Ich habe ein ernstes Problem.

Seit gestern Abend wird meine Domain als Absender für SPAM-Mails genutzt. Die User heissen fjfkgfdf@meinedomain.de und ähnlich. Absender bin nicht ich, sondern folgende IP: 210.49.20.168. Laut Traceroute vermute ich, das sie zum australischen Provider optusnet.com.au gehört. Welche übrigens auch transparente Proxies im Angebot haben, so das hier meine Spur endet.

Dies hat zur Folge, das ich am Tag nicht 10-30 E-Mails bekomme (davon meistens nur SPAM), sondern über 5.000 E-Mails von Providern, die die Mails wieder zurückschicken (User unbekannt, als SPAM erkannt usw). Das im SPAM beworbene Produkt wollte noch keiner bei mir kaufen.

Wie kann ich dieses Problem lösen. Mittlerweile habe ich meine E-Mail Adressen ausgelagert, so das der Spam erstmal nicht geöffnet werden muss.

Ich muss verhindern, das dies zu einem Dauerproblem wird. Wenn die Spammer erst einmal herausbekommen, das dies mit meiner Domain funktioniert, wird es bestimmt noch mehr. Vom Prinzip kann jeder mit eigener Domain betroffen sein, da viele SMTP-Server die E-Mail nicht auf Gültigkeit prüfen, sondern nur die Domain.

Gleichzeitig möchte ich natürlich verhindern, das meine Domain bei den großen Providern auf die schwarze Liste kommt und ich somit selbst z.B. keine Mails mehr an GMX und Co. schreiben kann, weil ich auf der schwarzen Liste stehe.

PS: meinedomain.de habe ich nur eingefügt, um nicht die tatsächliche Domain preiszugeben.

Wenn du Hilfe willst, solltest du schon mehr Informationen veröffentlichen. Ich empfehle den Link in meiner Signatur: wie man Fragen stellt (anscheinend mach ich heut nix anderes als darauf zu verweisen).

Wie sieht so eine Empangene Mail aus (Header)? Welchen MTA setzt du ein? Welches Authentifizierungsverfahren?, etc.

Hey

Ich hätte da was.
Auf www.abuse.net kann man testen ob relaying möglich ist und auf welche arten.

Identifizierung von Sendern und Empfänger bei einer SMTP-Sitzung:
HELO Hostname - Es kann keiner oder jeder beliebige Hostname angegeben werden.
MAIL from - Der Client kann jede beliebige Adresse angeben.
RCPT to - Dies muss eine korrekte Adresse sein.
SMTP_CALLER - IP-Adresse des Client.

Ich empfehle folgenden Lösung:
[list=a]
Handelt es sich bei "TCPT to" um eine der "eigenen" Domains, ist "RCPT to" lokal oder akzeptiert der eigene Mailserver das Weiterleiten von Mails an diese Domain(MX Record), ist die Weiterleitung erlaubt.
Ist der unter SMTP_CALLER" angegebene Domain-Name bekannt und autorisiert, beziehungsweise die IP-Adresse, wird Relaying akzeptiert.
In allen anderen Fällen wir das Relaying unterbunden.
[/list=a]

Eine detailierte Anleitung für sendmail gibt es unter www.sendmail.org
Eine weitere Möglichkeit sind sog. Teergruben:
Nach folgendem Prinzip arbeiten diese:
Hier kommen die Forsetzungszeilen des SMTP- Protokolls zum Einsatz (NOOP) Das ermöglicht eine SMTP - Sitzung lange offen zu halten. Also kann der Spammer nicht mehr so viele Spams absetzen. Hat da nur leider einen erzieherischen Effekt.
Unter gibt es fertige Programme.
spam.abuse.net

Tja mehr kann ich leider nicht mehr schreiben weil ich mich mit dem Thema auch noch nie intensiv beschäftig haben. Mein SMTP-Port ist von "außen" nicht zu erreichen. Also ist der SMTP-Server nur im lokalen Netz zu gebrauchen.

