ein Kunde hat ein Problem er bekommt pro Tag 100 eMails die Delivery failure sagen.
Die eMails sehen folgendermassen aus:
______________________________________
Your message has encountered delivery problems
to the following recipient(s):
unknown user / Teilnehmer existiert nicht
|----------- Message text follows: (body too large, truncated) ----------|
Received: from paul-62a2d8d424 ([68.165.150.40]) by mailin12.sul.t-online.de
with smtp id 1EhElV-2CUa7k0; Wed, 30 Nov 2005 00:20:01 +0100
Message-ID:
From:
To:
Subject: 7: Wh/t IS 0EM software and why d0 you care? (ref:096)
Date: Tue, 29 Nov 2005 18:19:57 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0008_01C5F511.808E8480"
X-Priority: 3
X-MSMail-Priority: Normal
ein Kunde hat ein Problem er bekommt pro Tag 100 eMails die
Delivery failure sagen.
Fall 1:
Er war garnicht der Absender der Mails die nicht zugestellt werden konnten
Lösung : dann ist das ein Wurm ausserhalb seines Netzes, der seine Mailadresse als Absenderadresse angibt (also lügt ;o) ) und an möglichst viele andere Mailadressen im Internet Mails sendet - die auflaufenden Fehlermeldungen werden korrekterweise an den vermeintlichen „Absender“ geschickt
Fall 2:
Er IST der Absender der Mails die nicht ankommen :
Lösung :
Failed to deliver to domain tez.net after 19 tries.
Last error was: Can’t connect to host
er bekommt keine Verbindung zu dem Host - das heisst der Mailserver tez.net antwortet aus irgendeinem Grund nicht (Dienst unten, Server abgeraucht, Netz hinüber was auch immer)
---------------------|
unknown user / Teilnehmer existiert nicht
den Mailserver T-online.de gibt es zwar - aber die Adresse antchgnn ist dort unbekannt, d.h. es gibt kein Postfach für die Mailadresse
antchgnn@t-online
From:
To: Subject: 7: Wh/t IS 0EM software and why d0 you care?
den Rest der Antwort spare ich mir …denn die fett gedruckte Zeile ist ein Betreff aus einer Mail die gerade von Sober.yxz (keine ahnung bei welchem Buchstaben der jetzt ist) versandt wird
Er war garnicht der Absender der Mails die nicht zugestellt
werden konnten
Lösung : dann ist das ein Wurm ausserhalb seines Netzes, der
seine Mailadresse als Absenderadresse angibt (also lügt ;o) )
und an möglichst viele andere Mailadressen im Internet Mails
sendet - die auflaufenden Fehlermeldungen werden
korrekterweise an den vermeintlichen „Absender“ geschickt
Also wäre hier die Löung einfach das Passwort des accounts ändern?
Also wäre hier die Löung einfach das Passwort des accounts
ändern?
das hilft nichts, weil der Wurm ja nicht wirklich das Mailkonto deines Kunden verwendet, um diese Massen-Mails zu versenden sondern es nur als Absenderadresse von einem anderen Mailserver aus verwendet
Ich könnte dir jetzt z.B. auch eine Mail mit Absender [email protected] schicken, obwohl mein Mailserver ganz anders heisst, in einer ganz anderen Domain steht, es auch kein Postfach mit diesem Namen auf meinem Mailserver gibt etc.
Dein Kunde (oder du für ihn) könnte z.B. einen Haufen Filterregeln anlegen mit der alle Mails, die einen der typischen „Wurm-Betreffs“ enthalten (siehe http://www.hoax-info.de ) direkt in den Mülleimer entsorgen - bekommen wird er die Unzustellbarkeitnachrichtenweiterhin - er kann es nicht verhindern
Er kann auch nicht verhindern dass der Wurm in seinem Namen Mails versendet, es sei denn der Wurm befindet sich wirklich in seinem Netz oder auf seinem Server, dann hat er allerdings wirklich ein Problem … hat er einen aktuellen Virenschutz ?
Typisch Spam… Authentifizierung ??
