Blacklists

von | Jan 14, 2017 | ClubComputer, Mail | 2 Kommentare

Es kommt nicht oft vor aber es kommt. Und wir leiden alle darunter!

Was passiert? Einem Spammer gelingt es, sich eines Passworts einer unserer Mailboxen zu bemächtigen und schon werden massenweise Mails versendet. Unsere Server landen auf so genannten Blacklisten. Die Folge ist, dass andere Server, die diese Blacklisten beim Empfang von Mails berücksichtigen, plötzlich keine Mails von uns annehmen.

Und es dauert alles seine Zeit. Eine erste Folge ist, dass der Benutzer dieser Mailbox massenweise Unzustellbarkeitsmeldungen bekommt (Tausende). Dann ist der Übeltäter rasch erkannt. Wenn es sich aber um eine zwar angelegte aber sonst unbenutzte Mailbox handelt, wird es schon schwieriger, weil es zunächst niemand merkt. Bis man es also überhaupt erkennt, dass ein Spammer am Werk ist, bis man die zugehörige Mailbox entdeckt, dort ein neues Passwort setzt, ist schon viel Schaden angerichtet. Damit ist zwar für den leidgeplagten Benutzer der betroffenen Mailbox alles vorbei, aber es müssen noch die “unerwünschten Nebenwirkungen” bekämpft werden.

Denn es wurden wertvolle Ressourcen blockiert (das System reagiert langsam), unser Server wurde in Misskredit gebracht und alle anderen User können mache Mails nicht mehr versenden.

Der Spamversand bleibt nicht unbemerkt. Zahlreiche Server weltweit tun nichts anderes als zu beobachten, welche Mailserver von Spammern befallen sind. Diese Server werden dann in “schwarzen Listen” (Blacklists) geführt und andere Mailserver (auch wir selbst) beobachten diese Blacklists und sobald ein Server auf diesen Listen landet, werden von ihm keine Mails mehr angenommen, um die jeweils eigenen User zu schützen.

Wir erfahren indirekt von völlig unbeteiligten Usern, dass ihre Mails an ganz bestimmte Server nicht zustellbar gemeldet werden und dann geht eben die Suche los, man muss die Ursache finden und wenn die Ursache gefunden wurde, dann auch die Einträge in den Blacklists zu entfernen versuchen.

Die Arbeit besteht darin, sich aus diesen Blacklists wieder auszutragen. Man muss also alle diese Server besuchen, die festgestellt haben, man wäre ein Spammer und muss dort bekannt geben, dass der Fehler behoben ist. Manche dieser Streichungen sind aber nicht so einfach durchzuführen (zumindest kann es nicht jeder machen), denn die Server fordern, dass eine Mail vom Postmaster der betroffenen Mail-Domäne gesendet wird.

Da es sich um eine wirklich große Zahl von Blacklists handelt, gibt es so etwas wie eine Meta-Suche, die für eine gegebene IP alle diese Server abfragt und dann eine Gesamtübersicht gibt. Eine solche Seite ist:

http://multirbl.valli.org/lookup/

Das Bild zeit einen befallenen Server, der in 14 Blacklists eingetragen ist. Unsere Server liegen (derzeit) im grünen Bereich.

Es ist in unser aller Interesse, dass so etwas nicht passiert und wenn, dass die Ursache möglich rasch beseitigt wird.

Was wir alle, die eine Mailbox am Clubserver haben, dazu beitragen können, ist folgendes:

  • Ändert Euer Passwort. Oft sind Passwörter lange Zeit ungeändert in Verwendung und die Angreifer haben Zeit, das Passwort herauszufinden. Das Passwort soll auf stark sein. Groß/Kleinbchstaben, Ziffern, Zeichen.
  • Schaut im Verdachtsfall bei dieser Meta-Blacklist nach, ob wir da irgendwo verzeichnet sind.

Unsere Mailserver sind:

Mailenable
194.50.115.225 me1.ccc.at
194.50.115.226 me2.ccc.at
194.50.115.131 mail.ccc.at

Exchange
194.50.115.167 exet01.ccc.at
194.50.115.138 exdb01.ccc.at

Es gibt auch weitere solche “Wächter des Internet”:

McAffee Spam Check

http://www.mcafee.com/threat-intelligence/ip/spam-senders.aspx

liefert als Kategorisierung eine unauffällige “grün”-Meldung:

spam01

Symantec Security Response

http://www.symantec.com/security_response/landing/spam/

spam02

Noch schlimmer kann es sein, wenn es jemandem gelingt, ein Web anzugreifen und Programme auf den Webserver zu laden. Darüber werden wir später berichten. Es liegt in den meisten Fällen daran, dass eine ungewartete Altinstallation eines CMS verwendet wird, deren Angriffspunkte nicht durch aktuelle Updates gepatcht worden sind.

Franz Fiala

Ehemaliger Präsident Clubcomputer / Herausgeber PCNEWS bei ClubComputer.at
Franz war pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreute unser Clubtelefon und Internet Support. Er war leidenschaftlicher Rapid Wien Fan. Er ist leider Anfang Jänner 2024 nach langer schwerer Krankheit verstorben.

Letzte Artikel von Franz Fiala (Alle anzeigen)

2 Kommentare

  1. Fritz Stockhammer
    Fritz Stockhammer am 14. Januar 2017 um 8:17

    Sind alle drei Mailserver für Senden UND Empfang zuständig?

    Mailenable
    194.50.115.225 me1.ccc.at
    194.50.115.226 me2.ccc.at
    194.50.115.131 mail.ccc.at

    Bei meinen Domänen sind lediglich zwei davon eingetragen:
    ;; ANSWER SECTION:
    xx.at. 86400 IN MX 10 mail.xx.at.
    xx.at. 86400 IN MX 21 mail2.xx.at.
    ;; ADDITIONAL SECTION:
    mail.xx.at. 86400 IN A 194.50.115.131
    mail2.xx.at. 86400 IN A 194.50.115.226

    Was zu Problemen führen könnte, wenn das SPF Filter beim Empfänger „zuschlägt“ wenn beim Versand 194.50.115.225 me1.ccc.at verwendet wird.
    ;; ANSWER SECTION:
    xx.at. 86400 IN TXT “v=spf1 a mx -all” “”

    Ich stehe mit diesem Problem vermutlich nicht alleine da.

  2. Erich Pekar
    Erich Pekar am 14. Januar 2017 um 12:01

    eine Frage als technischer Laie :
    Könnte nicht die systemweite automatsiche Registrierung der Anzahl der nicht erfolgreichen Zustellungen je Mail-Account ( ohne Registrierung der Empfängeradressen ) schon einen gewissen Schutz vor nicht erkanntem Spamming bewirken oder würden wir uns mit einer solchen Möglichkeit noch mehr Sicherheitslücken einhandeln, als wir ohnehin vielleicht schon haben oder gar selbst damit Datenschutzbestimmungen verletzen ?
    Bei erfolgreicher Zustellung der Spammails wäre aber selbst diese Idee wirkungslos.

Kommentar absenden

Zur Werkzeugleiste springen