Erste Hilfe bei Spamflut auf ein einzelnes Postfach

[Engholm]

und die Filter-Regeln um Keywords und Reguläre Ausdrücke im Betreff erweitern

Ist zwar etwas Arbeit...Aber da der Bot ja auch nur stumpf bestimmte Mails triggert, solltest du relativ schnell ein funktierendes Rule Set zusammengestellt haben.

Ist leider eine ziemlich aussichtslose Arbeit. Siehe angehängt Screenshot mit den Betreffzeilen in allen möglichen Sprachen.

Ich habe nun ein paar alternative Mailadressen für unterschiedliche Zwecke (Buchung, Kontakt, privat ...) angelegt und die info@ werden wir nun auf unbestimmte Zeit deaktiveren.

[Ralph]

Die Mails sind ganz reguläre "bitte klicken Sie auf den Link, um Ihre Registierung / Anmeldung zum Newsletter etc.." -Benachrichtungen. Ich könnte Deine E-Mail-Adresse verwenden, um sie für irgendeine Benutzerregistrierung oder Newsletter-Anmeldung zu verwendet und Du erhältst eine Verifikationsmail dazu. Das passiert hier gerade (vermutlich) durch einen beauftragten Bot.

Wenn diese Emails unterschiedliche URLs enthalten die zur jeweiligen Website passen wäre dies vermutlich der Fall, also ein Bot der Formulare mit der Email Adresse des Kunden füttert.

Wenn aber der Link (URL) in diesen Emails auf das gleiche Ziel zeigt, wäre es vermutlich eher eine gezielte Phishing Attacke wobei die subscribe / unsubscribe URL ein Malware Ziel aufruft.

Kannst Du den Source Code (falls nicht zu lang oder base64 codiert) einmal als Code posten, ansonsten nur den Header?

[Engholm]

Wenn aber der Link (URL) in diesen Emails auf das gleiche Ziel zeigt, wäre es vermutlich eher eine gezielte Phishing Attacke wobei die subscribe / unsubscribe URL ein Malware Ziel aufruft.

Das kann ich ausschließen. Das sind alles ganz reguläre Bestätigungsmails von Websites von allen möglichen Unternehmen aus allen möglichen Ländern.

[Ralph]

Das kann ich ausschließen. Das sind alles ganz reguläre Bestätigungsmails von Websites von allen möglichen Unternehmen aus allen möglichen Ländern.

OK, dann ist also der content und der header immer unterschiedlich und nirgends ist etwas gemeinsames auffindbar außer der Empfänger Email?

Für Empfangs und Sende Limits pro Emailadresse oder per Domain verwende ich Postfwd dann läuft alles andere normal weiter, bis auf die rate limits der betroffenen Email Adresse oder Domain.

[Tobi]

Ich hab was entdeckt!
Du könntest alle Mails filtern die im Betreff und / oder der Mail-Adresse ein "e" haben.


















*sorry*
der musste raus.

[Ralph]

und die Chinesen stecken vermutlich dahinter ... Gütiger Gott!
Alex könnte ja eventl. eine KI Anbindung einbauen (ist "e" gerade trendy) die automatisch ohne Rücksicht auf Verluste alles zurück feuert

[otto58]

Nun mal wieder etwas zum Thema: https://www.hagel-it.de/it-sicherheit/v ... n-dsd.html
Da kann mehr dahinterstehen als "nur" Spam.

[tab-kh]

Nun mal wieder etwas zum Thema: https://www.hagel-it.de/it-sicherheit/v ... n-dsd.html
Da kann mehr dahinterstehen als "nur" Spam.

Ja, ich denke das ist leider eine sehr ernstzunehmende Möglichkeit.

Machen kann man selbst wohl nicht viel, außer zu versuchen, halbwegs wirksame Filterregeln zu finden. Und sich ansonsten durch die Flut der Mails zu wühlen um sicherzustellen, dass da nichts wichtiges untergeht in der Masse der Spam-Mails.

