DOS-Attacke durch Spammer

Internet Internet Sicherheit
#1

Hallo,

vielleicht könnt ihr mir auch im Rechtsbrett weiterhelfen, aber zusätzlich sei hier die Frage gestellt:

Was tun, wenn ein Spammer nachhaltig und trotz mehrfacher, böser telefonischer Ermahnung und angeblicher Einsicht versucht, einen beruflich genutzten Mailserver als Spam-Relay zu mißbrauchen? Es geht hier um viele Tausend Mails in kürzester Zeit.

Mail an abuse@t-online (sein Provider) ist raus, aber T-Online ist ja bekanntlich nur so mittelzuverlässig. Ich hab mir bis jetzt damit beholfen, die IP manuell per Paketfilter zu sperren, bei Dial-In-Zugängen hilft das aber nur begrenzte Zeit.

Von den lästigen Fehlermeldungen mal abgesehen müllt der mir die Mailqueue voll und auch die Traffickosten werden irgendwann relevant…

Also, was kann man da noch tun?

Gruß,

Malte.

PS: Der Mailserver liefert die Mails natürlich nicht aus.

#2

Schau’ mal hier:
http://lawww.de/Library/stgb/303b.htm
http://lawww.de/Library/stgb/263a.htm
Also könnte ja mal ein Besuch bei der Polizei nicht schaden.
Eventuell gelten auch andere Paragraphen, die ich nicht kenne

#3

Hallo,
rein rechtlich wurde dir ja schon geholfen, denke ich.
Desweitern solltest du deinen Mailserver abdichten, so dass er kein offenes SMTP Relay mehr ist.
Sonst hast du immer wieder dieses Problem.
Böse Zungen könnten auch behaupten selber schuld :wink:

#4

vielleicht könnt ihr mir auch im Rechtsbrett
weiterhelfen, aber zusätzlich sei hier die Frage gestellt:

Nachdem ich deine Nachfrage im Rechtsbrett gelesen habe, habe ich mir gedacht, guckste mal in IT-Sicherheit nach. Voilá! Zu den rechtlichen Aspekten weiss ein Lawyer nämlich mehr zu sagen. Aber…

[…]

Von den lästigen Fehlermeldungen mal abgesehen müllt der mir
die Mailqueue voll und auch die Traffickosten werden
irgendwann relevant…

das versteh’ ich nun nicht. Wieso kann der dir die Mailqueue zumüllen? Bis zum DATA-Tag darf der doch nie kommen!?! Spätestens nach MAIL FROM: u. RCPT TO: sollte dein Server mit entspr. Meldung dicht machen. Auch wenn er mehrere tausend Adressen nacheinander schickt, ist dies zwar ein messbares, aber dennoch vernachlässigbares Volumen.

Oder schickt er die Spams in deine Domain hinein, ist es also kein echtes Relaying? In diesem Fall ist ein DOS leicht möglich, insbesondere, wenn er mit einer schnellen Anbindung dutzende oder hunderte Threads parallel öffnet. Aber bei einem echten Relay-Attempt habe ich auch auf einer einfachen ISDN-Anbindung noch nie auch nur ansatzweise eine echte Störung des Geschäftsverkehrs durch derartige Vorfälle feststellen können.

Ich denke, du solltest deinen Server mal ein bisschen umkonfigurieren.

Gruss
Schorsch

#5

Hallo,

Was tun, wenn ein Spammer nachhaltig und trotz mehrfacher,
böser telefonischer Ermahnung und angeblicher Einsicht
versucht, einen beruflich genutzten Mailserver als Spam-Relay
zu mißbrauchen? Es geht hier um viele Tausend Mails in
kürzester Zeit.

Mail an abuse@t-online (sein Provider) ist raus, aber T-Online
ist ja bekanntlich nur so mittelzuverlässig. Ich hab mir bis
jetzt damit beholfen, die IP manuell per Paketfilter zu
sperren, bei Dial-In-Zugängen hilft das aber nur begrenzte
Zeit.

echo "&[email protected]" \> /var/qmail/alias/.qmail-default

Se „don’t try this at home & SCNR“ bastian

#6

Von den lästigen Fehlermeldungen mal abgesehen müllt der mir
die Mailqueue voll und auch die Traffickosten werden
irgendwann relevant…

das versteh’ ich nun nicht. Wieso kann der dir die Mailqueue
zumüllen? Bis zum DATA-Tag darf der doch nie kommen!?!

Spätestens nach MAIL FROM: u. RCPT TO: sollte dein Server mit
entspr. Meldung dicht machen. Auch wenn er mehrere tausend
Adressen nacheinander schickt, ist dies zwar ein messbares,
aber dennoch vernachlässigbares Volumen.

Im Moment ist der Server so eingerichtet, daß ich ne „Postmaster Notify“ Meldung mit jeder gebouncten Mail bekomme.

Oder schickt er die Spams in deine Domain hinein, ist
es also kein echtes Relaying?

Nein.

Ich denke, du solltest deinen Server mal ein bisschen
umkonfigurieren.

