Qmail queue voll mit bounce mails durch spoofing

B

badbear

New Member
Hallo zusammen.
Vorweg...ich habe das Forum bereits mehrfach nach spoofing, bounces usw. durchsucht aber kein Thema gefunden, welches hilfreich für mich ist. Daher schildere ich nun hier mein Problem und hoffe, das mir jemand einen Tipp geben kann.

Ich betreibe nun seit 15 Jahren Server aber mit so etwas war ich noch nicht konfrontiert und suche seit 3 Tagen nach einer Lösung.

Problem:
Die Domain eines Kunden wird als gefälschte Absenderadresse für Spoofing-Mails verwendet. Nicht zustellbare Mails landen nun im Queue des Servers, ungefähr 1,2 Mio seit dem 4.11., die ich manuell mit qhandle gelöscht habe.

Frage: Was kann ich tun? qhandle kann ja jetzt kein Sauerzustand bleiben. Und den Mailaccount löschen kann auch nicht die Lösung sein, da laufen 12 aktive Postfächer.

Die Spammails werden von verschiedenen Servern aus den Ostblockländern mit den "wildesten" und unterschiedlichsten Absendernamen von selbstverständlich nicht existierenden Postfächern versandt.

Hier mal ein paar Header:
Code: 
Received: (qmail 32247 invoked from network); 16 Nov 2013 20:36:48 +0100
Received: from res82-160.mediana.net.ua (HELO zencrde) (46.175.82.160)
  by meinserver.de with ESMTPA; 16 Nov 2013 20:36:47 +0100
To: <kevin6028@hotmail.es>, <eldeeb830@yahoo.com>, <renegaderocka@gmail.com>, <ironhand@ntlworld.comy>, <escaper2013@hotmail.com>, <lawrence_clovis@yahoo.com>, <kmwrightstuff@aol.com>, <anthony.pegues49@gmail.com>
Subject: P OR#N  PA{SS & F, O R; F^R #E!E 
Date: Sat, 16 Nov 2013 11:25:01 -0700
From: "s" <le@kundendomain.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-4

----------------------------------------------------------------------------------

Received: (qmail 18317 invoked from network); 16 Nov 2013 20:41:27 +0100
Received: from 5-248-30-203-broadband.kyivstar.net (HELO llcuxa) (5.248.30.203)
  by meinserver.de with ESMTPA; 16 Nov 2013 20:41:27 +0100
Date: Sat, 16 Nov 2013 11:29:41 -0700
From: "ririp v" <kuzewo@kundendomain.de>
To: <lancemanson@hotmail.com>, <fireshick87@aol.com>, <mulrickey@comcast.net>, <matthewbaileyis@hotmail.com>, <12njylf@ameritec.com>, <angelalogan@live.com>, <ihoguapito@yahoo.com>, <w_alhag@yahoo.com>, <emmlegeng202@yahoo.com>
Subject: P -R}I .VA^T ^E{ P %O;R^N 
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii

-------------------------------------------------------------------------------

Received: (qmail 13797 invoked from network); 16 Nov 2013 20:32:05 +0100
Received: from host-77-39-72-102.stv.ru (HELO wkwkqhtywo) (77.39.72.102)
  by meinserver.de with ESMTPA; 16 Nov 2013 20:32:05 +0100
From: fyhe@kundendomain.de
Subject: B E ;S%T^ P +R \I "V-A ,TE _ P/O/R *N=
Date: Sat, 16 Nov 2013 11:20:18 -0700
To: <lucifer.113@live.com>, <annalarsen301406@yahoo.au>, <dkacura6340@yahoo.com>, <pagrpilot@bol.com.br>, <admiralc@hotmail.com>, <mariatu2521@yahoo.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8

Wie man erkennen kann, wird der Spam also nicht von meinem Server versandt. Dennoch werden nicht Zustellbare an die Kundendomain zurückgesandt. Außerdem laufe ich natürlich jetzt Gefahr, mit der betroffenen IP auf Blacklisten zu landen. Gmail und t-online haben schon dicht gemacht.

Meine Server-Eckdaten:
Dedizierter Server bei 1und1 mit CentOS 5.5, Plesk, Qmail
Kein offenes Relay
Updates werden regelmäßig eingespielt
SPF und Greylisting ist aktiviert

Ich kann die Mails ja nicht verhindern aber...was kann ich überhaupt tun? Wie kann man sich gegen diesen Mist zur Wehr setzen?

Bin für jeden Hinweis und für jede Hilfe dankbar.
 
Hi,

wo hast du die Header denn her?
Denn die Received-Zeile
Code: 
Received: from res82-160.mediana.net.ua (HELO zencrde) (46.175.82.160)
  by meinserver.de with ESMTPA; 16 Nov 2013 20:36:47 +0100
deutet - da sie ganz unten steht - ja eigentlich darauf hin, dass dein Server schon in einer gewissen Weise an der Sache sendenderweise beteiligt ist.
Und wenn deine IP-Adressen auf Blacklists stehen, ist das schon ein sehr deutliches Anzeichen dafür, dass da von deinem Server auch in irgendeiner Weise E-Mails verschickt werden. Bei Missbrauch der Domain als Absender ist es eigentlich sehr unüblich, auf irgendwelchen IP-Basierten Listen zu landen!

