Ständiger Angriff auf Mailserver

Beitrag von **euroexchange.de** » 12.11.2010, 21:03

@all
Ich hoffe, das ich im richtigen Forum bin. Im falschen Film scheine ich diese Woche wohl schon zu sein.

Seit einer Woche wird mein Mailserver attackiert und ich bekomme 100te von Mails als Rückantwort - konnte nicht zugestellt werden oder wurde abgelehnt.

Diese Rückmail enthält meine Emailadresse.

Code: Alles auswählen

Informações de diagnóstico para administradores&#58;

Gerando servidor&#58; famerp.br

rey1@famerp.br
#550 5.1.1 RESOLVER.ADR.RecipNotFound; not found ##

Cabeçalhos de mensagem originais&#58;

Received&#58; from 1367SE17FAM.famerp.br &#40;172.16.0.5&#41; by 1367SE17FAM.famerp.br
 &#40;172.16.0.5&#41; with Microsoft SMTP Server id 14.0.639.21; Fri, 12 Nov 2010
 17&#58;45&#58;01 -0200
X-TM-IMSS-Message-ID&#58; <3f68872600051b26@famerp.br>
Received&#58; from nschwmtas02p.mx.bigpond.com &#40;&#91;61.9.189.140&#93;&#41; by famerp.br
 &#40;&#91;172.16.0.5&#93;&#41; with ESMTP &#40;TREND IMSS SMTP Service 7.1&#41; id 3f68872600051b26 ;
 Fri, 12 Nov 2010 17&#58;44&#58;57 -0200
Received&#58; from nschwotgx01p.mx.bigpond.com &#40;&#91;187.16.57.170&#93;&#41;          by
 nschwmtas02p.mx.bigpond.com with ESMTP          id
 <20101112194631.RJLN25233.nschwmtas02p.mx.bigpond.com@nschwotgx01p.mx.bigpond.com>;
          Fri, 12 Nov 2010 19&#58;46&#58;31 +0000
Received&#58; from User &#40;&#91;187.16.57.170&#93;&#41; by nschwotgx01p.mx.bigpond.com
          with ESMTP          id
 <20101112194628.PNQK8424.nschwotgx01p.mx.bigpond.com@User>;          Fri, 12
 Nov 2010 19&#58;46&#58;28 +0000
Reply-To&#58; <chiemelie123@gmail.com>
From&#58; Alamieyeseigha <...ice@eur........de>
Subject&#58; Cumprimentos,
Date&#58; Fri, 12 Nov 2010 11&#58;46&#58;18 -0800
MIME-Version&#58; 1.0
Content-Type&#58; text/plain; charset="Windows-1251"
Content-Transfer-Encoding&#58; 7bit
X-Priority&#58; 3
X-MSMail-Priority&#58; Normal
X-Mailer&#58; Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE&#58; Produced By Microsoft MimeOLE V6.00.2600.0000
X-Authentication-Info&#58; Submitted using SMTP AUTH LOGIN at nschwotgx01p.mx.bigpond.com from &#91;187.16.57.170&#93; using ID j.deadman@bigpond.com at Fri, 12 Nov 2010 19&#58;44&#58;49 +0000
Message-ID&#58; <20101112194628.PNQK8424.nschwotgx01p.mx.bigpond.com@User>
X-RPD-ScanID&#58; Class confirmed; VirusThreatLevel unknown, RefID str=0001.0A150201.4CDD9997.0063,ss=4,pt=113350,fgs=140
X-TM-AS-Product-Ver&#58; IMSS-7.1.0.1394-6.5.0.1024-17762.001
X-TM-AS-Result&#58; No--6.322-5.0-31-1
X-imss-scan-details&#58; No--6.322-5.0-31-1
X-TM-AS-User-Approved-Sender&#58; No
X-TM-AS-User-Blocked-Sender&#58; No
To&#58; Undisclosed recipients&#58;;
Return-Path&#58; ...ice@eur........de

Ständig ändere ich die Zugangsdaten zum Mailserver, verschlüssele die Daten auf meinem Webspace bei Strato, habe SiteGuard aktiviert und schaue mir alle 3 Stunden die Logfiles an, was an Schreibzugriffen und Schreibversuchen stattgefunden hat.

Strato kann nicht helfen. Klar, der Fehler muß wohl mit meinen Skripten zusammenhängen.

Beim letzten Mal hatte der Angreifer eine phpmailer.php und eine mail.php hochgeladen. Wie kann ich mir nicht erklären.

Um festzustellen ob lediglich meine Mail als manipulierter "Respond to" genannt wurde oder ob die Mails wirklich über meinen Mailserver liefen habe ich alle meine Mailadressen deaktiviert. Da jetzt spontan Ruhe zu sein scheint hat es wohl wieder den Mailserver erwischt.

Nachtrag: So ein Quatsch. Warscheinlich bekomme ich den Müll nur nicht weil ich ja die Mailkonten deaktiviert habe. Bin gerade einwenig durch den Wind

Kann jemand von Euch etwas mehr aus den Daten oben erkennen als ich.

Bin für jeden Input dankbar.

Am Anfang der Woche sah die Attacke so aus:

Code: Alles auswählen

*** MAILVERSAND FEHLERBERICHT ***

Die E-Mail wurde eingeliefert am Donnerstag, 4. November 2010 03&#58;33&#58;18 +0100 &#40;MET&#41;
von Host User &#40;dynamic.casap2-4-24-137-41.wanamaroc.com &#91;41.137.24.4&#93;&#41;.

