Mail Attentat

Hallo Profis

seit zwei Tagen wird meine Mailbox überflutet (ca **100 täglich) mit Schrott folgender Art:

Der Absender hat in der „von“-Zeile z.B. („blabla“ steht für irgendwas, jedesmal verschieden)
MAILER-DAEMON@[blabla].net oder …com
postmaster@[blabla].net oder …com
Mail Delivery (Sub)System usw usw

Der Absender ist immer irgendwas, meist postmaster@blabla, einige kommen sogar von deutschen adressen, wie z.B.

[email protected]
[email protected]
[email protected]

Und diese Wahnsinnsmaschinerie nutzt die Tatsache, daß ich auf meinen Domainnamen alle Mails empfange, egal was vor dem @ steht, die Mails sind also adressiert an blabla@[meine domain].de, wobei das „blabla“ ebenfalls jedesmal was anderes ist.

Der Inhalt imitiert jeweils eine echte Mailer Daemon Benachrichtigung, enthält aber immer einen Link oder einen Anhang (den ich natürlich NICHT öffne, logo) mit einem Viagra-Schwachsinn oder andere Medikamenteofferten.

Nun kann ich den Schrott zwar wegen der Stichworte in der „von“-Zeile im Mailfilter abfangen und in das Löschverzeichnis schieben, aber das Zeug ist dann immer noch nicht weg und mir wird jedesmal Neue Mail gemeldet.

Hat jemand eine Idee, wie ich das stoppen kann? Außer langwierigem Provider-Wechsel, wo man keine beliebigen Mailadressen hat?

Danke fürs beamen von know how

Metapher**

Hallo Metapher,

seit zwei Tagen wird meine Mailbox überflutet (ca
**100 täglich) mit Schrott folgender Art:

Der Absender hat in der „von“-Zeile z.B. („blabla“ steht für
irgendwas, jedesmal verschieden)
MAILER-DAEMON@[blabla].net oder …com
postmaster@[blabla].net oder …com
Mail Delivery (Sub)System usw usw**

[…]

Der Inhalt imitiert jeweils eine echte Mailer Daemon
Benachrichtigung, enthält aber immer einen Link oder einen
Anhang (den ich natürlich NICHT öffne, logo) mit einem
Viagra-Schwachsinn oder andere Medikamenteofferten.

ich denke, dass es sich hierbei nicht um Imitate handelt. Benachrichtigungen von Mailer Daemons über nicht erreichbare Adressen enthalten eigentlich immer als Anhang die Original-Mail oder Teile derselben. Auch die Verwendung der role accounts deutet darauf hin.

Es wäre nicht schlecht, wenn du die Möglichkeit hättest, diese Mails in einem Text-Viewer statt in deinem Mailclient anzusehen und die ersten 30 bis ca. 50 Kopfzeilen hier mal ins Forum zu stellen, das würde eine Analyse erheblich vereinfachen.

Ich fürchte, dass du ein Opfer derselben Spammermasche geworden bist, die in den letzten Tagen mehrfach in versch. Foren hier in www berichtet worden ist: Der Spammer nimmt den Domain-Teil Deiner Adresse als eigene Absendeadresse so dass scheinbar du als Absender auftrittst - und für jede falsch eingetippte oder ungültige Zieladresse eine Benachrichtigungsmail des Ziel-MX erhältst.

Einen entspr. Thread zu dem Thema findest du z. B. unter http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…

Leider muss ich der dort von Steffen geäusserten Ansicht, dass du gegen den Spammer nichts tun kannst, im wesentlichen zustimmen - mit einer Einschränkung: Wenn du deine Adresse auch geschäftlich nutzt, kann das Vorgehen des Spammers natürlich zu einer Ruf- und damit Geschäftsschädigung führen. Und damit kann die nötige Fallhöhe gegeben sein, dass sich ein Staatsanwalt des Themas annimmt. Insbesondere dann, wenn du Beschwerden über scheinbar von dir ausgehende Spammmails von anderen Usern bekommst. Solche solltest du entspr. sichern, und nicht gleich in den Spamordner entsorgen.

Gruss,
Schorsch

Moin, Manfred!

Da geht’s bei mir ja richtig lustig zu:
Joana fragte mich heute morgen: do you want f…u…c…k me?

Schorsch hat vermutlich Recht. Da wirst Deine Domain missbraucht. Vor das @ wird blabla eingesetzt und ab damit in die weite Welt. Dann kommt das Zeug zurück, wird vom *@[deine domain] abgefangen und landet in Deinem Postfach.

