Mailserver-Problem: ca 10-20 Mails pro Sekunde

[franz.stumpner]

Hallo Forum

habe seit heute morgen das Problem, dass ich (aus mir derzeit noch unerklärlichen Gründen) pro Sekunde ca 10-20 Mails an meinen Mailserver bekomme mit Usernamen die es garnicht gibt.

z.b.
ufasxcgf@meinedomain.com

Die Absender-Hosts sowie die Usernamen lauten immer anders. Mein Mailserver wird regelrecht bombardiert. Der Mailserver (auf dem übrigens Postfix läuft) ist jedoch dicht: Also Relaying denied usw..

Problem ist jedoch dass der Mailserver fast in die Knie geht weil er soviel mit diesen "Angreifer-Mails" zu tun hat.

Meine Frage: gibt es da irgendeine Abhilfe gegen solche Probleme, wie geht man da am besten vor?
Komischerweise betrifft das nur eine Domain, obwohl mein Mailserver für mehr als ein Dutzend Domains die Emails annimmt.

Ich hoffe Ihr könnt mir helfen....

Danke
lg franzi

 

[Thorsten]

Hallo!
Wie unterschiedlich sind die IP Adressen der einliefernden Hosts denn wirklich? Kann man das ganze auf einige, wenige Sub-Netze reduzieren? IP Adressen sammeln und diese Netzte mit IP Tables sperren.

mfG
Thorsten

 

[franz.stumpner]

An sowas hätte ich auch schon gedacht, jedoch sind die IPs total verschieden.

 

[Huschi]

Bei mir ist so ein Spuk nach wenigen Minuten wieder vorbei.
Hat es sich auch bei Dir gelegt?

huschi.

 

[franz.stumpner]

Nein, hat sich leider noch immer nicht gelegt

Hätte gestern mal versucht mit der Firewall (iptables) gewisse IP-Adressen oder Bereiche zu sperren, aber nachdem die Connects von Überall/Irgendwo kommen kann man das nicht eingrenzen.

Was ich jetzt herausgefunden hab: es handelt sich bei den Mails meist um

"delivery failure"-Mails

also Antworten auf ein Mail dass nicht zugestellt werden konnte.
Scheint so als ob jemand mit den Absender meiner Domain (und mit Usernamen die es garnicht gibt) Mails versendet und die dann natürlich zurückkommen weil ich bzw. meine Domain als Empfänger eingetragen bin.

Ich kann nur hoffen dass es sich Mitte/Ende der Woche legt.

 

[gnugu13]

Nein, hat sich leider noch immer nicht gelegt

Was ich jetzt herausgefunden hab: es handelt sich bei den Mails meist um

"delivery failure"-Mails

also Antworten auf ein Mail dass nicht zugestellt werden konnte.
Scheint so als ob jemand mit den Absender meiner Domain (und mit Usernamen die es garnicht gibt) Mails versendet und die dann natürlich zurückkommen weil ich bzw. meine Domain als Empfänger eingetragen bin.

Ich kann nur hoffen dass es sich Mitte/Ende der Woche legt.

Es kann sich um ein Joe Job handeln.
Gibt es im Bounce Hinweise auf den Inhalt der orginalen mails??
Gruss
Klaus

 

[franz.stumpner]

Hab mir einige Mails angesehen die da reinkommen. Sind alle Spam und viele haben einen ähnlichen Inhalt, wie ich hier poste:

Hum.a.n Gro.wt.h hor.mon.e results have been proven in Hundreds of clinical studies.

There is no question you will look and feal healthier.

Would you enjoy stopping the aging process?

Safe, effective, and n-o risk!

Âhttp://thefinestreach.com/h/heya/​

Was ist ein Joe Job? Mit dem Begriff kann ich nichts anfangen?

mfg
franz stumpner

 

[gnugu13]

Hab mir einige Mails angesehen die da reinkommen. Sind alle Spam und viele haben einen ähnlichen Inhalt, wie ich hier poste:

Hum.a.n Gro.wt.h hor.mon.e results have been proven in Hundreds of clinical studies.