Die Versender dieser ganzen Newsletter-Sch%&/$ allerdings könnten den Zugang zur Registrierung nur IPs erlauben, die von irgendwelchen Providern für Internetanschlüsse an deren Kunden vergeben werden. Analog zu vielen Streaming-Diensten, die auf diese Weise versuchen, VPNs auszuschliessen. Technisch sollte das also möglich sein, wenn auch wohl nicht mit besonders großer Genauigkeit.

Da dies aber sowieso auf Seiten der Newsletter-Versender passieren müsste und nicht auf dem eigenen Mailserver, wird das wohl ohne eine entsprechende, strafbewehrte(!) Vorschrift für Newsletter-Versender nicht passieren. Und auch ansonsten nicht so ohne Weiteres, weil die Versender weltweit verteilt sind und somit zu einem großen Teil außerhalb des Gültigkeitsbereichs einer solchen Vorschrift. Immerhin, bei der DSGVO versucht man das ja seitens der EU auch durchzusetzen, völlig unmöglich ist es also wohl nicht. Aber große Hoffnung habe ich da auch keine.

[Ralph]

Da dies aber sowieso auf Seiten der Newsletter-Versender passieren müsste und nicht auf dem eigenen Mailserver, wird das wohl ohne eine entsprechende, strafbewehrte(!) Vorschrift für Newsletter-Versender nicht passieren. Und auch ansonsten nicht so ohne Weiteres, weil die Versender weltweit verteilt sind und somit zu einem großen Teil außerhalb des Gültigkeitsbereichs einer solchen Vorschrift. Immerhin, bei der DSGVO versucht man das ja seitens der EU auch durchzusetzen, völlig unmöglich ist es also wohl nicht. Aber große Hoffnung habe ich da auch keine.

Nun ja, ich wundere mich trotzdem noch über die Menge, diese ganzen Websites bzw. Server IPs müssten doch größtenteils bereits auf irgendwelchen Blacklists aufgeführt sein ... gute DNSBL sollten doch da schon eine Menge abfangen können "REJECT" bei gelisteten IPs.

Das erste was mich an Spam interessiert ist die IP Adresse und wo diese bereits gelistet sind, falls meine DNSBL diese nicht abweisen.

Gut, ich verwende zwar eine spezielle Konfiguration mit Postscreen, Postfwd und zusätzlichen IPsets die ich mir runterlade, aber wenn da so viele Website Formulare im Spiel sind, müssten diese als ungesicherte Spamschleudern doch irgendwo gelistet und zumindest einzudämmen sein.

[xister]

Gut, ich verwende zwar eine spezielle Konfiguration mit Postscreen, Postfwd und zusätzlichen IPsets die ich mir runterlade, aber wenn da so viele Website Formulare im Spiel sind, müssten diese als ungesicherte Spamschleudern doch irgendwo gelistet und zumindest einzudämmen sein.

Da du sehr tief in dem Thema drin bist, wäre es vielleicht ganz schön mal ein paar Anpassungen von dir unter "Modifikationen / Skripte" gepostet zu bekommen. Denke die E-Mail Flut möchte jeder ein Stück weit mehr im Zaun halten.

[Ralph]

Da du sehr tief in dem Thema drin bist, wäre es vielleicht ganz schön mal ein paar Anpassungen von dir unter "Modifikationen / Skripte" gepostet zu bekommen. Denke die E-Mail Flut möchte jeder ein Stück weit mehr im Zaun halten.

@xister
eher, Tief drin ... in sämtlichen Schlamassel
viewtopic.php?p=47589#p47589

und Postscreen mit Fail2ban wenn es mal ganz dicke kommt
viewtopic.php?p=42211#p42211

[tab-kh]

Nun ja, ich wundere mich trotzdem noch über die Menge, diese ganzen Websites bzw. Server IPs müssten doch größtenteils bereits auf irgendwelchen Blacklists aufgeführt sein ... gute DNSBL sollten doch da schon eine Menge abfangen können "REJECT" bei gelisteten IPs.

Das erste was mich an Spam interessiert ist die IP Adresse und wo diese bereits gelistet sind, falls meine DNSBL diese nicht abweisen.

Gut, ich verwende zwar eine spezielle Konfiguration mit Postscreen, Postfwd und zusätzlichen IPsets die ich mir runterlade, aber wenn da so viele Website Formulare im Spiel sind, müssten diese als ungesicherte Spamschleudern doch irgendwo gelistet und zumindest einzudämmen sein.