Gruß red_head105

Mein SMTP-Server wird hierfür auch nicht genutzt, sondern die IP 210.49.20.168, wo momentan aber kein SMTP-Server erreichbar ist. Ein Fremdzugriff auf meinen SMTP-Server ist nicht möglich.

Das Problem ist, das viele SMTP-Server fremde E-Mail Adressen akzeptieren. So könnte ich beispielsweise ebenfalls E-Mails mit falscher Adresse von meinem SMTP-Server versenden, da nur wenige Provider (AOL, T-Online) die IP prüfen.

Das Problem hier ist, dass Du dagegen technisch gar nichts machen kannst. Es ist völlig trivial, Mailpakete zu schicken, bei denen das "From"-Feld und das "Recieved"-Feld gefälscht sind. Das einzige was Du machen kannst, ist den Provider des Spammers anschreiben und ihn dazu zwingen den entsprechenden Account abzuschalten, bzw. hier bei Gericht einen Titel zu erwirken. Ich weiß nicht inwiefern Du in Australien oder hier Strafanzeige erstatten kannst.

Tja das ist das große Problem man kann dagegen leider überhaupt nichts machen. :(:mad: . Es gäbe nur eine Möglichkeit ein besseres Mailsystem entwickeln das man nicht fälschen kann. *seufz* Gibt es aber leider nicht. Vielleicht ginge es mit einem System das mit einem Schlüssel oder ähnlichem prüft ob die email wirklich von dem Absender kommt oder nicht. *träum*

Gruß red_head105

Hi,

also ich glaube Du kannst da gar nix machen. Wir hatten in der Firma letztens das gleiche Problem. Einer von den Viren, die letztens unterwegs waren (aus Spanien) hatte die e-mail Adresse einer unserer Mitarbeiter als Absender. D.h. wir haben alle "Fehl"-e-mails zurück bekommen. Zum Glück hatte sich der Virus nach zwei Tagen erledigt.

Gruß

Pingu

Kannst du den Header der zurückgeschickten Mails mal hier abdrucken?

Du kannst dein Mailprogramm anweisen nur gültige Empfängeradressen zu verwenden und den Rest zu verwerfen. Danach noch den Inhaber der IP/Domain anschreiben und um Fehlerbehebung bitten. Wenn das nichts bringt eine Mail an die Abuse Abteilung seines Provider.

Original geschrieben von Jinto
Kannst du den Header der zurückgeschickten Mails mal hier abdrucken?

Du kannst dein Mailprogramm anweisen nur gültige Empfängeradressen zu verwenden und den Rest zu verwerfen. Das ist etwas, was Du im Geschäftsalltag nicht machen kannst (insbesondere bei kleineren Firmen). Denn wieviele schreiben e-mail Adressen falsch.
Danach noch den Inhaber der IP/Domain anschreiben und um Fehlerbehebung bitten. Wenn das nichts bringt eine Mail an die Abuse Abteilung seines Provider. Das ist etwas, wo Du scheinbar einer gewissen Illusion erliegst.

Pingu

Original geschrieben von Jinto
Kannst du den Header der zurückgeschickten Mails mal hier abdrucken?

Du kannst dein Mailprogramm anweisen nur gültige Empfängeradressen zu verwenden und den Rest zu verwerfen. Danach noch den Inhaber der IP/Domain anschreiben und um Fehlerbehebung bitten. Wenn das nichts bringt eine Mail an die Abuse Abteilung seines Provider.

Meinst du als Mailprogramm den Client oder den SMTP-Server ? Es kann nur die Gültigkeit der Domain geprüft werden, und meine ist ja gültig.

Den Inhaber werde ich noch kontaktieren, wenn es nicht aufhört, versprechen tue ich mir da aber nichts von. Es wird evtl. mit einem transparenten Proxy gearbeitet oder einer Einwahlnummer, die jeder ohne Benutzername/Passwort anrufen kann. Es handelt sich ja hierbei nicht um einen kleinen Provider, sondern um eine größere Telefongesellschaft.

