hat und diese nun zum Spammen missbraucht. Dass es wohl immer der selbe Spammer sein dürfte, vermute ich, da jedes Mal der selbe "Viagra-Verein" beworben wird.
Jup. Muesste man doch irgendwie mal rausfinden koennen... -dnh -- 20: Multimediaentwickler Grafiker (Kristian Köhntopp)
Hallo, * On Sat, Sep 13, 2003 at 09:00 PM (+0200), David Haller wrote:
Am Sat, 13 Sep 2003, Steffen Moser schrieb:
Hier sind es ständig unterschiedliche Rechner, die den Spam los- schicken. Ich vermute, dass der Spammer da mehrere Rechner gehackt hat und diese nun zum Spammen missbraucht. Dass es wohl immer der selbe Spammer sein dürfte, vermute ich, da jedes Mal der selbe "Viagra-Verein" beworben wird.
Jup. Muesste man doch irgendwie mal rausfinden koennen...
Mittlerweile habe ich eine Vermutung, wie die Mails alle verteilt werden. Auf so ziemlich allen Rechnern, die letztendlich den Spam losge- schickt haben, findet sich offene Relay-Server, die nicht auf Port 25/TCP lauschen, sondern auf variablen Ports (die Ports sind von Rechner zu Rechner verschieden): | steffen@pc01:~> telnet 66.188.115.182 7298 | Trying 66.188.115.182... | Connected to 66.188.115.182. | Escape character is '^]'. | 220 jeem.mail.pv ESMTP | quit | 221 jeem.mail.pv | Connection closed by foreign host. | steffen@pc01:~> Ich habe ca. 10 Rechner "geportscannt", auf diesen dann auch offene Ports gefunden und dann die offenen Ports durchgetestet. Überall lauschte eben dieser Relay-Server, der sich unter dem Namen "jeem. mail.pv" meldete. In der Tat sind es offene Relays, die Mails an- nehmen und zustellen, dabei aber keine "Received"-Zeilen erzeugen. D.h. der Spammer nutzt diese offenen Server um (unerkannt) seinen Müll zu verteilen. Nun stellen sich die Fragen: - Was sind das für Server? - Woher kennt der Spammer die ganzen Server und die dazugehörenden offenen Ports? Zur ersten Frage, spuckt Google etwas aus, wenn man nach "jeem. mail.pv" such. Es ist wohl ein Trojaner, der auf diesen Rechnern läuft und unter anderem ein offenes Relay installiert. :-/ Möglicherweise ist es der unter [1] beschriebene Trojaner. Zur zweiten Frage habe ich keine Ahnung. Der müsste das ja durch massives Portscannen realisieren. Oder meldet sich der Trojaner etwa irgendwo, wenn er erfolgreich installiert worden ist? Vielleicht spielt ja auch diese Liste [2] eine gewisse Rolle... Gruß, Steffen [1] http://securityresponse.symantec.com/avcenter/venc/data/backdoor.jeem.html [2] http://archives.neohapsis.com/archives/postfix/2002-11/0727.html
Moin Steffen, Am Sonntag, 14. September 2003 01:17 schrieb Steffen Moser:
Auf so ziemlich allen Rechnern, die letztendlich den Spam losge- schickt haben, findet sich offene Relay-Server, die nicht auf Port 25/TCP lauschen, sondern auf variablen Ports (die Ports sind von Rechner zu Rechner verschieden):
na super. Damit hat es garkeinen Sinn irgendeinen Provider anzuschreiben, denn es könnte ja rein theoretisch jeder Kunde des Providers diesen Trojaner haben :-( bis denn ... /Frank/
Hallo, * On Sun, Sep 14, 2003 at 01:54 AM (+0200), Frank Röske wrote:
Am Sonntag, 14. September 2003 01:17 schrieb Steffen Moser:
Auf so ziemlich allen Rechnern, die letztendlich den Spam losge- schickt haben, findet sich offene Relay-Server, die nicht auf Port 25/TCP lauschen, sondern auf variablen Ports (die Ports sind von Rechner zu Rechner verschieden):
na super. Damit hat es garkeinen Sinn irgendeinen Provider anzuschreiben, denn es könnte ja rein theoretisch jeder Kunde des Providers diesen Trojaner haben :-(