Ich bin nicht der Postmaster, das macht eigentlich mein Kompagnon :smile:

Im maillog findet sich halt folgendes:

Aug 23 14:40:52 alliednetworks sm-mta[72926]: i7NCeqWP072926: ruleset=check\_rcpt
, arg1=, relay=pD9E17E17.dip.t-dialin.net [217.225.126.23
], reject=550 5.7.1 ... Relaying denied. Proper authentic
ation required.

Hm, bis jetzt war es zu diagnostischen Zwecken meistens ganz hilfreich die gebouncten Mails zu bekommen. Aber das gehört wohl besser abgeschaltet.

Danke und Gruß,

Malte.

#7

Hi,

Desweitern solltest du deinen Mailserver abdichten, so dass er
kein offenes SMTP Relay mehr ist.

Lies nochmal nach: Der Server liefert die Mails nicht aus, ist also kein offenes Relay. Aber nervig ist es trotzdem.

#8

Hallo,

Im maillog findet sich halt folgendes:

Aug 23 14:40:52 alliednetworks sm-mta[72926]: i7NCeqWP072926:
ruleset=check_rcpt
, arg1=,
relay=pD9E17E17.dip.t-dialin.net [217.225.126.23], reject=550 5.7.1 … Relaying
denied. Proper authentication required.

Hm, bis jetzt war es zu diagnostischen Zwecken meistens ganz
hilfreich die gebouncten Mails zu bekommen.

Naja, da gab es nichteinmal Bounces: schließlich wurde die Mail nicht angenommen.

Gebouncte Mails zu sehen, ist für den Postmaster schon auch sinnvoll.

Gruß,

Sebastian

#9

Hallo,

Desweitern solltest du deinen Mailserver abdichten, so dass er
kein offenes SMTP Relay mehr ist.

Lies nochmal nach: Der Server liefert die Mails nicht aus, ist
also kein offenes Relay.

Ich sehe keine „Bounces“.

Aber nervig ist es trotzdem.

Hat der MTA schon einen konkreten Namen?

Gruß,

Sebastian

#10

Hm, bis jetzt war es zu diagnostischen Zwecken meistens ganz
hilfreich die gebouncten Mails zu bekommen.

[…]

Gebouncte Mails zu sehen, ist für den Postmaster schon auch
sinnvoll.

Klar, Bounces auf nach innen oder von innen nach aussen gerichtete Mails. Aber wo soll der Vorteil liegen, wenn ich die Inhalte irgendwelcher Relay Attempts zu sehen bekomme? Ich kann anhand derer vielleicht feststellen, ob ich es mit einem kriminellen Spammer zu tun habe, oder mit einem Trottel, der versehentlich einen falschen SMTP-Server eingetragen hat. Aber ich habe den erheblichen Nachteil, dass für einen schlecht gebauten Automaten, der nach offenen Relays prüft, der Server zunächst einmal nach einem solchen aussieht. Und seine Adresse flugs in einer Blacklist landet. Oder, genauso übel, in der Whitelist eines Spammers.

Gruss
Schorsch

#11

Hallo,

Hm, bis jetzt war es zu diagnostischen Zwecken meistens ganz
hilfreich die gebouncten Mails zu bekommen.

[…]

Gebouncte Mails zu sehen, ist für den Postmaster schon auch
sinnvoll.

Klar, Bounces auf nach innen oder von innen nach aussen
gerichtete Mails. Aber wo soll der Vorteil liegen, wenn ich
die Inhalte irgendwelcher Relay Attempts zu sehen bekomme?

Keine Ahnung. „ZoneMail hat einen SPAM-Versuch verhindert!!1!1!!!eins!!!1!“

SCNR

Ich
kann anhand derer vielleicht feststellen, ob ich es mit einem
kriminellen Spammer zu tun habe, oder mit einem Trottel, der
versehentlich einen falschen SMTP-Server eingetragen hat. Aber
ich habe den erheblichen Nachteil, dass für einen schlecht
gebauten Automaten, der nach offenen Relays prüft, der Server
zunächst einmal nach einem solchen aussieht. Und seine Adresse
flugs in einer Blacklist landet. Oder, genauso übel, in der
Whitelist eines Spammers.

Ja, ich staune wirklich über die Konfiguration des Servers …

Gruß,

Sebastian

#12

Hallo,

Desweitern solltest du deinen Mailserver abdichten, so dass er
kein offenes SMTP Relay mehr ist.

Lies nochmal nach: Der Server liefert die Mails nicht aus, ist
also kein offenes Relay.

Ich sehe keine „Bounces“.

Ich auch nicht. Aber er liefert sie trotzdem nicht aus. Komisch, das. Doof ist, daß ich nicht derjenige bin, der das Mailing administriert. Ich mach nur „den Rest“ :smile:

Aber nervig ist es trotzdem.

Hat der MTA schon einen konkreten Namen?

Ja. Wir nennen ihn „Beastie“. Er hört allerdings besser auf sendmail+tls+sasl2-8.12.11

(ICH war ja für Postfix…)

Gruß,

Malte.