Hier der Header einer aktuellen Mail, diesmal mit einer anderen Absender-IP:

Received: from psmtp.com [12.158.34.195] by gisco.net
(SMTPD32-7.13) id AEB8CA70142; Tue, 22 Jul 2003 01:42:16 -0400
Received: from source ([200.213.155.195]) by exprod5mx38.postini.com ([12.158.34.245]) with SMTP;
Mon, 21 Jul 2003 22:42:10 PDT
Received: from wb5.jr6wu.com (HELO gtbcy) [167.94.111.55] by 12.158.34.245 id <4742041-57584>; Tue, 22 Jul 2003 11:38:55 +0500
Message-ID: <508y$3$x$0k--3-zx-xa9$97@rtsui.g.te.ja>
From: "Peggy Christopher" <hptqffid2@meinedomain.de>
To: lawman@gisco.net
Subject: Advertising your product or service t x
Date: Tue, 22 Jul 03 11:38:55 GMT
X-Mailer: The Bat! (v1.52f) Business
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="_C2F6FBCC.B"
X-Priority: 3
X-MSMail-Priority: Normal

Original geschrieben von Pingu
Das ist etwas, was Du im Geschäftsalltag nicht machen kannst (insbesondere bei kleineren Firmen). Ich halte gar nichts von catch-all Adressen, catch-all Adressen sind nur bei privaten Domains bzw. sehr kleinen Firmen praktikabel. Oder wohin willst du die alle Leiten?


>Danach noch den Inhaber der IP/Domain anschreiben und um Fehlerbehebung bitten. Wenn das nichts bringt
>eine Mail an die Abuse Abteilung seines Provider.
Das ist etwas, wo Du scheinbar einer gewissen Illusion erliegst.
Oder du. Ich habe nicht gesagt, dass jeder Provider sofort den Stecker zieht. Aber je nach Provider stösst du halt entweder auf offene oder halöt auf taube Ohren. Aber wenn du es nichtmal versuchst, ist deine Erfolgsquote sowieso Null und du solltest aufhören über SPAM zu jammern.

local:~ # whois 167.94.111.55

OrgName: Scottsdale Memorial Health Systems, Inc.
OrgID: SMHS-1
Address: 3621 Wells Fargo Avenue
City: Scottsdale
StateProv: AZ
PostalCode: 85251
Country: US

NetRange: 167.94.0.0 - 167.94.255.255
CIDR: 167.94.0.0/16
NetName: SMHS
NetHandle: NET-167-94-0-0-1
Parent: NET-167-0-0-0-0
NetType: Direct Assignment
NameServer: NS1.SHC.ORG
NameServer: NS2.SHC.ORG
Comment:
RegDate: 1993-05-21
Updated: 2000-04-28

TechHandle: SJ21-ARIN
TechName: Johnson, Steven D.
TechPhone: +1-602-481-4180
TechEmail: stevej@smhsi.com

# ARIN WHOIS database, last updated 2003-07-22 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.
local:~ #


Der uplinkprovider scheint Time Warner Telecom zu sein: abuse@twtelecom.net

Nun, das nur so auf die schnelle
gruss,
pitu

Ich denke, daß dies hier die interessante Zeile ist:

Original geschrieben von Seyer
Received: from source ([200.213.155.195]) by exprod5mx38.postini.com ([12.158.34.245]) with SMTP;
Mon, 21 Jul 2003 22:42:10 PDTund nicht die

Received: from wb5.jr6wu.com (HELO gtbcy) [167.94.111.55] by 12.158.34.245 id <4742041-57584>; Tue, 22 Jul 2003 11:38:55 +0500


Denn es ist ja inzwischen bekannt, daß Spammer auch die Received-Zeilen kreativ anpassen. Außerdem klingt dies auch am wahrscheinlichsten, denn warum sollte ein und derselbe SMTP-Relay (12.158.34.245) die e-mail zweimal von verschiedenen IPs bekommen.

% Copyright registro.br
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to domain name and IP number registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2003-07-23 04:10:31 (BRT -03:00)

inetnum: 200.213.155.192/26
aut-num: AS4230
abuse-c: GSE6
owner: BOTUNET TELEINFORMATICA E SERVICOS LTDA
ownerid: 001.166.585/0001-87
responsible: Armando Rois.registro.br accepts only direct match queries.
% Types of queries are: domains (.BR), BR POCs, CIDR blocks,
% IP and AS numbers.

