Spam-Welle überflutet uns....

  • Hallo in die Runde,

    ein Thema beschäftigt uns heute morgen, was aber wohl nicht so sehr an David liegt...

    Wir sind hier auf David in der (fast) aktuellen version Rollout 272 unterwegs. MIS ist nicht bestellt.


    Wir haben momentan hier 3 Postfächer, die im Moment seit gestern abend mit > 2000 Mails geflutet werden.

    Die meisten Mails sind Hinweise von Spamhaus.org und anderen Spamfiltern auch so etwas wie "user unknown"... usw. Habe mal Anmerkungen in zwei Mailtexte in rot eingefügt... Die XXX haben ich eingefügt, um Klarnamen zu vermeiden.


    This message was created automatically by mail delivery software.

    A message that you sent could not be delivered to one or more of
    its
    recipients. This is a permanent error. The following
    address(es)
    failed:

    XXX@vendaid.co.uk:
    SMTP error from remote
    server for RCPT TO command, host: mx1.avgcloud.net (52.7.114.241) reason: 553
    Your IP [82.165.159.44] is on one or more DNS blacklists. ulc: (DAS IST NICHT UNSERE IP_ADRESSE)

    9223290
    036843955412, rcp: 0001. (#5.1.1)

    oder auch


    This message was created automatically by mail delivery software.

    A message that you sent could not be delivered to one or more of
    its recipients. This is a permanent error. The following address(es) failed:


    XXXX@iand.de:
    SMTP error from remote
    server for RCPT TO command, host: iand.de (78.138.120.125) reason: 550-"JunkMail
    rejected - mout-xforward.kundenserver.de [82.165.159.10]:546
    68 is
    550-in
    an RBL: Your e-mail service was detected by mail.ixlab.de (NiX Spam
    )
    as
    550-spamming at Tue, 26 Sep 2017 07:02:09 +0200. Your admin should
    visit
    550 "


    ---
    The header of the original message is following. ---


    Received: from
    10.0.0.42 ([91.6.117.238]) by mrelayeu.kundenserver.de
    (mreue001
    [212.227.15.167]) with ESMTPSA (Nemesis) id
    0Ldwwm-1dZUS31N9w-00pret for
    <XXX@iand.de>; Tue, 26 Sep 2017 06:12:55
    +0200
    Date: Tue, 26
    Sep 2017 06:12:56 +0100
    From: XXXr@efb.de(DAS IST EINE GEFAKTE ABSENDERADRESSE)
    <kontakt@xxxx.de> (DAS IST UNSEE MAILADRESSE)
    To: XXX@iand.de
    Message-ID:
    <217766584997.201792641256@iand.de>
    Subject: Rechnung QN - 153-LWJ4063

    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="----=_NextPart_000_00F7_6DE4B513.9A8B919D"
    X-Provags-ID:
    V03:K0:J0dC8BrowakfeZJi8vnr5DVnJd9IF3QfOqvMbFBewbfvCc1fDqH
    LrekBG6diiXANEh2rM6QlrziDpEQy3thc9YBvtC7nA6DLlhz4NpRxCz1p3Aar1i4W+NCByO
    EQxTtWWyl1LRRzVE13LcDU5wRdTzGJDs4I5VPUYjM8CYqpV1C9RjmcSoZaWcU/TuT0aJuht
    bn5j7M5w8rGFczJkGSgEw==
    X-U[Blockierte Grafik: res://dvwin32.dll/PNG/EMOJI_0001F60C-200]ut-Filterresults:
    junk:10;V01:K0:SEQ3cRUYAtE=:6BNQYObbmJCc4g7Cjw8+Slx+
    wMkH/nSfWzECV/lchE+qb5cYOUO7CgGS0pGokAChAFvQ0h7e9uq/QUXiir9NaDBIR4BvxFk6R
    JwWXCYHEX40TQnp4CggATAPmyqvWhqEumiuFcGWqI4TIdoxMKEfYwkwMZDzlv9mUlTRoKnhcB
    3MDsu2/muNMJ6kiiYLNVPZebqClYu7LTQoFiivt9oWXUoaMRZdcTO00Yur9hoGzzeCpsbkXsR
    FoGV2uAwOs2Chnv03ZUy3iKPU9kO+9L8+VCt4UC5BpxNtXLK7L5t6Rl/tEA73Yw9Gz0WVyQ3G
    2PLE0k/0YxKfz4Epl4zRBaSBxJtKpe9kMK1YkK42daKNJQsf+mOznkei7dwWaG+Uh82vpj9n5
    q9elQOUqQlTRMtDyX0vl8w9r2ZocnUgbiZF5ntElBz7Q5Co/eS9yrvRqXg97EPFAE7XZzmn5r
    /3OwQcivUdliY97uRBRG4KyWeAzki5Q2sS6Tvq3RYcMmmZKqx9O9VWKmcupi9c4ayG1s9+e7L
    XGZYzCnv0RveGDNRxnHVv+eWVe/zugnxQYXP/1KP1y7POiy06rcRe5k4u7erMjx+7JD2GbUXs
    nYPEWKAiL6sNyunVOQpoqlaoT3pB3MnSCbJyqDURiQSE30pZKYkElcrGHXKD4OID+ia5Mxzhw
    qWs7RLfQpFapaSxnOt+IXufWIAK3DHPs2xHGgx+Gu96MHoOA4T+lbMDjCoEq91Sj4glQBs+3N
    PwZKBuUhULt8l7qANUfFND5Y1p2/Qy+951HSWuchiWxLpmc8tXlydKQWbAe/Du+GC3qyRaQ8I
    wd0modX0xcI+bjpmakpzpoIbOhvNl5uqb7bLFqqlt4Vw7dB1elSgV9O1LtNypFNwigIMWYd6y
    lOswT8kZhA3qHSo6Vg==