Und diese Wahnsinnsmaschinerie nutzt die Tatsache, daß ich auf
meinen Domainnamen alle Mails empfange, egal was vor dem @ steht,
die Mails sind also adressiert an blabla@[meine domain].de, wobei
das „blabla“ ebenfalls jedesmal was anderes ist.

Das ist die Lücke, die Du vielleicht nutzen kannst. Du mußt mal schauen, wievieve Postfächer Du einrichten kannst. Vermutlich hast Du die Adresse *@[deine domain] auf ein Postfach umgeleitet, also vieleicht webmaster@[deine domain] oder so ähnlich, die du dann popst. Damit ersparst Du Dir natürlich die Einrichtung eines extra Postfachs pro Adresse und fängst alles über den Stern ab.
Du könntest für die wirklich benutzen Adressen (tja, wieviele darfst Du denn einrichten?) jeweils ein Postfach einrichten und diese mit Deinem Mailprogramm abfragen, während die Adresse *@[deine domain] mittels einer Weiterleitung auf eine ungültige Adresse ins Nirvana geschick wird.

Gruß!
Tino

tatsächlich
Hi Schorsch

danke für die schnelle Antwort und sorry, daß ich nicht gesehen habe, daß das kürzlich schon besprochen wurde.

Tatsächlich sehe ich jetzt auch, daß das echte Mailer Daemon Infos sind. Aber das heißt, daß eine irre Menge von beliebigen Random-Adressen jetzt diesen Viagraschrott von angeblich meiner Domain angeboten bekommen, und nur die zufällig nicht existierenden Adressen geben den Mailer Report an mich zurück?

So eine verfl*** Sch***!

Dann nützt es ja auch nichts, daß ich meine Domain sperren lasse??

Darf ich dir mal 2 Beispiele weiterleiten? Vielleicht kannst du etwas erkennen? Will die Textform des Kopfes nicht gern hier posten, weil ich nicht weiß, was für Daten von dadrin stehen, die vielleicht sensibel sind?

Die Reports kommen fast alle aus dem Ausland, USA, und die Anbieter in den Anhängen bzw Links natürlich auch. Also macht Staatsanwalt da auch nix gegen.

Also empfiehlt es sich, in die HP eine Bemerkung dazu zu schreiben?

Grüße

Metapher

Joana
Hi Tino

Da geht’s bei mir ja richtig lustig zu:
Joana fragte mich heute morgen: do you want f…u…c…k me?

Jau - das bin ich schon gewöhnt, daß Susi, Susan, Susette und alle die anderen täglich von mir gef*ckt werden wollen, und „Penisenlargement“ würde inzwischen bis zum Mond reichen *fg*

Du könntest für die wirklich benutzen Adressen
(tja, wieviele darfst Du denn einrichten?)

ich glaub 150 oder so …

jeweils ein Postfach einrichten und diese mit Deinem Mailprogramm abfragen,

ja, so mach ich es ja auch

während die Adresse *@[deine domain] mittels einer Weiterleitung auf eine ungültige Adresse ins Nirvana geschick wird.

Du meinst, ich kann alle nicht explizit benannten Adressen mit dem Namen „*“ zusammenfassen? Muß mal bei dem Provider nachfragen, ob das geht.
Aber: Wie schick ich sowas ins Nirvana? Krieg ich dann doch wieder Mailer Reports zurück?

Ok aber dagegen, daß von meiner Firma alle möglichen Leute in der Welt Zeugs angeboten bekommen, hilft das immer noch nicht.

Mist, daß man da nichts mit der Pumpgun ausrichten kann …

Schöne Grüße

Metapher

Du meinst, ich kann alle nicht explizit benannten
Adressen mit dem Namen „*“ zusammenfassen?

Genau so!
Kann Dir nur sagen, daß es bei Puretec 1&1 simpel ist. Der Nachschlag dei DENIC brachte ans Tageslicht, daß Deine Domain von Webmailers Webmaster Workers gehostet wird… mir leider völlig unbekannt.

Aber: Wie schick ich sowas ins Nirvana? Krieg ich dann doch
wieder Mailer Reports zurück?

Wahrscheinlich irgendwie schon. Aber dann jagst Du den Müll eben via Umleitung auf eine reale Adresse. Soll ich Dir eine geben? Ich habe noch eine ungenutzte GMX herumliegen, die ich alle Jubeljahre mal abfrage, weil sie sowieso keiner kennt. Dort kann das Zeug meinetwegen aufschlagen.

Ok aber dagegen, daß von meiner Firma alle möglichen Leute in
der Welt Zeugs angeboten bekommen, hilft das immer noch nicht.

Nein, allerdings nicht.

