KeyHelp Community

Ralph wrote: ↑Fri 25. Oct 2024, 09:17 Selbst wenn es eine offizielle Website vom Papst oder von Frau Merkel wäre, handelt es sich dabei um ungesicherte Spamschleudern.

Ich befürchte, daß du bei dem Thema irgendwie in einen Denkfehler läufst...

Ich versuche es mit einem Beispiel:
Nehmen wir an, ich wollte so eine Attacke auf eine deiner Mailadressen machen und würde eine Registrierung hier im Forum initiieren und deine Mailadresse angeben...Dann würde nach deiner Auffassung dieses Forum eine Spamschleuder sein, weil die Forensoftware dir eine Bestätigungsmail sendet...

Erkennst du das Problem, warum du nicht einfach alle Seiten als potentielle Spamschleudern ansehen kannst...?

Jolinar wrote: ↑Fri 25. Oct 2024, 09:22

Ralph wrote: ↑Fri 25. Oct 2024, 09:17 Selbst wenn es eine offizielle Website vom Papst oder von Frau Merkel wäre, handelt es sich dabei um ungesicherte Spamschleudern.

Ich befürchte, daß du bei dem Thema irgendwie in einen Denkfehler läufst...

Ich versuche es mit einem Beispiel:
Nehmen wir an, ich wollte so eine Attacke auf eine deiner Mailadressen machen und würde eine Registrierung hier im Forum initiieren und deine Mailadresse angeben...Dann würde nach deiner Auffassung dieses Forum eine Spamschleuder sein, weil die Forensoftware dir eine Bestätigungsmail sendet...

Erkennst du das Problem, warum du nicht einfach alle Seiten als potentielle Spamschleudern ansehen kannst...?

Ja, gutes Beispiel ... wenn die eingesetzte Software dieses Forums Fake Registrierungen via Spam Bot erlauben würde, dann wäre es in diesem Fall eine Spamschleuder und würde auf DNSBL Listen landen.

Ralph wrote: ↑Fri 25. Oct 2024, 09:46

Ja, gutes Beispiel ... wenn die eingesetzte Software dieses Forums Fake Registrierungen via Spam Bot erlauben würde, dann wäre es in diesem Fall eine Spamschleuder und würde auf DNSBL Listen landen.

Also wie faktisch jedes Board und jede Webseite mit Anmeldung? Es gibt keinen Schutz vor Bots der wirklich hundertprozentig alles filtert.

Blubby wrote: ↑Fri 25. Oct 2024, 11:10 Also wie faktisch jedes Board und jede Webseite mit Anmeldung? Es gibt keinen Schutz vor Bots der wirklich hundertprozentig alles filtert.

Es geht ja um "Spambots" wenn es nur manuelle Registrierungen sind, wäre es schwieriger in den Griff zu bekommen, aber bei diesem extremen Umfang ist es ziemlich sicher automatisiert.
Wenn Du als Betreiber einer Anwendung z.b. Formulare bereit stellst die von Bots missbraucht werden und automatisierte ungewollte Emails an Empfänger senden die niemals diese Seite besucht haben, wirkt sich dieses auf die Reputation Deiner IP Adresse aus und je nach Umfang der Beschwerden auch auf die ASN Reputation Deines Datacenters aus.
Es gibt für diese Art von Attacken sogar sogenannte CAPTCHA farm die gewöhnlichen Captcha Schutz (erkennen) umgehen können.
Recaptcha V2 ist aber immer noch sehr wirkungsvoll, notfalls das Formular deaktivieren bis eine Lösung gefunden wurde, wenn der Betreiber aber gar nichts gegen den Missbrauch unternimmt und es einfach ignoriert dann landet die IP Adresse eventl. auch für längere Zeit auf Blacklists, die vor solchen Attacken schützen sollen.