Das erste Problem ist, es ist noch nicht mal Spam! So eine Mail ist bei uns sogar Vorschrift. Es nennt sich Double Opt-In . Das sind also keine Spamschleudern, sondern Newsletter-Versender, die sich an die gesetzlichen Vorschriften (Double Opt-In) halten. Sichern könnte man die Registrierungsformulare nur anhand der IP desjenigen, der es abschickt. Ich weiss leider nicht, wie weit verbreitet so eine Sicherung bei Newsletter-Versendern derzeit ist. Falls das tatsächlich bereits Standard sein sollte, es gibt genügend gehackte PCs (oder Kühlschränke ), über die man das genauso gut machen kann wie einen DDOS-Angriff oder sonstige Dinge, für die man ein Botnet sonst noch so nutzt.

Nächstes Problem, es gibt ca 2 mal unendlich viele Newsletter, wo man sich (oder dich) registrieren kann. Man kann als Angreifer das Opfer also zumindest einmal bei jedem dieser Newsletter anmelden bevor etwas passiert. Millionen geeignete Newsletter zu finden düfte kein unlösbares Problem sein.

Jedenfalls eine interessante Methode um viel Schaden auf der Seite aller Beteiligten (außer dem Angreifer) zu verursachen. Und im entstandenen Chaos dann eventuell auch unbemerkt den eigentlichen Angriff zu fahren.

[Ralph]

Es ist ja wohl kein Problem mal eben 5-10 IPs davon zu prüfen, danach kann man erst sagen ob diese per DNSBL zu blocken wären oder nicht.

Jedenfalls kann hier von "legitimem Spam" keine Rede sein, sieht nicht danach aus dass sich der TE für die Newsletter selbst angemeldet hat, also kann der ganze China Crap Spam Schrott ab in die Tonne, auch wenn ne ganze Armee von geifernden Rechtsanwäten mit irgendwelchen Bedenken irgendwo im Universum aufschlagen sollte, würde mich das nicht im geringsten beeindrucken

[Engholm]

Es ist ja wohl kein Problem mal eben 5-10 IPs davon zu prüfen, danach kann man erst sagen ob diese per DNSBL zu blocken wären oder nicht.

Es wären dann halt 5-10 von Tausenden unterschiedlichen(!) IPs aus aller Welt. Eben auch auch IONOS, Hosteurope, All-Inkl. etc... teilweise von der Website von der Baumschule um die Ecke. Es sind auch nicht nur Newsletter-Anmeldungen sondern ebenfalls Worpress- und Shop-Benutzerregistrierungen, Passwort zurücksetzen etc.... also alles was irgendwie Bestätigungs- oder Opt-In-Mails erzeugt. Damit erübrigt sich die Frage nach DNSBL. Technisch gesehen ist es Ham und kein Spam.

Aktuell sind es noch ~ 5-10 Rejects pro Minute, auch wenn die Adresse unlängst nicht mehr existiert. Gestern morgen waren es noch 4-5 / Sekunde.

Jedenfalls eine interessante Methode um viel Schaden auf der Seite aller Beteiligten (außer dem Angreifer) zu verursachen. Und im entstandenen Chaos dann eventuell auch unbemerkt den eigentlichen Angriff zu fahren.

Japp, gab gestern eine Rückmeldung, dass es eine nicht autorisierte Amazon-Bestellung über > 1000,- EUR gab. Diese Bestell-Mail habe ich beim Aufräumen via Rouncube zumindest vom Betreff her auch gesichtet.

[Ralph]

Es wären dann halt 5-10 von Tausenden unterschiedlichen(!) IPs aus aller Welt. Eben auch auch IONOS, Hosteurope, All-Inkl. etc... teilweise von der Website von der Baumschule um die Ecke.

Es geht ja darum ob die betreffenden Sender IPs bereits gelistet sind, dabei spielt es keine Rolle wem diese zuzuordnen sind.
Selbst wenn es eine offizielle Website vom Papst oder von Frau Merkel wäre, handelt es sich dabei um ungesicherte Spamschleudern.