16000 Bouncemails in wenigen Tagen

[wakko]

Hallo zusammen,
einer unserer Mailnutzer wird gerade mit Bouncemails geflutet. Im Moment sind es ca. 16000 und steigend seit der letzten Woche.
Aber wenn ich die Header richtig deute, wird da nur die betreffende Mailadresse als Absender missbraucht, und der Spam nicht über meinen Server verschickt:
(eigene IP und betreffende Mailadresse anonymisiert)

This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

tespih_@hotmail.com
SMTP error from remote mail server after MAIL FROM:<xxx@yyy.zz> SIZE=2859:
host mx2.hotmail.com [65.55.37.88]: 550 SC-001 (COL004-MC2F25) Unfortunately, messages from xxx.xxx.xxx.xxx weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

------ This is a copy of the message, including all the headers. ------

Return-path: <xxx@yyy.zz>
Received: from vps19069.lws-hosting.com ([192.162.71.174] helo=spectroshop.ciblo-marketing.net)
by yyy.zz with esmtpsa (TLS1.0:ECDHE_RSA_AES_256_CBC_SHA1:256)
(Exim 4.84_2)
(envelope-from <xxx@yyy.zz>)
id 1cG4n7-0001hA-BJ
for tespih_@hotmail.com; Sun, 11 Dec 2016 15:07:49 +0100
Date: Sun, 11 Dec 2016 15:07:49 +0100
To: tespih_@hotmail.com
From: Deborah <xxx@yyy.zz>
Reply-To: Deborah <xxx@yyy.zz>
Message-ID: <b2396380778e97a0e3ebab329d272bf5@spectroshop.ciblo-marketing.net>
X-Mailer: PHPMailer 5.2.14 (https://github.com/PHPMailer/PHPMailer)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_b2396380778e97a0e3ebab329d272bf5"
Content-Transfer-Encoding: 8bit
X-SA-Exim-Connect-IP: 192.162.71.174
X-SA-Exim-Mail-From: xxx@yyy.zz
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
yyy.zz
X-Spam-Level:
X-Spam-Status: No, score=-2.9 required=5.0 tests=ALL_TRUSTED,BAYES_00,
HTML_MESSAGE,URIBL_BLOCKED autolearn=ham autolearn_force=no version=3.4.0
Subject: Sex on a first date is guaranteed
X-SA-Exim-Version: 4.2.1 (built Mon, 26 Dec 2011 16:24:06 +0000)
X-SA-Exim-Scanned: Yes (on yyy.zz)

This is a multi-part message in MIME format.
....
[Inhalt entfernt]

Dass diverse Host Europe IP Adressbereiche von Microsoft Maildiensten geblockt werden ist mir bekannt. Betrifft auch meinen Server.
Das Problem beschränkt sich aber nicht auf Microsoft Dienste.

Habe ich die gebouncten Mailheader korrekt verstanden? Also wird da wirklich nur die betreffende Mailadresse als Fake-Absender missbraucht?
Die "Received: from ....." Zeile ist nie unsere eigene IP bzw. Hostname.

Und wie kann ich die Bounce-Flut eindämmen? Also außer vorübergehend den Mailserver oder zumindest den User-Alias abzuschalten?

 

[XioniX]

Etwas mehr Informationen bitte: Mailsoftware? Versionen? Distribution? Plesk o.ä.? Mail-Logs?

Wenn Postfix, dann mal folgendes durchlesen:
http://www.postfix.org/BACKSCATTER_README.html

 

[danton]

Du hast ja in folgendem Text neben der eMail-Adresse auch die IP anonymisiert:

SMTP error from remote mail server after MAIL FROM:<xxx@yyy.zz> SIZE=2859:
host mx2.hotmail.com [65.55.37.88]: 550 SC-001 (COL004-MC2F25) Unfortunately, messages from xxx.xxx.xxx.xxx weren't sent. Please contact your Internet service provider since part of their network is on our block list. You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors.