Ralph wrote: ↑Fri 25. Oct 2024, 12:13 Es geht ja um "Spambots" wenn es nur manuelle Registrierungen sind, wäre es schwieriger in den Griff zu bekommen, aber bei diesem extremen Umfang ist es ziemlich sicher automatisiert.
Wenn Du als Betreiber einer Anwendung z.b. Formulare bereit stellst die von Bots missbraucht werden und automatisierte ungewollte Emails an Empfänger senden die niemals diese Seite besucht haben, wirkt sich dieses auf die Reputation Deiner IP Adresse aus und je nach Umfang der Beschwerden auch auf die ASN Reputation Deines Datacenters aus.

Du gehst davon aus, daß der Bot in größeren Mengen Bestätigungsmails von einer einzelnen Seite initiiert...Aber ich vermute fast, daß du da einem Trugschluß erliegst.
Die 'bösen Buben' sind ja auch nicht blöd und wissen, daß so ein Vorgehen einen Eintrag für die Seite/IP in diversen BLs auslöst und diese Seiten für den Bot danach "verbrannt" sind.
Ohne es jetzt sicher zu wisssen, gehe ich eher davon aus, daß der Bot vermutlich einen sehr großen Pool an Webseiten vorhält, um von Tausenden von Seiten jeweils nur wenige Mails zu initiieren. Solche Pools lassen sich ja auch relativ einfach generieren, indem man im Vorfeld einfach stumpf das Netz nach WP Instanzen o.ä. scannen läßt...

Jolinar wrote: ↑Fri 25. Oct 2024, 12:45

Ralph wrote: ↑Fri 25. Oct 2024, 12:13 Es geht ja um "Spambots" wenn es nur manuelle Registrierungen sind, wäre es schwieriger in den Griff zu bekommen, aber bei diesem extremen Umfang ist es ziemlich sicher automatisiert.
Wenn Du als Betreiber einer Anwendung z.b. Formulare bereit stellst die von Bots missbraucht werden und automatisierte ungewollte Emails an Empfänger senden die niemals diese Seite besucht haben, wirkt sich dieses auf die Reputation Deiner IP Adresse aus und je nach Umfang der Beschwerden auch auf die ASN Reputation Deines Datacenters aus.

Du gehst davon aus, daß der Bot in größeren Mengen Bestätigungsmails von einer einzelnen Seite initiiert...Aber ich vermute fast, daß du da einem Trugschluß erliegst.
Die 'bösen Buben' sind ja auch nicht blöd und wissen, daß so ein Vorgehen einen Eintrag für die Seite/IP in diversen BLs auslöst und diese Seiten für den Bot danach "verbrannt" sind.
Ohne es jetzt sicher zu wisssen, gehe ich eher davon aus, daß der Bot vermutlich einen sehr großen Pool an Webseiten vorhält, um von Tausenden von Seiten jeweils nur wenige Mails zu initiieren. Solche Pools lassen sich ja auch relativ einfach generieren, indem man im Vorfeld einfach stumpf das Netz nach WP Instanzen o.ä. scannen läßt...

Ich gehe davon aus dass diese Aktion über ein Botnet erfolgt, es geht dabei nicht um ein paar einzelne IPs, ich blockiere jedenfalls gelistete attackierende IPs zu tausenden wenn es sein muß, auch wenn diese "nur" missbraucht werden von Bots und nicht durch den Betreiber selbst.
Jedenfalls diese Websites (hosted forms) die für solche Attacken missbraucht werden sind mit Sicherheit bereits größtentails gelistet.
Wenn Du nichts dagegen unternimmst, bleibst Du Jahrelang auf deren Opfer Listen die immer wieder und wieder attackiert werden.

Wenn mich jemand in einer Notlage um Hilfe bittet, dann agiere ich entsprechend sofort, also es hilft da nicht wirklich weiter wenn man in einer Notlage erst Tagelang alles ausdiskutieren und abwägen muß ... ich bin da mehr ein Macher

Ralph wrote: ↑Fri 25. Oct 2024, 13:07 es hilft da nicht wirklich weiter wenn man in einer Notlage erst Tagelang alles ausdiskutieren und abwägen muß

Darum geht es doch auch garnicht. Deine Methode mag vielleicht die schnellste Lösung sein, aber ich habe immer noch Zweifel, ob es die beste Lösung ist, alles und jeden auszusperren. "Quick & Dirty" sollte immer nur eine Notfallmaßnahme und keine nachhaltige Lösung sein...