Betreff&#58; Votre PayPal Acccount a t limit!
Absender&#58; ...ice@eur........de
Der Mailversand zum folgenden Empfänger ist endgültig gescheitert&#58;

alemaitr@club-internet.fr
   Letzter Fehler&#58; 452 5.2.2 Mailbox full
   Erklärung&#58; host mx.club-internet.fr &#91;93.17.128.7&#93; said&#58; 
              <alemaitr@club-internet.fr>&#58; Recipient address rejected&#58; 
              Over quota
   Letzter Weiterleitungsversuch war&#58; Dienstag, 9. November 2010 04&#58;34&#58;47 +0100 &#40;MET&#41;

   Auszug aus dem Session-Protokoll&#58;
   ... während der Kommunikation mit dem Mailserver mx.club-internet.fr &#91;93.17.128.7&#93;&#58;
   >>> RCPT TO&#58;<alemaitr@club-internet.fr>
   <<< 452 5.2.2 <alemaitr@club-internet.fr>&#58; Recipient address rejected&#58; Over 
       quota

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **Pompom** » 12.11.2010, 23:31

Rückantwortadressen lassen sich fälschen - das ist keine Atacke auf deine Mailserver, sondern ein Spammer hat ganz einfach eine (oder einige) Mailadresssen von Dir missbraucht. Und nun knallen in deinem Mailpostfach die Rückantworten bzw. die nicht zustellbaren Mails ein.

Wenn es nur einige hunderte pro Tag sind, geht das ja noch.

Beitrag von **euroexchange.de** » 13.11.2010, 04:42

Bis jetzt sind es schon einige Tausend und ich kann nichts machen. Habe die Passwörter mehrmals geändert und es geht weiter. Ok, wenn es eine gefälschte Absenderadresse ist bin ich auf Grund der Rückantworten praktisch tot.

Aus diesem Wust wichtige Email zu filtern ist unmöglich. Auch im Strato Communicator kann ich lediglich 25 Email auf einmal löschen und die landen dann noch im Papierkorb. Da kann ich dann wieder jeweils 25 löschen. Ich drehe echt ab. Wenn man so einen Typen nur mal in die Finger bekommen könnte :_(

Habe Mail an abuse@strato.de geschickt und warte - nach einem Vorfall von Anfang der Woche - jetzt faktisch auf die Kündigung meiner jahrelangen Arbeit.

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **catcat** » 13.11.2010, 06:33

DEIN Mailserver???
Schon mal über nen Anbieterwechsel nachgedacht, wenn Du da nur 25 Mails auf einmal an Deinem Backend löschen kannst?

Du hast nen simplen Billig-Mail-Acc.

Beitrag von **Pompom** » 13.11.2010, 10:10

such Dir einen Mailanbieter mit fettem Postfach und Spam/Trash-Kontrolle, wie z.B. googlemail und leite alle Mails komplett an dieses Postfach weiter. Normalerweise müssten die dann im Spam oder Trash-Ordner landen und die "richtigen" Mails bleiben (hoffentlich) übrig.

Beitrag von **everflux** » 13.11.2010, 11:32

Du kannst versuchen das Backscatter Aufkommen zu reduzieren, indem Du SPF Records fuer Deine Domain einrichtest.

https://de.wikipedia.org/wiki/Sender_Policy_Framework

Beitrag von **euroexchange.de** » 13.11.2010, 16:24

Vielen Dank für Eure Beiträge.

Mittlerweile konnte ich im Strato Communicator zumindest 99 Email zum Löschen einstellen. Das sind dann bei ca. 7.000 Responces "nur noch" knapp 70 x Löschen.

Bei BSI-fuer-buerger.de habe ich folgendes gefunden:
Wer´s komplett lesen möchte:
https://www.bsi-fuer-buerger.de/BSIFB/D ... _node.html

Keine Panik, wenn Ihre Adresse missbraucht wird
Falls Sie feststellen, dass Ihre eigene E-Mail-Adresse missbraucht wurde, so können Sie dagegen kaum etwas unternehmen. Ignorieren und löschen Sie die Nachrichten, in denen Ihnen unbekannte Personen auf von Ihnen nicht verfasste Mails reagieren. Es ist derzeit praktisch nicht möglich, die Fälscher Ihrer Adresse zu ermitteln.

Gelassenheit ist schön und gut. Unschön ist jedoch, wenn man keine Mails mehr verschicken kann weil die eigene Domain in unzähligen SPAM-Filtern steckt.

Und das ist auch nicht nett:

Zum einen fördern Sie dadurch (unbewußt) den Versand von SPAM-Mails. Zum anderen besteht aber auch die Gefahr, dass die Server unseres Rechenzentrums aufgrund des über Ihre Website versendeten SPAMs auf eine sog. Blacklist gelangen. Diese schwarzen Listen werden von vielen Providern dazu genutzt, SPAM herauszufiltern. Es kann also dazu kommen, dass Ihre Mails - aber auch die Mails vieler anderer STRATO Kunden - von den Filterprogrammen anderer Provider als "SPAM" identifiziert und gelöscht werden.

Sollten wir bis zum o. g. Termin nichts von Ihnen hören oder sollte sich vor Ablauf dieser Frist das Spam-Aufkommen weiter erhöhen wären wir entsprechend unserer Allgemeinen Geschäftsbedingungen zur Sperrung Ihrer Internetpräsenz berechtigt.

Beitrag von **catcat** » 13.11.2010, 16:29

Ich habs früher - bis ich nen "richtigen eigenen mailserver" hatte so gelöst, das ich sämtliche mails über gmx.net laufen ließ.
Also von support@meine-domain.com-->gmx.net--->support@meine-domain.com und dann per Thunderbird abgerufen habe.

Ansonsten kannste bei zB hostgator.com nen vServer für 25 USD/Monat mieten. Da kannste dann Deinen höchsteigenen Mailaccount selbst so konfigurieren, wie Du lustigt bist.