Mist, daß man da nichts mit der Pumpgun ausrichten kann …

Ich erledige das mit 9mm, wenn Du mir anschließend ein geiles Gutachten machst, mit dem ich als freier Mann den Gerichtssaal verlasse.

Gruß!
Tino

Strato
Hallo Tino,

Der
Nachschlag dei DENIC brachte ans Tageslicht, daß Deine Domain
von Webmailers Webmaster Workers gehostet wird… mir leider
völlig unbekannt.

Das ist Strato, dort liegt meine Domain auch und ich hab den gleichen Eintrag bei Denic und auch das gleiche Spam-Problem seit diesem Wochenende

Gruss,
SylviaM

Danke!
Strato ist mir ein Begriff… aber eher vom Hörensagen der unzufriedenen Art.
Wenn das mit dem *@[meine Domain] dort nicht geht, wäre für mich schon der Grund für den Umzug der Domain zum anderen Webhoster vollständig erfüllt.
Würdest Du im Konfigmenü bei Strato bitte nachschauen, ob die Funktion dort zur Verfügung steht? Die Info hätte ich gerne.

Gruß!
Tino

Hi Tino,

Würdest Du im Konfigmenü bei Strato bitte nachschauen, ob die
Funktion dort zur Verfügung steht? Die Info hätte ich gerne.

hab gerade mal nachgesehen, aber augenscheinlich ist da nix einzurichten. Soweit ich informiert bin, liegt das an der Konfiguration des Mailservers bei Strato. Gerade für Spams sind die Server anfällig, die die sogenannte „Catch all“-Einstellung haben. Da kannste machen was Du willst, man bekommt alle Mails seiner Domain, egal was vorangesetzt wurde. Ist wohl auch schon im Internet sehr oft bei Strato bemängelt worden, aber anscheinend sind sie nicht in der Lage, das umzusetzen. Ich werde auf jeden Fall demnächst umziehen!

Gruss,
SylviaM
*schäumendvorwutüberstrato*

geht nicht bei Strato

Würdest Du im Konfigmenü bei Strato bitte nachschauen, ob die
Funktion dort zur Verfügung steht? Die Info hätte ich gerne.

Strato ist mir ein Begriff… aber eher vom Hörensagen der
unzufriedenen Art.

Ja, ist Strato - und mir reichts jetzt langsam auch!
Seit 2 Monaten warte ich auf die Aktualisierung meines denic-Eintrags.

Und, ok, „*“@[domain] geht nicht in der Mail-Konfig:
„Erlaubte Zeichen sind alle Buchstaben, Ziffern, der Bindestrich und der Punkt.“

Also Providerwechsel und basta!

Komisch bei den Mailer Reports ist, daß die Werbe-Attachments dranhängen. So ein Report ist doch ein „RE:“, oder? da ist doch das Attachment nicht dabei normalerweise?

Außerdem hat außer bei [email protected] der Daemon überhaupt nichts mit der Adresse zu tun, an die „ich“ angeblich den Scheiß geschickt hab.

Au man, welche kranken Hirne denken sich sowas aus!

Gruß

Metapher

SMTP mit Authentifizierung, Wildcard entfernen
Hallo,

leider oft nicht konfigurierbar, aber wenn dann würde ich als aller erstes dem Postausgang mit einer Authentifizierung versehen und im zweiten Schritt einfach die Wildcard entfernen.

Gruß, olli

Darf ich dir mal 2 Beispiele weiterleiten? Vielleicht kannst
du etwas erkennen? Will die Textform des Kopfes nicht gern
hier posten, weil ich nicht weiß, was für Daten von dadrin
stehen, die vielleicht sensibel sind?

Hallo Metapher,

weiterleiten kannst du gerne. Immerhin kann man auch aus den Reports noch erkennen, von welcher Ursprungsadresse der Müll ausging.

Die Reports kommen fast alle aus dem Ausland, USA, und die
Anbieter in den Anhängen bzw Links natürlich auch. Also macht
Staatsanwalt da auch nix gegen.

Ein Vorgehen sollte sich ja auch nicht an die Absender der Reports richten, die sind genauso Opfer wie du, sondern an die Verursacher der Störung. Und die können durchaus auch in Deutschland sitzen. Allerdings benutzen diese in der Regel kaum eigene PC, sondern die gehijackten Rechner unbedarfter Microsoftbenutzer. Eine strafrechtliche Verfolgung dürfte somit einen enormen Aufwand an Protokollsicherung und -analyse erfordern, so dass tatsächlich wohl kaum eine Staatsanwaltschaft wirklich tätig würde.