Hat da die IP deines Servers drin gestanden? Falls ja, ist die ursprüngliche Mail über deinen Server versandt worden.
Die Received-Zeile:

Received: from vps19069.lws-hosting.com ([192.162.71.174] helo=spectroshop.ciblo-marketing.net)
by yyy.zz with esmtpsa (TLS1.0:ECDHE_RSA_AES_256_CBC_SHA1:256)

stammt vom letzten Mailserver vor dem Hotmail-Server. Dieser trägt seine eigene IP dort nicht ein, nur die, von dem er die Mail erhalten hat sowie seinen eigenen Namen (yyy.zz). Die Mail wurde per SMTP-Auth eingeliefert (esmtpsa) - also mit der korreten Kombination aus Benutzername und Passwort.
Theoretisch würde sich die Received-Zeile zwar fälschen lassen, aber das kannst du ganz einfach prüfen, indem du in den Logs auf deinem Server nachsiehst, ob die Mail darüber gelaufen ist. Ich würde aber erst mal davon ausgehen, das jemand da an Zugangsdaten gekommen ist.
Also Mailserver stoppen, Logs kontrollieren und ggfl Gegenmaßnahmen treffen (Passwort ändern oder verwendetes Konto deaktivieren, Queue leeren, prüfen, ob weitere Konten kompromitiert sind, usw.). Erst dann den Mailserver wieder starten und die Aktivität beobachten.

 

[wakko]

Auf dem vServer läuft ein Debian 8 (Up-to-date) mit einem exim4-daemon-heavy. Mailversand (SMTP) geht nur nach Authentifizierung. Definitiv kein offenes Relay.
Die Exim-Maillogs enthalten leider nichts aufschlussreiches. Bei weiterer Analyse der Bouncemails ist nach wie vor keine dabei, die ein Indiz für Spamversand über unseren Server enthält. Die ursprüngliche Absender-IP ist nie unsere eigene. Im Moment sieht es so aus, als müsste man das wirklich aussitzen und regelmäßig mal in dem betreffenden Account die Bouncemail-Flut löschen.
Danke für das Stichwort "Backscatter". Ich werde mich mal nach Backscatter-Blocking für exim4 schlau lesen.

Edit: Zu lange getippt und die Antwort von danton verpasst
Guter Hinweis. Danke.
Das Passwort für den betreffenden Nutzer wurde bereits geändert (vor ca. 3h). Ich werde mal die Mail-Queue löschen und die restlichen Ratschläge befolgen. Nach RÜcksprache mit dem Nutzer scheint es wirklich möglich, dass da Anmeldeinformationen missbraucht wurden....

 

[danton]

Mailversand (SMTP) geht nur nach Authentifizierung.

Der Mailversand ist ja auch per Authentifizierung erfolgt, sagt zumindest die Received-Zeile.

 

[wakko]

Vielen Dank für die Hilfe. Das Beobachten der Mail-Queue war ein guter Tipp.
Offenbar hat sich der betreffende Nutzer wirklich die Zugangsdaten klauen lassen.
Das Löschen und anschließendes Beobachten der Exim Queue hat gezeigt, dass selbst nach Ändern des Passworts weiter Spam über den Account verschickt wurde. Erst seit dem Neustart von exim und dem saslauthd ist Ruhe.

Wie auch immer: Heißen Dank!

 

[danton]

Dir ist aber hoffentlich klar, dass es damit nicht getan ist. Es ist gut möglich, dass deine IP mittlerweile auf einigen Blacklists steht, wo du dich ggfl. drum kümmern mußt, wieder entfernt zu werden.
Auch solltest du vorbeugende Massnahmen für die Zukunft treffen, damit du solche Sachen erkennen und schnell stoppen kannst.

 

[wakko]

Mit dem Tool "eximstats" liess sich gut eingrenzen, ab wann der Account kompromittiert war. Und damit das nicht nochmal vorkommt (bzw. nicht erst bei Anruf des Nutzers entdeckt wird) habe ich das jetzt als cronjob eingerichtet, so dass ich da 1x täglich eine Mail bekomme. Mehr als 10-20 ausgehende Mails pro Stunde sind als ungewöhnlich anzusehen. Das kann man in dem eximstats Report gut erkennen. Wenn ich mal Langeweile habe versuche ich das noch in den Logwatch Report zu integrieren oder in den cronjob eine Schwelle einzubauen, die die Mail erst bei mehr als X Mails pro Stunde verschickt.
Die Blacklist-Prüfung steht für heute Abend an.