Kurzgesagt eine Brasilianischer ISP, der an AT&T weiterleitet oder zu AT&T gehört
AT&T WorldNet Services ATT (NET-12-0-0-0-1)
12.0.0.0 - 12.255.255.255
POSTINI CORPORATION POSTINI-85-34 (NET-12-158-34-0-1)
12.158.34.0 - 12.158.34.255

# ARIN WHOIS database, last updated 2003-07-22 19:15
# Enter ? for additional hints on searching ARIN's WHOIS database.


Pingu

Original geschrieben von Jinto
Ich halte gar nichts von catch-all Adressen, catch-all Adressen sind nur bei privaten Domains bzw. sehr kleinen Firmen praktikabel. Oder wohin willst du die alle Leiten? Also ich kenne viele Mittelständigefirmen, die keine Standleitung und keine eigenen Datacenter betreiben. Da sind catch-all Adressen sehr sinnvoll. Denn dann kann man lokal einen eigene e-mail Server betreiben, der die e-mails gesammelt abholt und lokal zustellt.

Und wie gesagt es gibt auch einige die e-mail Adressen falsch schreiben, z.B. viele Deutsche vergessen bei "headquarters" gerne das "s". Die Post ist auch Fehlertolerant, warum nicht das gleiche bei e-mail? Schließlich hat man nicht umsonst eine Sekretärin, die dann solche e-mails richtig zustellt. Die kann dann auch gleich schön den Chef abblocken. So das der nur noch wirklich relevante Sachen bekommt.


Oder du. Ich habe nicht gesagt, dass jeder Provider sofort den Stecker zieht. Aber je nach Provider stösst du halt entweder auf offene oder halöt auf taube Ohren. Aber wenn du es nichtmal versuchst, ist deine Erfolgsquote sowieso Null und du solltest aufhören über SPAM zu jammern. Erstens habe ich nicht gejammert und zweitens stößt man bei großen Providern immer auf taube Ohren.
Bestes Beispiel, letztens konnten wir (T-DSL Business aka Telekom) keine e-mails an unseren Mitarbeiter in den Staaten (Comcast aka AT&T) senden, weil die e-mail Server der Telekom auf der Blacklist bei AT&T standen. Ich bei Telekom angerufen: "Das ist nicht unsere Problem ich solle mich doch an AT&T bzw. Comcast wenden." *lol* Nicht unser Problem - halb Deutschland kann nicht an halb Amerika mailen. Ich habe dann mich mit dem Call-center 1 1/2h herumgeschlagen bis ich endlich zum Techniker kam. Was sagt der mir "Och das Problem ist doch bekannt, wir arbeiten doch schon dran." Was soll ich dazu nur sagen.

Pingu.

@Pingu

Du musst di Recieved Zeilen von unten nach oben lesen.

gruss,
pitu

Stimme Pingu zu, dass vermutlich der 200.213.155.195 die Problemquelle ist. Hier der Auszug aus dem whois:

netnum: 200.213.155.192/26
remarks: Security issues should also be addressed to
remarks: nbso@nic.br, http://www.nic.br/nbso.html
remarks: Mail abuse issues should also be addressed to
remarks: mail-abuse@nic.br



Original geschrieben von Pingu
Also ich kenne viele Mittelständigefirmen, die keine Standleitung und keine eigenen Datacenter betreiben. Da sind catch-all Adressen sehr sinnvoll. Denn dann kann man lokal einen eigene e-mail Server betreiben, der die e-mails gesammelt abholt und lokal zustellt. Tut mir leid, ich seh den Punkt nicht. Irgendwo muss eine Domain mit einem Postfach existieren => kann die Post aus diesem Postfach abholen wann ich will.

Und wie gesagt es gibt auch einige die e-mail Adressen falsch schreiben, z.B. viele Deutsche vergessen bei "headquarters" gerne das "s". Normalerweise gibts ne Fehlermeldung und der Sender wird schauen ob er sich nicht vertippt hat.

