Erste Hilfe bei Spamflut auf ein einzelnes Postfach

[Engholm]

Moin,

ich habe derzeit eine Kundin, die im Sekundentakt mit Spam-Mails auf ihre info@ überflutet wird. Dem Maillog nach, kommen die Mails von verschiedenen Servern auf der ganzen Welt. Es sieht nach einem gezielten Angriff aus, da es nur ein Postfach betrifft und heute plötzlich auftrat. Den SpamScore habe ich auf 2.0 runtergesetzt. Ich sitze allerdings nicht bei der Kundin vor Ort und habe auch keine Möglichkeit in ihr RoundCube einzuloggen, um Spam direkt zu bouncen bzw. Regeln anzupassen.

edit: Die Spamflut selbst scheinen hauptsächlich Bestätigungsmails für Newsletter-Anmeldungen zu sein. Kommt gerade tausendfach rein.

Welche Möglichkeiten habe ich jetzt? Gibt es eine Möglichkeit, Filter, Regeln und Bounces als KeyHelp Admin ohne Roundcube Zugang zu verwalten?

Keyhelp Pro 24.2 (Build 3326) / Ubuntu 22.04 (64-bit) (KeyMachine)
SpamAssassin 3.4.6 + Amavisd-new 2.12.2

Viele Grüße
Björn

[Engholm]

Nachtrag: Das Problem sind offensichtlich "Listbomb" automatisierte Anmeldungen bei Newslettern, Benutzeraccounts irgendwelcher WP-Seiten und Passwort-Zurücksetzungen bei Seiten, die eigentlich nicht benutzt wurden. Das muss jemand automatisiert für diese eine Adresse angeschoben haben. Ergebnis sind derzeit mehrere tausend "verify your e-mail-address" ... etc... Mails, die entsprechend als glaubwürdig eingestuft werden :-/

[technotravel]

Als Admin müsstest du doch das PW deiner Kundin für dieses info@ Postfach ändern können, und damit via roundcube darauf zugreifen können, oder?

Ich würde ja die betroffene Adresse einfach temporär löschen, dann ist Ruhe im Postfach!

[Engholm]

Das PW wurde mir zwischenzeitlich zur Verfügung gestellt und ich habe die Mail-Adresse gestern Abend auf "darf nur senden" umgestellt. Filter zu erstellen ist vergebene Mühe.

Es kamen gestern innerhalb von rund 5 Stunden über 7500 Mails rein. Ich habe die Mail-Adresse zum Empfang heute morgen reaktiviert und es kommen minütlich immer noch dutzende Mails rein. Wir müssen die Adresse wohl weiterhin temporär deaktiviert lassen und hoffen, der Bot hat irgendwann seine Liste abgearbeitet. Ist ärgerlich, weil die Hauptadresse eines kleinen, familiären Hotels. Im schlechtesten Fall ist die die Mail-Adresse ist verbrannt.

[Ralph]

Es kamen gestern innerhalb von rund 5 Stunden über 7500 Mails rein. Ich habe die Mail-Adresse zum Empfang heute morgen reaktiviert und es kommen minütlich immer noch dutzende Mails rein. Wir müssen die Adresse wohl weiterhin temporär deaktiviert lassen und hoffen, der Bot hat irgendwann seine Liste abgearbeitet. Ist ärgerlich, weil die Hauptadresse eines kleinen, familiären Hotels. Im schlechtesten Fall ist die die Mail-Adresse ist verbrannt.

Im schlechtesten Fall ist die Reputation deiner IP Adresse (Mailserver) verbrannt
Wenn die Newsletter-Anmeldungen von seiner eigenen Website kommen, würde ich dem Kunden als erstes PHPmail verbieten > also "mail" in die disable_functions setzen bis das Problem behoben wurde oder direkt einen PW Schutz auf das betreffende Web setzen.
Alle Formulare mit Spamschutz (captcha absichern), alle Anwendungen prüfen ob diese aktuell sind (auch alle Plugins).
Falls SMTP lokal über ein Formular verwendet wird, auch das Mailbox Passwort ändern (sichers PW).

[Florian]

Die Mails kommen von extern wie er schreibt, nicht vom eigenen Server.

[Ralph]

Die Mails kommen von extern wie er schreibt, nicht vom eigenen Server.

Hi Florian, die Anzahl der Mails macht mich etwas stutzig ... daher tippe ich auf irgendeine interne Verbindung damit.