Das habe ich mir auch überlegt. Man kann es sicherlich versuchen, die Provider darüber zu informieren, damit die den Kunden der (höchstwahr- scheinlich unwissentlich) das offene Relay betreibt, erst mal abhängen können. Ist natürlich ein Haufen Arbeit, die ganzen IP-Adressen aus den Bounces herauszusuchen, den ISP zu ermitteln, seinen Abuse-Contact zu finden und ihn dann anzuschreiben. Die Frage ist eben, wie viele dieser offenen Relays es gibt und wie viele den Spammern bekannt sind. Unter Umständen ist es eben ein Kampf gegen Windmühlen. :-/ Gruß, Steffen
Hallo! On Sun, 14 Sep 2003 01:54:26 +0200, Frank Röske wrote
na super. Damit hat es garkeinen Sinn irgendeinen Provider anzuschreiben, denn es könnte ja rein theoretisch jeder Kunde des Providers diesen Trojaner haben :-(
Das stimmt so nur zum Teil. Ich kenne es jetzt nur von Puretec (1&1 Gruppe). Die scannen "Ihre" Server sogar selbst und sperren bei offenen Relays in Ihrer Firewall den Port (Inkl. einer Benachrichtigung). Bei Server4Free habe ich z.B. schon erlebt, dass ein Zielserver keine Mails annehmen wollte. Die haben da das ganze Subnetz gesperrt gehabt. Ein Grund, warum ich froh bin, jetzt bei 1&1 zu sein (Mal abgesehen von den deutlich geringeren Ausfällen!). Mit den besten Grüßen, Konrad -- Konrad Neitzel Mobile: +49 (172) 689 31 45
On Sun, Sep 14, 2003 at 01:17:41AM +0200, Steffen Moser wrote:
Nun stellen sich die Fragen: - Was sind das für Server?
Vermutlich sind das Sobig Opfer. Der Sobig-Virus ist nur die erste Phase eines mehrstufigen Deployment-Systems für einen ganzen Haufen fieses Zeug (http://www.lurhq.com/sobig.html, http://www.lurhq.com/sobig-e.html, http://www.lurhq.com/sobig-f.html). Die Dinger melden sich nach der Installation an geeigneter Stelle an. Kristian
Hallo, * On Sun, Sep 14, 2003 at 07:00 AM (+0200), Kristian Koehntopp wrote:
On Sun, Sep 14, 2003 at 01:17:41AM +0200, Steffen Moser wrote:
Nun stellen sich die Fragen: - Was sind das für Server?
Vermutlich sind das Sobig Opfer. Der Sobig-Virus ist nur die erste Phase eines mehrstufigen Deployment-Systems für einen ganzen Haufen fieses Zeug (http://www.lurhq.com/sobig.html, http://www.lurhq.com/sobig-e.html, http://www.lurhq.com/sobig-f.html).
Stimmt, das macht mehr Sinn, da die letzten Sobig-Wellen ja noch nicht allzu lange zurückliegen.
Die Dinger melden sich nach der Installation an geeigneter Stelle an.
Hieß es bei der letzten Sobig-Flut eigentlich nicht, dass man die Server, die die "Sobig-Clients" versorgen, noch rechtzeitig vom Netz nehmen konnte, um die weiteren Schad-Routinen zu installieren und sich zu melden? Naja, wenn die Clients dabei von den lokalen Uhren ausgehen, dann ist es natürlich schon denkbar, dass es einige trotzdem geschafft haben, sich noch rechtzeitig zu versorgen und zu melden. Gruß, Steffen
On Sun, Sep 14, 2003 at 09:07:27AM +0200, Steffen Moser wrote:
Die Dinger melden sich nach der Installation an geeigneter Stelle an.
Hieß es bei der letzten Sobig-Flut eigentlich nicht, dass man die Server, die die "Sobig-Clients" versorgen, noch rechtzeitig vom Netz nehmen konnte, um die weiteren Schad-Routinen zu installieren und sich zu melden?
Ja. Ich nehme auch nicht an, daß dies Sobig.F-Opfer sind. Alle Sobigs einschließlich Sobig.F waren so gestrickt, daß sie nur so lange spammen bis sie die Phase 2-Software installiert hatten. Darum war die Sobig.B-Welle, die auf meinen Graphen so schön zu sehen ist, auch so schmal (nur drei Tage oder so). Bei Sobig.F ist es gelungen, die IPs mit der nachzuladenden Phase 2 rechtzeitig abzuklemmen, und deswegen hat Sobig.F drei Wochen lang das Netz mit Spam zugepustet.
Naja, wenn die Clients dabei von den lokalen Uhren ausgehen, dann ist es natürlich schon denkbar, dass es einige trotzdem geschafft haben, sich noch rechtzeitig zu versorgen und zu melden.