Die Post ist auch Fehlertolerant, warum nicht das gleiche bei e-mail? Schließlich hat man nicht umsonst eine Sekretärin, die dann solche e-mails richtig zustellt. Die kann dann auch gleich schön den Chef abblocken. So das der nur noch wirklich relevante Sachen bekommt. Immerhin, die Sekretärin ist beschäftigt. ;)


Erstens habe ich nicht gejammert und zweitens stößt man bei großen Providern immer auf taube Ohren.
Bestes Beispiel, letztens konnten wir (T-DSL Business aka Telekom) keine e-mails an unseren Mitarbeiter in den Staaten (Comcast aka AT&T) senden, weil die e-mail Server der Telekom auf der Blacklist bei AT&T standen. Ich weiss, dass du nicht gejammert hast (zumindest nicht laut) :p
Aber dein Beispiel steht irgendwie im Widerspruch zu dem was du mir eigentlich sagen wolltest. :D
AT&T hat doch reagiert und die bösen Spammer aus der Region Telekom blockiert. Irgend jemand wird das auch AT&T "gemeldet" haben. So gesehen reagieren also auch träge Großkonzerne auf Spammer, oder was war nochmal die Frage?
Wobei mich die Geschichte Telekom <-> AT&T interessieren würde, vielleicht mittels PN?

Original geschrieben von pitu
@Pingu

Du musst di Recieved Zeilen von unten nach oben lesen.

gruss,
pitu Ja, normalerweise hast Du recht. Aber bei Spammern ist es z.Zt. sehr beliebt, die Received Zeilen sagen wir mal kreativ anzupassen. D.h. die Spammer fügen Received Zeilen ein, um den eigentlichen SMTP Relay zu verschleiern. Nur können die Spammer ja nicht irgendwo einfügen, da ja ab einer bestimmten Position ja alles wieder normal läuft. Deswegen kann man meisten davon ausgehen, daß der Spammer am Ende ein oder auch mehr Zeilen hinzufügt. In diesem Fall stand da
Received: from psmtp.com [12.158.34.195] by gisco.net ...
Received: from source ([200.213.155.195]) by exprod5mx38.postini.com ([12.158.34.245]) ...
Received: from wb5.jr6wu.com (HELO gtbcy) [167.94.111.55] by 12.158.34.245 ...

Danach wäre es ja so, daß diese e-mail der SMTP Relay mit der IP 12.158.34.245 zuerst von 167.94.111.55 bekommen hat und dann hat er was mit der e-mail gemacht? Plötzlich bekommt der selbe SMTP Relay die e-mail von einem aus Brasilien. Hmmm .... irgendwas stimmt da nicht, oder? Erst dann gibt er die e-mail unter der IP 12.158.34.195 weiter an gisco.net. Beide IPs (12.158.34.245 und 12.158.34.195) gehören zum selben Netzbetreiber. Aber wie sollte die e-mail zwischendurch zu einem anderen Netzbetreiber (IP 200.213.155.195) kommen, der sich noch nicht einmal richtig per "EHLO" meldet?

Dafür gibt es nur eine Lösung: Der Spammer kam über 200.213.155.195 und nicht über 167.94.111.55. D.h. der, der die IP 167.94.111.55 hat, ist genauso ein unbeteiligter Dritter wie unser Freund hier im Forum. Denn alle werden sich entweder an Seyer oder an den wenden, der die genannte IP hat. Der eigentliche Spammer ist fein raus und hat seinen offenen SMTP Relay schön verschleiert.
Dieses Verfahren ist bei den meisten Spammern inzwischen gängige Praxis. Deswegen, überprüfen aktuelle Anti-Spam-Tools nicht nur die letzte Received Zeile, sondern alle Received Zeilen auf Plausibilität (DNS und Name und Reihenfolge, und ober der erste SMTP Server 'ne ordentliche Message-ID vergeben hat usw.)

Gruß

Pingu

Sorry, hast recht.

gruss,
pitu