Guten Morgen;
Ist ein typischen Spamproblem…
Irgendein Spammer hat seine Domain gefunden…
Ging mir mit meiner ähnlich… Das hört dann irgenwann von selbst auf…
Wie der Vorposter schon sagte… es ist ein leichtes bei OE zB ein Mailkonto mit deiner Emailadresse einzurichten…
Brauche dazu nur auf neues Emailkonto klicken, gebe als Email: [email protected] ein und beim Mailserver die Zugangsdaten meines Providers… Und schon kann ich mit oa. Emailadresse Mails verschicken.
Das ist die laienhafte Ausführung… Richtige Spammer wissen es ja meist ihre Spuren besser zu verwischen.
Spammer wechseln ziemlich oft die Emailadressen, weil sie ja sonst Gefahr laufen, auf eine Blacklist gesetzt zu werden und hat ihre Spammail ja keinen Sinn. Irgendwann hört das dann auf…
Sicherheitshalber würde ich Hijackthis über den PC laufen lassen.
Und:
Mein Provider bietet momentan eine Authentifizierung an: Eine Kennung mit PW und NUR DANN ist es möglich mehr als 10 Mails auf einmal zu verschicken.
Soll heißen: Ein Spammer der sich meine Domain krallen würde, könnte nur 10 Mails auf einmal verschicken, sind es mehr… reagiert der Mailserver nicht.
Nur wenn ich mich vorher authentifiziere, also mit Kennung u. PW einlogge, kann ich soviele Emailempfänger anschreiben wie ich möchte.
Sollte das einem Spammer gelingen, hat er meine Daten geknackt, was aber bis dato nicht passiert ist.
Vielleicht sollte sich dein Freund mal nach so einem Service erkundigen !
Lg
Manfred
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Das Problem ist allerdings, dass es sich hier um einen
Besitzer einer domain handelt und die email Adressen, die
benutzt werden garnicht existieren.
Das ist nicht das Problem, sondern der beste Ansatz zur Lösung: Einfach nur noch Mails entgegennehmen, für die auch ein lokales Konto existiert, alle anderen schon bei der Kontaktaufnahme am Server blocken. Erspart mir auf meinem kleinen Server pro Woche ca. 15.000 überflüssige Eingänge (geschätzt 70% davon Viren, 30% Spam) im Postmaster-Fach.
Das Problem ist allerdings, dass es sich hier um einen
Besitzer einer domain handelt und die email Adressen, die
benutzt werden garnicht existieren.
Das ist nicht das Problem, sondern der beste Ansatz zur
Lösung: Einfach nur noch Mails entgegennehmen, für die auch
ein lokales Konto existiert, alle anderen schon bei der
Kontaktaufnahme am Server blocken.
Nun, hier geht es um Bounces.
Erspart mir auf meinem
kleinen Server pro Woche ca. 15.000 überflüssige Eingänge
(geschätzt 70% davon Viren, 30% Spam) im Postmaster-Fach.
Jaja, aber das hilft hier nicht weiter. Soll ich jetzt extra auf Dich personifizierte Bounces machen?
Jaja, aber das hilft hier nicht weiter. Soll ich jetzt extra
auf Dich personifizierte Bounces machen?
Ich verstehe deine Bedenken nicht. Gibt es irgendeinen Grund, warum ein Server Bounces auf illegitime, von einem dritten mit gefälschten Adressdaten versendete Mails entgegennehmen sollte?
Jaja, aber das hilft hier nicht weiter. Soll ich jetzt extra
auf Dich personifizierte Bounces machen?
Ich verstehe deine Bedenken nicht. Gibt es irgendeinen Grund,
warum ein Server Bounces auf illegitime, von einem dritten mit
gefälschten Adressdaten versendete Mails entgegennehmen
sollte?
Ich verstehe deine Bedenken nicht. Gibt es irgendeinen Grund,
warum ein Server Bounces auf illegitime, von einem dritten mit
gefälschten Adressdaten versendete Mails entgegennehmen
sollte?
Hm. Wie prüfst Du das denn?
Wir haben einen Bounce auf eine Absendeadresse, die tatsächlich nicht existiert, auf eine Mail aber, die tatsächlich von meinem Netz ausging. Z. B. weil ein Kollege zu blöd war, seinen Mailclient sauber zu konfigurieren. Oder weil irgendein Cleverle meint, seine Herkunft verschleiern zu müssen. Wem kann dieser Bounce etwas nutzen? Allenfalls dem Postmaster (per Catch all), der auf diese Weise feststellen kann, was da los war und entspr. korrigierend eingreifen. Nicht aber dem eigentlichen Absender, da dieser einen solchen Bounce nie erhält.
