Christian Westendorf wrote:
Sandy Drobic schrieb:
Die Grundbedingung ist, dass der Webserver die Möglichkeit haben muss, eine Email zu versenden. Zweite Bedingung ist, dass der Spammer die Möglichkeit hat, von extern Inhalte zum Mailen auf den Server zu übertragen.
Möglichkeiten dafür sind unter anderem:
- falsch gesetzte Rechte (Schreibrechte für anonymus auf /tmp und die Möglichkeit, so dort unter vorhersagbarem Namen ein Script hinzuschreiben und danach vom Server aufzurufen.
- Ein nicht abgesichertes Script, welches durch Eingaben dazu gebracht wird, Mails zu versenden.
- Eine Anwendung, welche über das Netzwerk erreichbar ist und eine Sicherheitslücke hat.
- ein Hammel als Sysadmin, der sich das Passwort für die Serveradministration auf die eine oder andere Art abluchsen lässt, sei das technisch oder eben die psycho-soziale Masche.
Hat deine Frage einen realen Hintergrund?
Sandy
Danke erstmal für die schnelle Antwort. Meine Frage hat den Hintergrund, dass mein Server in der Anfangszeit mit einem bescheidenen Script zum spammen missbraucht wurde. danach hatte ich den Server neu aufgesetzt. das Script natürlich nicht wieder installiert ;-). Heute habe ich eine Mail bekommen, von einem Uniserver dass eine Mail nicht zugestellt werden konnte. Diese ging an die Spammer Adresse, obwohl wie gesagt das Script seit dem Neusaufsetzen (Mitte Letzten Jahres) nicht mehr läuft. Also muss doch da wieder was sein oder interpretiere ich das falsch?
Wahrscheinlich ist das eine Fehlinterpretation. Ich habe einige abgeschaltete Adressen, für die nach Jahren noch Emails hereinkommen. Natürlich handelt es sich dabei samt und sonders um Spammails. Hintergrund ist, dass Spammer entgegen vielen Vermutungen sich nicht die Mühe machen, eine Adresse zu überprüfen, sondern einfach alle Adressen durchprobieren. Offensichtlich ist es effizienter für die Spammer, möglichst alle Adressen incl. falsche durchzuprobieren als die falschen aus der Liste auszusondern. Eine zweite Besonderheit von Spammern ist, dass sie gerne die Absenderadressen fälschen. Früher haben sie einfach ungültige Adressen genommen, heute nehmen sie meistens eine weitere Opferadresse als Absender. Das hat zum einen den Vorteil für den Spammer, dass eine Adressüberprüfung erfolgreich bestätigt, dass die Adresse existiert. Zum anderen wird die Email, falls sie zuerst angenommen wird, dann der Server feststellt, dass er sie nicht zustellen kann und deshalb bounced, sie dann an die Absenderadresse zugestellt wird. Es wird also der trottelige Mailserver, der eine nicht zustellbare Mail annimmt und dann aber als nicht zustellbar zurückschicken will, als unfreiwilliger Relayserver missbraucht. Diese Art von Relay nennt man "Backscatter". Server, die so blöd sind, landen schnell auf den Blacklists. Ich nehme an, dass du so eine "Backscatter-Mail" erhalten hast. Genau sieht man das aber nur in den Received-Headerzeilen. Und auch diese sind oft genug gefälscht. Da muss man schon genau hinschauen. (^-^) Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com