There is no question you will look and feal healthier.

Would you enjoy stopping the aging process?

Safe, effective, and n-o risk!

Âhttp://thefinestreach.com/h/heya/​

Was ist ein Joe Job? Mit dem Begriff kann ich nichts anfangen?

mfg
franz stumpner

na wenn jemand deine email accounts/domain als Absender angibt.
siehe auch : http://en.wikipedia.org/wiki/Joe_job
Gruss
klaus

 

[franz.stumpner]

Hmm scheinbar handelt es sich wirklich um einen Joe Job, danke für den Link!

Hat jemand eine Idee wie man sowas Herr wird? Bei mir geht das nun schon seit Sonntag Nacht so?
Kann ja eigentlich nichts dagegen unternehmen, da ich selbst diese Mails mit falschem (meinem) Absender nicht verschicke.

Hab sicherheitshalber mal die betroffene Domain auf einen anderen Mailserver ausgelagert, damit der Mailempfang der anderen Domains die noch auf dem Server laufen nicht betroffen sind.

 

[Huschi]

Hat jemand eine Idee wie man sowas Herr wird? Bei mir geht das nun schon seit Sonntag Nacht so?

Mit einen 'SPF Eintrag' in einem TXT-Records im DNS-Server.
Leider unterstüzen bisher nur wenige Domain-Hoster TXT-Records.
Allerdings kann man dies mit einem eigenen DNS-Server umgehen.

Schlag mal bei wikipedia.de den Begriff 'SPF Eintrag' nach.

Kann ja eigentlich nichts dagegen unternehmen, da ich selbst diese Mails mit falschem (meinem) Absender nicht verschicke.

Genau das.

huschi.

 

[franz.stumpner]

Danke hushi für den Tip,
Hilft das wirklich? Hat da jemand schon Erfahrungswerte damit?

Leider ist die Domain bei united-domains registriert und die haben ein SEHR schwaches DNS Interface, da kann man nichtmal Sub-Domains anlegen.

Wenn jemand sagen kann dass so ein SPF-Eintrag wirklich hilft, überleg ich die Domain zu einem anderen Provider zu übersiedeln, der mir mehr DNS Einstellungen ermöglicht.

lg franzi

 

[Huschi]

Hilft das wirklich? Hat da jemand schon Erfahrungswerte damit?

Wie man unter http://de.wikipedia.org/wiki/Sender_Policy_Framework lesen kann, wird SPF zumindest von den großen Emailern wie GMX, Hotmail, AOL und Gmail (im deutschen GoogleMail) genutzt.
Dies würde deutlich was helfen, denke ich.

Leider ist die Domain bei united-domains registriert

Meine hauptsächlich für Spam missbrauchte Domain leider auch.
Hatte mal ein Ticket dazu eröffnet. Das war die Antwort:

Ihre Ticket-Nummer: xxxxxx

Sehr geehrter Herr xxxxxxxxx,

vielen Dank für Ihre Anfrage.

Aufgrund zu geringer Nachfrage und eines technisch sehr hohen Aufwandes bieten wir diese Funktion nicht an. Bitte wenden Sie sich hierzu an den Betreiber Ihrer Mailserver.

Mit freundlichen Grüßen

united-domains.de
Support-Team (D***** D*****)

huschi.

 

[society]

@Huschi warum kommst du nicht auf meine DNS Server?

 

[franz.stumpner]

Hallo nochmal.

Weiss jemand wie lang so ein Joe-Job dauern kann? Das ganze läuft jetzt schon fast eine Woche ununterbrochen und es ist kein Ende in Sicht?
Werd noch bis nächste Woche warten und dann mal schaun ob ich bei united-domains auf andere DNS Server wechseln kann und das mit dem SPF Eintrag probieren, vielleicht hilfts ja?

@society:

hast du eigene DNS Server? Wenn ja, wieviel kostet DNS Hosting bei dir? Ist Webinterface dabei? Wie ausfallsicher sind die?