Als Postmaster aber kann ich dafür sorgen, dass Mails mit ungültiger Absenderadresse das Unternehmen gar nicht erst verlassen. Klar, geht nur, wenn Mails im Namen des Unternehmens ausschliesslich von bekannten Servern ausgehen und dies auch möglichst, z. B. per SPF-Eintrag, ggüber dritten dokumentiert ist.
Postfix et al. unterstützen m. W. derartiges Verhalten native nicht, ich muss also relativ aufwändig meinen eigenen Regelsatz schreiben. Im konkreten Fall stellt dies allerdings für mich keinen Zusatzaufwand dar, da eine Reihe von Mitarbeitern Mails ausschliesslich intern versenden dürfen und ich, will ich für diesen Zweck keinen eigenen Mailserver unterhalten, eh einen entspr. Regelsatz unterhalten muss.
Ich gebe aber dir durchaus recht, dass man an den wohldefinierten Regeln zum Betrieb eines Mailservers nicht drehen sollte, solange man nicht sehr genau weiss, was man tut.
Ich verstehe deine Bedenken nicht. Gibt es irgendeinen Grund,
warum ein Server Bounces auf illegitime, von einem dritten mit
gefälschten Adressdaten versendete Mails entgegennehmen
sollte?
Hm. Wie prüfst Du das denn?
Wir haben einen Bounce auf eine Absendeadresse, die
tatsächlich nicht existiert,
naja, okay, das kann sein. Hier war das Szenario aber anders: irgend ein $IDIOT verschickt Spam mit gefälschtem Absender. Die Bounces zur Nichtzustellbarkeit landen eben bei dem angegebenen Absender, auch wenn der gefälscht ist. Das kann man kaum „wegprüfen“.
auf eine Mail aber, die
tatsächlich von meinem Netz ausging. Z. B. weil ein Kollege zu
blöd war, seinen Mailclient sauber zu konfigurieren.
Naja, okay.
Oder weil
irgendein Cleverle meint, seine Herkunft verschleiern zu
müssen. Wem kann dieser Bounce etwas nutzen? Allenfalls dem
Postmaster (per Catch all), der auf diese Weise feststellen
kann, was da los war und entspr. korrigierend eingreifen.
Nicht aber dem eigentlichen Absender, da dieser einen solchen
Bounce nie erhält.
jaja, aber das ist ein anderer Fall.
Als Postmaster aber kann ich dafür sorgen, dass Mails mit
ungültiger Absenderadresse das Unternehmen gar nicht erst
verlassen.
naja, okay, das kann sein. Hier war das Szenario aber anders:
irgend ein $IDIOT verschickt Spam mit gefälschtem Absender.
Die Bounces zur Nichtzustellbarkeit landen eben bei dem
angegebenen Absender, auch wenn der gefälscht ist. Das kann
man kaum „wegprüfen“.
From: ist offenkundig genauso illegitim wie To:. (Hier sehe
ich die Sache nicht akademisch oder RFC, schlicht aus der
Praxis. Das ist so.)
Der Kunde besitzt ferienwhgsylt.de und wird mit Bounces an
argzz bombardiert. Gibt’s irgendeinen Grund, warum der Kunde
argzz entgegennehmen sollte?
Nein. Ich war davon ausgegangen, daß der Spamer existierende Absenderadressen fälscht. In der Tat sieht die hier auftauchene Adresse nicht exisitierend aus …
Nachtrag
Beim letzten Blick ins Log hatte ich auf einem Server, der im Schnitt täglich knapp 500 legitime Mails versendet/empfängt, jede Sekunde 5 Rejects wegen ‚User unknown in local recipient table‘. Hochgerechnet > 430.000 Mails täglich! Danke Sober, Danke überforderte Windows-Benutzer!
Stell dir mal vor, ich müsste die täglich manuell nach legitimen Irrläufern flöhen. Mir wird im jetzt schon jedes mal schlecht, wenn ich an die Logfiles nur denke, da brauch ich gar nicht erst reinzugucken, um mein Mittagessen wieder auszuspucken.