Deshalb: Schaue ins Logfile und stelle sicher, dass dein Server keinen Spam verschickt! Vielleicht ist da irgendein Account geknackt worden über den jetzt munter E-Mails rausgeballert werden.
 
Hi,
Danke für Deine Antwort. Ja...vielleicht sind die Header etwas verwirrend....sie sind aus dem queue, heißt, sie wurden an den vermeintlichen Absender zurückgesandt und werden dann natürlich von meinem Server abgewickelt.

Hier mal ein anderer Header, den ich vom Kunden habe. Hier erkennt man, das die Rücksendung bei Unzustellbarkeit an die gefakte Adresse geht:
Code: 
Return-Path: <xyc@kundendomain.de>
Received: (qmail 32084 invoked from network); 13 Nov 2013 19:08:20 +0100
Received: from 77-244.37-1.dynamic-fttb.kharkov.volia.com (HELO jrsbui) (77.244.37.1)
  by meinserver.de with ESMTPA; 13 Nov 2013 19:08:20 +0100
Date: Wed, 13 Nov 2013 09:56:52 -0700
From: xyc@kundendomain.de
Subject: P*O. R,N # F O~R! F R |E {E-
To: <bassca49@hotmail.com>, <kdtahan@gmail.com>, <vms@qconline.com>, <steven_marco21@hotmail.com>
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-7

Die Logfiles bezüglich Versand sind unauffällig. Auch habe ich bereits alle Scripte der betroffenen Domain überprüft, alles negativ. Der Kunde benutzt CMS made Simple und hat das Script komplett neu und aktuell aufgespielt, es sind keinerlei Formulare integriert.

Gestern Abend um 20 Uhr war plötzlich Schluss, seit 2 Uhr heute Nacht ging es dann weiter.....und läuft immer noch...:mad:
 
Hallo zusammen...

da die sog. backscatter mails, erzeugt durch nicht zustellbare spoofing mails noch immer auf mich einprasseln versuche ich natürlich weiterhin, das Problem für mich zufriedenstellend zu lösen.

Nachdem ich zu Qmail bei 1&1 diesen Artikel gelesen habe, bin ich von Qmail auf Postfix umgestiegen. Der Wechsel ist relativ simpel. Doch die Freude währte nur kurz, 2 Stunden nach Mailserverwechsel ging es wieder los.

Jetzt gibt es natürlich diverse Möglichkeiten, die Bouncemails herauszufiltern. Man läuft allerdings auch Gefahr, reguläre Mails mit herauszufiltern.

Dann stieß ich noch auf eine Artikel eines Universitätsstudenten aus den USA:
spoofing/backscatter

Und obwohl ich mich immer noch nicht damit abfinden möchte scheint es doch nur die eine Lösung zu geben: Aussitzen oder die Kundendomain abknipsen. Doch der Internetauftritt selbst ist ja nicht betroffen. Die großen Provider machen es sich da einfach, die schalten einfach den Kunden ab...fertig.

Fakt ist: Man kann sich anscheinend nicht dagegen wehren...und...es kann jeden treffen.
 
Noja, du könntest evtl. die Backscatterer-DNSBL mit in die recipient_restrictions aufnehmen (wobei so etwas immer mit etwas Vorsicht zu genießen ist): http://www.backscatterer.org/

Damit könntest du dann Mails von bekannten Backscatterern direkt ablehnen, ohne dass es dir die Queue vollmüllt.
 
Verwendet der Spammer denn real existierende E-Mail-Adressen der Kundendomain oder sind das wie meist üblich irgendwelche generierten? Bei letzterem dürften diese Mails gar nicht in deiner Queue landen, sondern direkt direkt abgewiesen werden (außer bei denen, wo der Spammer mal bei der Auswahl der Absender-Adresse einen treffer gelandet hat).
Oder hast du für die Kundendomain einen Catch-All eingerichtet? Ich dem Fall weißt du ja nun, warum man sowas nicht machen sollte.
Wenn die ganzen Bounces für nicht zustellbare Mails bei dir in der Queue landen, kannst es übrigens auch sein, daß du evtl. selber Backscatter verursachst und daher auf Blacklists gelandet bist.
 
badbear said:
Ja...vielleicht sind die Header etwas verwirrend....sie sind aus dem queue, heißt, sie wurden an den vermeintlichen Absender zurückgesandt und werden dann natürlich von meinem Server abgewickelt.
Click to expand...
Auch ich bezweifle das Deine Annahme korrekt ist. Es geht hier nicht um "Backscatter" oder "Bounces".
Anhaltspunkt: Bounces werden von einem MAILER-DEAMON versendet, haben im Subjekt bereits eine Beschreibung der Unzustellbarkeit und sind immer nur an eine Email gerichtet.
Was ich hier sehe, ist eine reine Spam-Email mit (gespooften?) Absender und mehreren Empfängern.

Dein Ansatz zur Lösungsfindung ist also falsch. Daher wiederhole ich Lord Gurke:
Schaue ins Logfile
Click to expand...

Ach ja und PS:
Solange das läuft und keine Lösung hast, stoppe den Mailserver. Allein schon um Deine "IP-Reputation" zu schonen. Aber auch um andere Menschen vor dem Spam zu bewahren.

huschi.
 
You must log in or register to reply here.
Back
Top