Würde allerdings mein Arbeitgeber Opfer einer derartigen Attacke, würde ich keinen Moment zögern, die Staatsanwaltschaft einzuschalten. Ferner würde ich den Kontakt zu anderen betroffenen Firmen suchen, um ein gemeinsames Vorgehen abstimmen zu können. Nur auf diese Weise nämlich liesse sich der politische Druck erhöhen, mit u. a. gesetzgeberischen Massnahmen dieses Problem zukünftig einzudämmen.

Die Methode, mit fremden, echten Adressen zu agieren, ist seit längerem schon sehr beliebt, allerdings wurden bislang i. d. R. Adressen von Unternehmen wie Microsoft Hotmail, MSN, Yahoo u. ä. genutzt, von Firmen also, die selbst erhebliches Teil dieses Problems sind und dem Spam gerne Vorschub leisten. Dass Spammer inzwischen offenbar massiv die Adressen unbeteiligter dritter verwenden, hat das Problem auf eine ganz neue Stufe gestellt. Auf diese Weise wird eines der wichtigsten modernen Kommunikationsmittel massivst gestört, ja, unbrauchbar gemacht.

Und hiergegen ist ein ganz erheblicher öffentlicher Druck m. E. unverzichtbar.

Gruss,
Schorsch

Hallochen,
ich habe das gleiche Problem. Jede Menge Spammer versenden über unsere Stratodomains unseriöse Massenmails. Bei AOL sind unsere Mails schon gesperrt.
Wenn es zu einer Sammelanklage kommt bin ich mit meiner kleinen Firma gerne dabei.

Alles Gute
Dan

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Geschädigte zusammenschließen
Hi Schorsch

ich schick dir gleich mal zwei Beispiele. Ich weiß nicht woher man in den Headern den Absender erkennen kann. Werde jedenfalls mal den ganzen Schrott abspeichern. Die Verursacher dürften doch jedenfalls die Anbieter der Medikamente sein, oder?

Allerdings benutzen diese in der Regel kaum eigene PC, sondern die gehijackten Rechner unbedarfter Microsoftbenutzer.

Hm - heißt das, daß die meine Firewall geknackt haben? Was heißt, sie benutzen meinen PC? Was passiert denn da eigentlich? Wie ist das überhaupt möglich, daß eine Mail mit einer Pseudoadresse von mir abgeht?

Naja, falls das nicht etwas zu unverschämt ist, das jetzt erklärt bekommen zu wollen. ist sicher komüpliziert und ich versteh eh nicht alles. Jedenfalls habe ich hier einen Server stehen, der mit einer sinnvollen Firewall versehen ist. Vielleicht laß ichs mir von meinem Profi erklären, der mir das eingerichtet hat, der ist nur zur Zeit nicht erreichbar.

Ferner würde ich den Kontakt
zu anderen betroffenen Firmen suchen, um ein gemeinsames
Vorgehen abstimmen zu können.

Auf jeden Fall, klar.

Dass Spammer inzwischen offenbar massiv die Adressen unbeteiligter
dritter verwenden, hat das Problem auf eine ganz neue Stufe
gestellt. Auf diese Weise wird eines der wichtigsten modernen
Kommunikationsmittel massivst gestört, ja, unbrauchbar
gemacht.

Gut gesagt und völlig richtig. Ich möchte auch vorschlagen, daß hier mal wenigstens die Geschädigten User mal vorerst zusammenschließen und Info austauschen, ob man etwas Gemeinsames unternimmt. Werde jedenfalls selbst mal nach Möglichkeiten forschen.

Danke dir nochmal

Metapher

Hallo Metapher,

Wie ist das überhaupt möglich, daß eine Mail mit
einer Pseudoadresse von mir abgeht?

Das kann ich eben erklären:

Der eMail-Server von bspw. GMX hat keine Möglichkeit, zu prüfen, ob die eMail mit der Absendeadresse [email protected] tatsächlich von m.gies abgesendet wurde. Deshalb nimmt er sie ungeprüft an und leitet sie in das Postfach des GMX-Empfängers, an den sie gerichtet ist.

Ich kann Dir z.B. leicht eine eMail schicken, mit Dir selbst als Absender. Jeder kann das mit einem Grundwissen über die technischen Hintergründe von eMailing.

Das eMail-System ist nunmal so gestrickt, Mechanismen, die diese „Lücke“ stopfen, gibt es zwar, allerdings sind die nicht Bestandteil des eMail-Standards und kaum verbreitet.

Gruß,

Malte.