Neuere Sobig-Versionen (alle seit Sobig.C) verwenden NTP, weil einige ältere Opfer von Sobig mit falsch gestellten Uhren sich über die Zeit hinaus versendet haben. Kristian
On Fri, Sep 12, 2003 at 11:30:04PM +0200, Konrad Neitzel wrote:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Angenommen Du hättest koehntopp.de als Domain. 1. Entferne den @koehntopp.de kris aus Deiner virtusertable. Streiche also Default-Accounts für die ganze Domain. 2. Setze in die .procmailrc # Postmaster notify :0 * ^Subject:.*(ostmaster notify|eturned Mail|elivered|elivery|eliverable|ranscript|ailure notice|Notification d'état|Notificación del estado de entrega) /home/kris/Mail/postmaster Mehr kannst Du nicht tun. Kristian
Hallo, Am Sat, 13 Sep 2003, Kristian Koehntopp schrieb:
On Fri, Sep 12, 2003 at 11:30:04PM +0200, Konrad Neitzel wrote:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Angenommen Du hättest koehntopp.de als Domain.
*autsch* Wie uebel isses denn bei dir? Spam-Bounce-Anzahl im 4-stelligen Bereich? Mein Beileid. -dnh, bei dem's bis gestern ging (2-10), heute bisher "nur" ca. 60 Bounces -- The only truly safe "embedded system" is the system that has an axe embedded in it... -- Tanuki
On Sat, Sep 13, 2003 at 09:55:22PM +0200, David Haller wrote:
Angenommen Du hättest koehntopp.de als Domain.
*autsch*
http://vvv.koehntopp.de/rrd/ http://vvv.koehntopp.de/spamstat/ Der aktuelle Spam-Wetterbericht. http://vvv.koehntopp.de/rrd/krismail-1week.png Dort kannst Du für den Freitag eine Spitze in der blauen Kurve sehen ("messages in spool") und in dr braunen Kurve ("probable spam"). Ich habe das mit dem Abschalten der Wildcard in der Virtusertable und den Filterregeln für Bounces in der .procmailrc gut in den Griff bekommen. Du kannst sehen, wie die braune Kurve plötzlich waagrecht wird - das ist die abgeschaltete Wildcard.
Wie uebel isses denn bei dir? Spam-Bounce-Anzahl im 4-stelligen Bereich? Mein Beileid.
Nicht sehr schlimm, nur etwa um die 1000 Bounces oder so, 500 in die Inbox, 200 in den probable und 300 in den sure-Ordner. mutt kann ja nach Pattern löschen ("Shift-D") und so hat man die mit 4 oder 5 Delete-Versuchen weg und gleich die passenden die Expressions für die .procmailrc. Kristian
Am Samstag, 13. September 2003 19:25 schrieb Kristian Koehntopp: Hi,
On Fri, Sep 12, 2003 at 11:30:04PM +0200, Konrad Neitzel wrote:
Ich habe jetzt ein etwas größeres SPAM Problem...
Ein Spammer versendet massiv SPAM mit einer FROM-Adresse mit einer meiner Domains!
Angenommen Du hättest koehntopp.de als Domain.
1. Entferne den
@koehntopp.de kris
aus Deiner virtusertable. Streiche also Default-Accounts für die ganze Domain.
2. Setze in die .procmailrc
# Postmaster notify
:0
* ^Subject:.*(ostmaster notify|eturned Mail|elivered|elivery|eliverable|ranscript|ailure notice|Notification d'état|Notificación del estado de entrega) /home/kris/Mail/postmaster
Mehr kannst Du nicht tun.
Es sind doch zumeist Websites, die auf diese Art beworben werden. Der Spammer braucht ja einen Auftrageber. So könnte man sich auch bei dem ISP der betreffenden Website beschweren. Auf diese Art gibt es schon eine Website (Porndialer geknackt. HAHA) weniger. Zumindest gibt es sie nicht mehr unter diesem Namen bei dem entsprechenden ISP. Der hat ziemlich schnell reagiert. Wenn dem Spammer und dessen Auftraggeber auf diese Art die Grundlage entzogen wird wäre das doch schon mal ein kleiner Erfolg. -- MfG Helmut
participants (20)
-
Al Bogner -
Andreas Kneib -
David Haller -
Frank Röske -
Heimo Ponnath -
Helmut.Scholl_Witten@t-online.de -
Joerg Rossdeutscher -
Konrad Neitzel -
Kristian Koehntopp -
Marco Oerder -
Martin Falley -
Matthias Houdek -
Ralf Driesner -
René Falk -
Stefan Becker -
Stefan Onken -
Steffen Moser -
Thilo Alfred Bätzig -
Thomas Hertweck -
Ulrich Klenk