[Jolinar]

daher tippe ich auf irgendeine interne Verbindung damit

Der TE schrieb doch, daß die Mails von extern kommen:

Dem Maillog nach, kommen die Mails von verschiedenen Servern auf der ganzen Welt.

@TE:
Um die Last von deinem Server zu nehmen könntest du das betroffene Postfach auf einem anderen Server einrichten, quasi als Honeypot. Allerdings landen dann auch alle regulären Mails für dieses Postfach dort...

[Ralph]

Dem Maillog nach, kommen die Mails von verschiedenen Servern auf der ganzen Welt.

Das Mail Log dazu wäre nützlich bei einem Erste Hilfe Ruf ... ich kann erstmal nur vermuten, aufgrund der hohen Anzahl der Emails.

[Tobi]

Ich würde sagen es handelt sich um einen klassischen Joe-Job.

https://de.wikipedia.org/wiki/Joe-Job

Ehrlich gesagt kann man sowas nur aussitzen oder alternativ die Hütte abfackeln. Dazwischen gibt es nix…

[Jolinar]

die im Sekundentakt mit Spam-Mails auf ihre info@ überflutet wird

Ist vielleicht ne blöde Frage, aber es geht doch hier um ein info@ Postfach...muß da überhaupt der Empfang aktiv sein? Normalerweise dient doch solch eine Adresse eher zum Versenden von Infos...

[Ralph]

schau dir mal die IP Adressen genauer an ob die irgendwo blacklisted sind, dann ggf. DNSBL Anbieter erweitern.
https://multirbl.valli.org/lookup/

Wurde die Empfänger Email Adresse oder Domain noch zusätzlich irgendwo auf eine Whitelist gesetzt und wurde der SPF record eventl. erweitert?
Die default main.cf sollte normalerweise bei der Menge schon greifen ...

[Engholm]

die im Sekundentakt mit Spam-Mails auf ihre info@ überflutet wird

Ist vielleicht ne blöde Frage, aber es geht doch hier um ein info@ Postfach...muß da überhaupt der Empfang aktiv sein? Normalerweise dient doch solch eine Adresse eher zum Versenden von Infos...

Das ist die so vom Unternehem gewünschte Hauptadresse. So wie die info@ bei vielen anderen Unternehmen ebenfalls als Hauptadresse im Einsatz ist. Hier laufen auch Buchungsanfragen für das Hotel auf.

Ich gehe davon aus, dass es das ist was Tobi verlinkt hat, dass hier jemand versucht, aktiv den Betrieb zu schädigen. Aktuell kann ich lediglich manuell löschen, und die Filter-Regeln um Keywords und Reguläre Ausdrücke im Betreff erweitern. Letzteres federt schon einiges ab. Zwischenzeitlich war auch schon eine 1/4 Stunde Ruhe.

[Engholm]

schau dir mal die IP Adressen genauer an ob die irgendwo blacklisted sind, dann ggf. DNSBL Anbieter erweitern.
https://multirbl.valli.org/lookup/

Wurde die Empfänger Email Adresse oder Domain noch zusätzlich irgendwo auf eine Whitelist gesetzt und wurde der SPF record eventl. erweitert?
Die default main.cf sollte normalerweise bei der Menge schon greifen ...

DIe Mails kommen von allen möglichen Websites weltweit. Ich brauche jetzt nicht anzufangen, alles zu blocken. Die Mails sind ganz reguläre "bitte klicken Sie auf den Link, um Ihre Registierung / Anmeldung zum Newsletter etc.." -Benachrichtungen. Ich könnte Deine E-Mail-Adresse verwenden, um sie für irgendeine Benutzerregistrierung oder Newsletter-Anmeldung zu verwendet und Du erhältst eine Verifikationsmail dazu. Das passiert hier gerade (vermutlich) durch einen beauftragten Bot.

[Jolinar]

und die Filter-Regeln um Keywords und Reguläre Ausdrücke im Betreff erweitern

Ist zwar etwas Arbeit...Aber da der Bot ja auch nur stumpf bestimmte Mails triggert, solltest du relativ schnell ein funktierendes Rule Set zusammengestellt haben.
Bonus: Das Rule Set kann gesichert und jederzeit auf beliebigen Postfächern mit ähnlichen Problemen ausgerollt werden.