Hallo Metapher,

ist natürlich ein bisschen blöd, in einem öffentlichen Forum eine Headeranalyse durchzuführen, ohne die Header ebenfalls öffentlich vorzulegen. Aber ich denke, eine vollständige Darstellung würde den Rahmen von www sprengen, ausserdem gibt’s genug Websites, die sich mit diesem Thema ausführlich beschäftigen.

ich schick dir gleich mal zwei Beispiele. Ich weiß nicht woher
man in den Headern den Absender erkennen kann. Werde
jedenfalls mal den ganzen Schrott abspeichern. Die Verursacher
dürften doch jedenfalls die Anbieter der Medikamente sein,
oder?

Die Absender waren in beiden Beispielen bei Einwahl dynamisch zugewiesenen Adressen aus Florida bzw. Philadelphia. Der Verursacher aber dürfte in China zu suchen sein, in beiden Fällen ein Liu Qin Hu aus Guangdong in China. Er ist jedenfalls Eigentümer der beworbenen URLs.

Hm - heißt das, daß die meine Firewall geknackt haben? Was
heißt, sie benutzen meinen PC? Was passiert denn da
eigentlich?

Nein, nicht deine Firewall, sondern die der beiden PC in den USA. Auf beiden PC ist offenbar ein smtp-Server installiert. Ein solcher kann direkt den Mailserver des Empfängers ansprechen, und umgeht auf diese Weise die Notwendigkeit, sich als berechtigt ausweisen zu müssen oder einen offenen Relay zu suchen.

Naja, falls das nicht etwas zu unverschämt ist, das jetzt
erklärt bekommen zu wollen. ist sicher komüpliziert und ich
versteh eh nicht alles. Jedenfalls habe ich hier einen Server
stehen, der mit einer sinnvollen Firewall versehen ist.
Vielleicht laß ichs mir von meinem Profi erklären, der mir das
eingerichtet hat, der ist nur zur Zeit nicht erreichbar.

Naja, es sind halt mehrere Aspekte zu berücksichtigen, Funktionsweise von SMTP, Trojaner, PC-Fernsteuerung, eine umfassende Erläuterung wäre tatsächlich recht aufwändig.

Wie ist das überhaupt möglich, daß eine Mail mit
einer Pseudoadresse von mir abgeht?

Hierauf ist Malte ja bereits eingegangen. Im gegebenen Fall, wenn der Absender einen eigenen smtp- und ggfalls dns-Server unterhält, ist dies ganz einfach - der Server kann schliesslich nicht wissen, wer ihn installiert hat, der Absender mithin beliebige Adressen angeben. Der empfangende Server wiederum kann nur prüfen, ob er für den Empfänger zuständig ist, eine Prüfung, ob der Absender der ist, der er zu sein vorgibt, ist mit den derzeit gültigen Protokollen nicht möglich. Ich denke auch, dass sich diese Problematik mit technischen Mitteln nicht sinnvoll verhindern lässt.

Gruss,
Schorsch

Mail for me
Hi Malte

WHOW, das war anschaulich! Danke für die Mail, die du mir von mir geschickt hast

Eigentlich wurmt es mich sehr, daß da einfach die Zeit fehlt, mich auch in diesen (wohl elemantaren) Dingen kundig zu machen. Aber ein Anfang ist ja jetzt gemacht.

Daher danke!

Gruß

Metapher

Land der Mitte
Hi Schorsch

vielen Dank für deine Analyse. Und etwas mehr hab ich jetzt auch begriffen, wie das funktioniert. Wenn die Heinis in China sitzen, ist natürlich euch im Grenz- bzw. Wutanfall ein juristisches Vorgehen absurd.

Jedenfalls ein Motiv mehr, mal endlich ins Land der Träume zu reisen und nebenbei dafür zu sorgen, daß dem Liu Qin Hu (und 2 Mio anderen gong guo ren) auch Viagra nichts mehr hilft *fg*

Grüße

Metapher

Hallo Metapher,

vielen Dank für deine Analyse. Und etwas mehr hab ich jetzt
auch begriffen, wie das funktioniert. Wenn die Heinis in China
sitzen, ist natürlich euch im Grenz- bzw. Wutanfall ein
juristisches Vorgehen absurd.

Jedenfalls ein Motiv mehr, mal endlich ins Land der Träume zu
reisen und nebenbei dafür zu sorgen, daß dem Liu Qin Hu (und 2
Mio anderen gong guo ren) auch Viagra nichts mehr hilft *fg*

Wende dich doch mal an die Chinesische Botschaft.

Im Allgemeinen ist die chinesische Regierung nicht sehr zimperlich, wenn es darum geht Internet-Zugänge abzuklemmen. Zudem sind die Chinesen auch sehr auf ihren Ruf bedacht.

MfG Peter(TOO)

Danke! (owT)