Spam belasten sowohl Server als auch Leitungen und sind für alle Betroffenen sehr unangenehm. Spam-Mails zu bekommen, ist lästig genug aber noch schlimmer für uns alle kann es werden, wenn ein Spammer eine Mailbox kapert und das noch dazu unbemerkt.

Im Beitrag “Turbo für den Mailserver” haben wir einerseits über neue Festplatten berichtet, die den Mailserver bedeutend beschleunigen, anderseits aber auch über unsere Bitte, dass sich jedes Mitglied seiner Mailbox name@clubcomputer.at annimmt und wenn sie nur als Weiterleitungsadresse benutzt wird, das Speichern der Mails abzuschalten und die Mails in der Mailbox zu löschen.

Unbenutzte aber speichernde Mailboxen sammeln Mails, die nicht benötigt werden und die in ihrer Menge den Mailserver bei seiner Arbeit beeinträchtigen.

Einige Mitglieder sind unserem Aufruf auch schon gefolgt, und dabei sind wir auf ein weiteres Risiko unbenutzter Mailboxen gestoßen.

Unbenutzte Mailboxen stellen ein bequemes Angriffsziel dar, sofern der Angreifer sich des Passworts bemächtigt, egal wie. “Bequem” deshalb, weil die Mailbox von niemandem benutzt wird und daher niemand das Problem erkennt und behebt.

Wann bin ich ein Spammer?

Eine Mailbox wird zum Versenden von Spam benutzt, wenn es einem Angreifer gelingt, in den Besitz des Passworts zu kommen und dann seine Mails von diesem als “serös” geltenden Mailserver absetzt. Wenn die Maildichte sehr groß wird, bemerken wir das und können das Problem investigativ lösen. Wenn aber die Mailmengen unauffällig sind, merkt man das nicht am Gesamtverhalten des Mailservers.

Indizien

Nach unserem Aufruf zur Einrichtung einer Weiterleitung und Löschung der nicht benötigten Mails hat sich ein Mitglied – bei dem wir uns für das aufmerksame Beobachten bedanken – folgende Mails in der Mailbox entdeckt (es waren Tausende von dieser Sorte):

Es handelt sich im Unzustellbarkeitsnachrichten mit dem Betreff “Message Delivery Failure…” und einem unbekannten – in diesem Fall französischen – Betreff.

Ein Spammer missbrauchte diese Mailbox zum Versenden von Spam-Mails. Aber nicht alle Adressaten existieren oder ihre Mailbox ist voll. In allen diesen Fällen antwortet der kontaktierte Mailserver mit einer solchen Unzustellbarkeitsnachricht. Wenn Hunderttausende Mails verschickt werden, kommen Tausende solcher Benachrichtigungen zurück.

Der Name unseres Mitglieds ist gelb verborgen. Man sieht, dass der Spammer den Namen “Darrel DaSilva” benutzt, um vor der gekaperten Adresse abzulenken.

Abhilfe

Die Abhilfe ist einfach und sollte sofort zum Erfolg führen: Ändere das Passwort! 

Passwörter

Dieser Anlassfall erinnert uns, dass es wichtig ist, sichere Passwörter zu verwenden, die ein Erraten durch Ausprobieren verhindern. Leider finden die Spammer aber auch immer wieder Angriffspunkte, um der Passwörter auf andere Weise habhaft zu werden. Daher ist eine fallweise Änderung der Passwörter genau so wichtig wie ein sicheres Passwort.

Passwortänderung

Bei der Änderung des Passwort müssen wir aber beachten, dass heutzutage eine Mailbox von mehr als nur einem Client abgefragt wird. Man möchte seine Mails ja nicht nur am Stand-PC sondern auch am Laptop/Tablet oder am Handy verfügbar haben. Ändert man nun das Passwort der Mailbox über die Weboberfläche http://mail.ccc.at und danach am Stand-PC, dann ist die Arbeit noch nicht erledigt, denn man muss diese Änderung auch an allen anderen Clients durchführen.

Bei Benutzung eines anderen Client bekommt man vom Mailprogramm eine Meldung gezeigt, die besagt, dass das ein Login nicht möglich ist. Im folgenden Beispielbild ist es die Fehlermeldung von Outlook:

Trägt man hier das neue Passwort ein (und stimmt dieses Passwort), dann konfiguriert Outlook das Konto neu und die Sache ist erledigt und damit auch diese Client auf das neue Passwort aktualisiert. (Beachtet, dass hier schon der neue Servername i4.ccc.at eingetragen ist (siehe folgender Artikel)).

Wenn aber diese Meldung trotz Eingabe des richtigen Passworts nicht verschwindet, dann ist die Mailbox temporär ausgeschaltet. Das ist immer dann der Fall, wenn versucht wurde, sich 10 Mal mit dem falschen Passwort anzumelden. Dann sperrt der Mailserver diese Mailbox für 60 Minuten und erst nach einer Stunde kann die Mailbox wieder in Betrieb genommen werden.

Im folgenden Bild sieht man, wie am Server diese Sperre angezeigt wird:

Wenn es dringend ist, können wir über die Server-Konsole diesen Zustand abschalten.

Wir müssen davon ausgehen, dass Angreifer auch versuchen, ein Mailbox-Passwort durch Ausprobieren herauszufinden. Dieser Abschaltungsmechanismus ist eine Maßnahme gegen solche Versuche. Der Angreifer kennt natürlich diesen Mechanismus. Er weiß auch, dass Passwörter nicht immer zufällig sind sondern es gewisse Muster gibt, die oft verwendet werden. Diese sehr häufigen Passwörter probiert er aus; natürlich bei Tausenden, ja Hundertausenden Mailboxen. Und wenn das zyklisch geschieht, kommt der Angreifer erst nach langer Zeit wieder zu seinem Angriffsziel und umgeht dadurch die eingestellte Sperre.

Man sieht, es besteht ein Wettlauf zwischen Angreifer und Verteidiger und man sollt daher alle erwähnten Maßnahmen wie sicheres Passwort und Passwortwechsel beherzigen.

Franz Fiala

Präsident Clubcomputer / Herausgeber PCNEWS bei ClubComputer.at
Franz ist pensionierter HTL Lehrer (TGM), Präsident von ClubComputer, Herausgeber der Clubzeitung PCNEWS und betreut unser Clubtelefon und Internet Support. Er ist leidenschaftlicher Rapid Wien Fan.

Letzte Artikel von Franz Fiala (Alle anzeigen)