Hallo in die Runde,
ein Thema beschäftigt uns heute morgen, was aber wohl nicht so sehr an David liegt...
Wir sind hier auf David in der (fast) aktuellen version Rollout 272 unterwegs. MIS ist nicht bestellt.
Wir haben momentan hier 3 Postfächer, die im Moment seit gestern abend mit > 2000 Mails geflutet werden.
Die meisten Mails sind Hinweise von Spamhaus.org und anderen Spamfiltern auch so etwas wie "user unknown"... usw. Habe mal Anmerkungen in zwei Mailtexte in rot eingefügt... Die XXX haben ich eingefügt, um Klarnamen zu vermeiden.
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of
its
recipients. This is a permanent error. The following
address(es)
failed:
XXX@vendaid.co.uk:
SMTP error from remote
server for RCPT TO command, host: mx1.avgcloud.net (52.7.114.241) reason: 553
Your IP [82.165.159.44] is on one or more DNS blacklists. ulc: (DAS IST NICHT UNSERE IP_ADRESSE)
9223290
036843955412, rcp: 0001. (#5.1.1)
oder auch
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address(es) failed:
XXXX@iand.de:
SMTP error from remote
server for RCPT TO command, host: iand.de (78.138.120.125) reason: 550-"JunkMail
rejected - mout-xforward.kundenserver.de [82.165.159.10]:546
68 is
550-in
an RBL: Your e-mail service was detected by mail.ixlab.de (NiX Spam
)
as
550-spamming at Tue, 26 Sep 2017 07:02:09 +0200. Your admin should
visit
550 "
---
The header of the original message is following. ---
Received: from
10.0.0.42 ([91.6.117.238]) by mrelayeu.kundenserver.de
(mreue001
[212.227.15.167]) with ESMTPSA (Nemesis) id
0Ldwwm-1dZUS31N9w-00pret for
<XXX@iand.de>; Tue, 26 Sep 2017 06:12:55
+0200
Date: Tue, 26
Sep 2017 06:12:56 +0100
From: XXXr@efb.de(DAS IST EINE GEFAKTE ABSENDERADRESSE)
<kontakt@xxxx.de> (DAS IST UNSEE MAILADRESSE)
To: XXX@iand.de
Message-ID:
<217766584997.201792641256@iand.de>
Subject: Rechnung QN - 153-LWJ4063
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_00F7_6DE4B513.9A8B919D"
X-Provags-ID:
V03:K0:J0dC8BrowakfeZJi8vnr5DVnJd9IF3QfOqvMbFBewbfvCc1fDqH
LrekBG6diiXANEh2rM6QlrziDpEQy3thc9YBvtC7nA6DLlhz4NpRxCz1p3Aar1i4W+NCByO
EQxTtWWyl1LRRzVE13LcDU5wRdTzGJDs4I5VPUYjM8CYqpV1C9RjmcSoZaWcU/TuT0aJuht
bn5j7M5w8rGFczJkGSgEw==
X-U[Blockierte Grafik: res://dvwin32.dll/PNG/EMOJI_0001F60C-200]ut-Filterresults:
junk:10;V01:K0:SEQ3cRUYAtE=:6BNQYObbmJCc4g7Cjw8+Slx+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Habe unseren Mailserver gecheckt: Im Postausgang der User steht keine einzige Mail drin. Im Ausgangsprotokoll auf dem Admin sind keine Ausgangsmails entsprechend drin.
In gesendete Mails des POP-Postfachs steht auch nichts drin.
Aufgrund der EIntragungen in dem Text oben entnehmen ich, dass von einer anderen IP-Adresse fleißig gesendet wird, da unter anderem Namen aber mit uinsere Adresse als Replay-Adresse.
Jetzt zu meinen Fragen:
1. Liege ich damit richtig? Ist das von einer anderen IP-Adresse versandt worden?
2. Wie kann man das stoppen? Es sendet wohl ein Spambot fleißig über die IP mit geklauten Absendernamen.... Leider sind die Absenderadressen auch noch wechselnd.
3. Auch wenn Spamhaus die Absender-IP blockiert, nützt das dann mir nichts, weil zum einen die Absenderadresse wechselt und zum anderen mit wechselnde Absendernamen gearbetet wird. Wir sind nur der Empfänger via der Reply-To-Adresse nehme ich mal an. Mein erster Gedanke wäre dann beim Provider alle Mails mit dem Absender Mailer-daemon@kundenserver.de auf Spamliste / Blacklistiung zu setzen.... Mit der möglicherweisen Folge, dass ausgesandte Mails, welche z. B. durch einen Tippfehler falsch adrerssiert sind, aus den Augen sind.... Weiß da jemand was besseres?
Danke für ein Feedback!