Es kommt nicht oft vor aber es kommt. Und wir leiden alle darunter!

Was passiert? Einem Spammer gelingt es, sich eines Passworts einer unserer Mailboxen zu bemächtigen und schon werden massenweise Mails versendet. Unsere Server landen auf so genannten Blacklisten. Die Folge ist, dass andere Server, die diese Blacklisten beim Empfang von Mails berücksichtigen, plötzlich keine Mails von uns annehmen.

Und es dauert alles seine Zeit. Eine erste Folge ist, dass der Benutzer dieser Mailbox massenweise Unzustellbarkeitsmeldungen bekommt (Tausende). Dann ist der Übeltäter rasch erkannt. Wenn es sich aber um eine zwar angelegte aber sonst unbenutzte Mailbox handelt, wird es schon schwieriger, weil es zunächst niemand merkt. Bis man es also überhaupt erkennt, dass ein Spammer am Werk ist, bis man die zugehörige Mailbox entdeckt, dort ein neues Passwort setzt, ist schon viel Schaden angerichtet. Damit ist zwar für den leidgeplagten Benutzer der betroffenen Mailbox alles vorbei, aber es müssen noch die “unerwünschten Nebenwirkungen” bekämpft werden.

Denn es wurden wertvolle Ressourcen blockiert (das System reagiert langsam), unser Server wurde in Misskredit gebracht und alle anderen User können mache Mails nicht mehr versenden.

Der Spamversand bleibt nicht unbemerkt. Zahlreiche Server weltweit tun nichts anderes als zu beobachten, welche Mailserver von Spammern befallen sind. Diese Server werden dann in “schwarzen Listen” (Blacklists) geführt und andere Mailserver (auch wir selbst) beobachten diese Blacklists und sobald ein Server auf diesen Listen landet, werden von ihm keine Mails mehr angenommen, um die jeweils eigenen User zu schützen.

Wir erfahren indirekt von völlig unbeteiligten Usern, dass ihre Mails an ganz bestimmte Server nicht zustellbar gemeldet werden und dann geht eben die Suche los, man muss die Ursache finden und wenn die Ursache gefunden wurde, dann auch die Einträge in den Blacklists zu entfernen versuchen.

Die Arbeit besteht darin, sich aus diesen Blacklists wieder auszutragen. Man muss also alle diese Server besuchen, die festgestellt haben, man wäre ein Spammer und muss dort bekannt geben, dass der Fehler behoben ist. Manche dieser Streichungen sind aber nicht so einfach durchzuführen (zumindest kann es nicht jeder machen), denn die Server fordern, dass eine Mail vom Postmaster der betroffenen Mail-Domäne gesendet wird.

Da es sich um eine wirklich große Zahl von Blacklists handelt, gibt es so etwas wie eine Meta-Suche, die für eine gegebene IP alle diese Server abfragt und dann eine Gesamtübersicht gibt. Eine solche Seite ist:

http://multirbl.valli.org/lookup/

Das Bild zeit einen befallenen Server, der in 14 Blacklists eingetragen ist. Unsere Server liegen (derzeit) im grünen Bereich.

Es ist in unser aller Interesse, dass so etwas nicht passiert und wenn, dass die Ursache möglich rasch beseitigt wird.

Was wir alle, die eine Mailbox am Clubserver haben, dazu beitragen können, ist folgendes:

  • Ändert Euer Passwort. Oft sind Passwörter lange Zeit ungeändert in Verwendung und die Angreifer haben Zeit, das Passwort herauszufinden. Das Passwort soll auf stark sein. Groß/Kleinbchstaben, Ziffern, Zeichen.
  • Schaut im Verdachtsfall bei dieser Meta-Blacklist nach, ob wir da irgendwo verzeichnet sind.

Unsere Mailserver sind:

Mailenable
194.50.115.225 me1.ccc.at
194.50.115.226 me2.ccc.at
194.50.115.131 mail.ccc.at

Exchange
194.50.115.167 exet01.ccc.at
194.50.115.138 exdb01.ccc.at

Es gibt auch weitere solche “Wächter des Internet”:

McAffee Spam Check

http://www.mcafee.com/threat-intelligence/ip/spam-senders.aspx

liefert als Kategorisierung eine unauffällige “grün”-Meldung:

spam01

Symantec Security Response

http://www.symantec.com/security_response/landing/spam/

spam02

Noch schlimmer kann es sein, wenn es jemandem gelingt, ein Web anzugreifen und Programme auf den Webserver zu laden. Darüber werden wir später berichten. Es liegt in den meisten Fällen daran, dass eine ungewartete Altinstallation eines CMS verwendet wird, deren Angriffspunkte nicht durch aktuelle Updates gepatcht worden sind.

Franz Fiala

Präsident Clubcomputer / Herausgeber PCNEWS bei ClubComputer.at
Franz ist pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreut unser Clubtelefon und Internet Support. Er ist leidenschaftlicher Rapid Wien Fan.

Letzte Artikel von Franz Fiala (Alle anzeigen)