    Habe unseren Mailserver gecheckt: Im Postausgang der User steht keine einzige Mail drin. Im Ausgangsprotokoll auf dem Admin sind keine Ausgangsmails entsprechend drin.

    In gesendete Mails des POP-Postfachs steht auch nichts drin.

    Aufgrund der EIntragungen in dem Text oben entnehmen ich, dass von einer anderen IP-Adresse fleißig gesendet wird, da unter anderem Namen aber mit uinsere Adresse als Replay-Adresse.

    Jetzt zu meinen Fragen:

    1. Liege ich damit richtig? Ist das von einer anderen IP-Adresse versandt worden?

    2. Wie kann man das stoppen? Es sendet wohl ein Spambot fleißig über die IP mit geklauten Absendernamen.... Leider sind die Absenderadressen auch noch wechselnd.

    3. Auch wenn Spamhaus die Absender-IP blockiert, nützt das dann mir nichts, weil zum einen die Absenderadresse wechselt und zum anderen mit wechselnde Absendernamen gearbetet wird. Wir sind nur der Empfänger via der Reply-To-Adresse nehme ich mal an. Mein erster Gedanke wäre dann beim Provider alle Mails mit dem Absender Mailer-daemon@kundenserver.de auf Spamliste / Blacklistiung zu setzen.... Mit der möglicherweisen Folge, dass ausgesandte Mails, welche z. B. durch einen Tippfehler falsch adrerssiert sind, aus den Augen sind.... Weiß da jemand was besseres?

    Danke für ein Feedback!

    ------------------------------------------------

    Nur dummer User mit gefährlichem Halbwissen.... ;(

    Denken is' wie Google. Nur krasser, ey.... 8o

  • Ich kann nur so viel antworten: Dass ein SPAMer sich eine fremde Domain als Absenderadresse schnappt und dadurch etliche bounce-Meldungen bei einem unbeteiligten Kunden aufschlagen, hatte ich auch schon öfter mal. Die gute Nachricht: Der Spuk ist in der Regel nach 1-2 Tagen vorbei, da der SPAMer geblockt wird oder auf einen anderen Fake-Absender umschwenkt. Ich würde das einfach aussitzen; viel unternehmen kann man eh nicht.

  • Hallo Nordtech, scheint sich auch so zu bestätigen.

    Habe heute morgen den ganzen Schwung auf die Blacklist gesetzt und brutal gesperrt. Habe jetzt mal testweise wieder aufgehoben und es kommt nichts mehr.

    Bleiben nur etliche Mails übrig, die unsere Mailadresse durch Spamfilter auf die Spamliste gesetzt haben und das an uns als Hinweis senden.

    Mal sehen, was da passiert.....


    Das Muster der Spam-Mail war im übrigen bei allen das gleiche.

    Rechnungsversand mit angeblichem Anhang, der sich in einer WWW.-irgendwas-Adresse verborgen hat. Der Link dürfte dann wohl ein übler sein.....

    ------------------------------------------------

    Nur dummer User mit gefährlichem Halbwissen.... ;(

    Denken is' wie Google. Nur krasser, ey.... 8o

Jetzt mitmachen!

Du hast noch kein Benutzerkonto auf unserer Seite? Registriere dich kostenlos und nimm an unserer Community teil!