Account wurde missbraucht um Spam zu versenden. Was tun?

[snake*sl]

Ein Server von mir hat heute etliche tausend Spams versendet und ist
dadurch auf einigen Spamlisten gelandet. Als erste Vermutung hatte ich
eines der Webs im Auge. Also wurden erstmal alle sendmail-Request
geloggt. Kein Ergebnis.
Dann habe ich herausgefunden, dass ein die Spams von einem Kundenkonto
kamen. Bei diesem Konto hab ich dann das Passwort geändert und Postfix
wieder gestartet und parallel beobachtet.

Ab sofort war Ruhe (ich habe vorher natürlich sämtliche 223000 SpamMails
aus dem Queue genommen)

Seitdem ist alles gut. Ich muss nun nur noch zusehen, dass ich wieder von
den Listen verschwinde.

Aber meine eigentliche Frage:
Was kann man tun, um solche massiven Spamwellen zu unterbinden?
Kann ich die ausgehenden Mails pro Account limitieren? Ist das erlaubt?

Danke für Eure Hilfe!

 

[Sven_R]

Passwort Richtlinien vorgeben, wodurch die User zu Komplexen Passworten angehalten werden. System Absichern, alte Account löschen oder unbrauchbar machen. Alle wichtigen Updates einspielen um Hintertüren zu Reduzieren.

Für Apache kannst du an der Konfiguration einstellen das immer die User als Absender angeben werden.
Mails von Usern durch die Spam und Viren Filter jagen. Bei den Listen eine Austragung beantragen, geht meist über Webformular. Wenn es wirklich wichtige Mails sind zweiten Mailserver dazu stellen um solchen Problemen ein bisschen den Schrecken zu nehmen.

Sven

 

[s24!]

Benutzt du postfix? Hierzu hat ein SSF-User mal zwei Stichworte in den Raum geworfen:

Weist ihr outgoing ab wenn es Spam ist?

Servus, nachdem ich in der vergangenen Woche durch ein Absue von mail.ru als Spamversender geoutet wurde :eek: und herauskam, dass ein geknacktes Passwort von einem Kunden die Ursache war (also für mich keine Möglichkeit das zukünftig zu verhindern) habe ich meine Konfiguration nochmal...

serversupportforum.de

Verhindert es nicht, ist aber effektiv um das Ausmaß gering zu halten.

Was ich auf unseren Servern auch mindestens wöchentlich mache: Mailqueue einmal durchsehen. Wenn ein Absender viele Mails dort drinhängen hat, ist das meiner Erfahrung nach in 7/10 Fällen ein Spammer - ob bewusst oder unbewusst.

 

[snake*sl]

Passwort Richtlinien vorgeben, wodurch die User zu Komplexen Passworten angehalten werden. System Absichern, alte Account löschen oder unbrauchbar machen. Alle wichtigen Updates einspielen um Hintertüren zu Reduzieren....
Sven

Das ist alles gemacht worden. Jedoch bringt das alles nichts, wenn dem Benutzer seine Accountdaten via Trojaner/unsicheres WLAN o.ä. entwendet werden.

Weist ihr outgoing ab wenn es Spam ist?

Servus, nachdem ich in der vergangenen Woche durch ein Absue von mail.ru als Spamversender geoutet wurde :eek: und herauskam, dass ein geknacktes Passwort von einem Kunden die Ursache war (also für mich keine Möglichkeit das zukünftig zu verhindern) habe ich meine Konfiguration nochmal...

serversupportforum.de

Sauber, danke für den Hinweis!Und ja, Postfix

Was ich auf unseren Servern auch mindestens wöchentlich mache: Mailqueue einmal durchsehen. Wenn ein Absender viele Mails dort drinhängen hat, ist das meiner Erfahrung nach in 7/10 Fällen ein Spammer - ob bewusst oder unbewusst.

Machst Du das händisch? Könnte man ein kleines Shellscript schreiben, bzw. in irgendwelche nächtlichen Crons ein "mailq | egrep '^--'" mit anhängen.

 

[PapaBaer]

Sowas kann man recht schnell in sein Monitoring einbauen und bei Bedarf innerhalb weniger Minuten alarmieren,.

 

[s24!]

Hi,

ich bin nicht Sven_R.
Ja, ich schaue die Mailqueue manuell durch. Geht hier ja nicht um das Erkennen von Massenmailings (das tut das Monitoring und fertig), sondern um das manuelle Suchen nach Spammern. Ich glaube nicht, dass Automatisierung hier sonderlich sinnvoll ist. Für sowas ist das Gehirn meiner Meinung nach besser geeignet als irgendwelche Skripte.


Grüße
Tim