Ralph wrote: ↑Fri 25. Oct 2024, 13:07 ich blockiere jedenfalls gelistete attackierende IPs zu tausenden wenn es sein muß, auch wenn diese "nur" missbraucht werden von Bots und nicht durch den Betreiber selbst

Du bist dir aber schon der Tatsache bewußt, daß du durch dieses massenhafte Aussperren anderer Mailserver auch Gefahr läufst, legitime Mails, welche über diese Mailserver verschickt werden, ebenfalls zu blockieren...?

Jolinar wrote: ↑Fri 25. Oct 2024, 13:14 ich blockiere jedenfalls gelistete attackierende IPs zu tausenden wenn es sein muß, auch wenn diese "nur" missbraucht werden von Bots und nicht durch den Betreiber selbst

Nein ich blockiere NUR gelistete IPs (für 48 Stunden automatisiert) und das sorgt für Ruhe.
Im übrigen bewirken diese rejects auch dass die Betreiber über diese Situation informiert werden und etwas daran ändern können, nach 48 Stunden werden die IPs wieder automatisch entsperrt oder nochmals geblockt wenn diese weiterhin als attackierend gelistet sind.
Dazu verwende ich eine Kombi aus Postscreen und Fail2ban in etwa so wie hier:
viewtopic.php?p=51569#p51569

Das scheint ja nicht so selten zu sein....

Ein Kunde von mir ist auch gerade betroffen... fuer Ihn ist es zwar (erst mal) kein Problem die Mail Adresse zu loeschen...

Die Frage ist nun.. wann hoert der Spuk auf.... im Moment bounce so ca 60 Mails pro Minute....

Also ich hatte die E-Mail-Funktion für die Domain zeitweise deaktiviert, damit das Postfach nicht weiter geflutet wurde und von Zeit zu Zeit dann mal wieder geöffnet. Aber auch auch 3 Tagen kamen noch hunderte Opt-In Mails pro Stunde rein, wobei es an den ersten beiden Tagen hunderte pro Minute waren.

Das Ende vom Lied war, dass wir die info@ nach 4 Tagen hart gelöscht haben und ein paar zusätzliche Mail-Adresse für Buchungen, Rechnungen, privat etc. hinterlegt hatten. Die Kundin hatte noch Tage danach zeitweise Anrufe von Unternehmen aus der Region, die sich über die Bounces von Ihrer Adresse gewundert hatten. Das waren teilweise Webshop-Registrierungen und Newsletter-Opt-Ins aus ihrer Region.

Hallo Engholm,

der Spuk war bei meinem Kunden nach 6 Tagen vorbei.... Wir haben die Adresse einfach geloescht und eine neue fuer Ihn aufgesetzt.

Es war in dem Fall kein Problem da der Kunde eine Sekretaerin und einen Office Admin beschaeftigt so wie mehrere andere Mitarbeiter... als die Mails dann gebounced sind haben die entsprechenden Kunden sich einfach an seine Mitarbeiter gewendet und die neue Mail Adresse bekommen...

Wie das dann vorbei war haben wir einfach die alte Mail Adresse als Alias bei der neuen hinterlegt... alle sind happy...

Auffallend war, dass es sich offensichtlich um ein "Ablenkungsmanoever" gehandelt hat, denn es wurde versucht mit seiner KK und der seiner Frau Schindluder zu treiben....

Danke fuer die (spaete ) Rueckmeldung....

Fezzi wrote: ↑Wed 19. Mar 2025, 05:51 Auffallend war, dass es sich offensichtlich um ein "Ablenkungsmanoever" gehandelt hat, denn es wurde versucht mit seiner KK und der seiner Frau Schindluder zu treiben....

Ja, das war bei meiner Kundin ebenfalls der Fall. Es wurde über amazon.uk eine Bestellung über 1500,- EUR getätigt. Die Beställbestätigung konnten wir glücklicherweise zwischen die vielen Rückläufern ausfindig machen.