Extremes China-Spam eMail Problem

[black-avenger]

Moinsen,

ich hab seit ein paar Tagen ein erhebliches Problem mit chinesischen Spam Mails. Der Inhalt ist nicht gefährlich, nur irgendwelches Kauderwelsch gemäß Übersetzung und ein einziger Link drin. Aber bei tw. um 300 Mails pro Stunde ist das doch relativ hart. Der Großteil der Mails kommt vordergründig von @qq.com, dann sind noch paar andere wie @162.com, @126.com, @yeah.net als Absender dabei. Inhaltlich alle gleich.

Um dem ganzen Herr zu werden hab ich die besagten Absender-Domains auf dem Mailserver geblacklisted. Das hält erstmal das Postfach wieder für normalen Mailverkehr frei. Schau ich mir den Server HELO an - das Zeug kommt überall her, aber wohl nicht von den Servern von qq.com.

Im Maillog steht bei jeder abgelehnten Mail jetzt als Status "Discarded". Ich gehe auch davon aus, dass irgendwie an die Absenderadresse oder wo auch immer hin eine automatisierte Serverantwort folgt, dass die Mail abgelehnt wurde. Nun habe ich folgende Befürchtung: Lande ich aufgrund dieser Ablehnungsmails selbst irgendwann auf Spam-Listen? Auf der einen Seite flattern mir 300 Mails pro Stunde rein, auf der anderen gehen aber vermutlich auch 300 Mails pro Stunde mit der Ablehnungsbenachrichtigung raus.

Hab offenbar keine Idee, was zu diesem plötzlich auftretenden, erdrutschartigen Spam geführt haben könnte oder sollte. Hat jemand Erfahrung im Umgang und den eventuellen Folgen speziell der Ablehnung der Mails? Gibts elegantere Wege als einfach die Absenderdomain zu blacklisten?

Grüße
Thomas

 

[Dragon AMD]

Entweder du hast einen Virus oder hast auf irgendeiner schlechten webseite daten preis gegeben.

Würde mir eine neue Email Adresse machen und die andere löschen lassen.

Gesendet von meinem GT-I9305 mit Tapatalk

 

[black-avenger]

Es handelt sich um die Haupt info@ meiner eigenen Domain auf meinem eigenen Server. Ginge es um eine private Adresse bei gmail oder so die ich mal eben einfach so wechseln könnte, hätte ich das schon getan. Bei sowas wär es mir offen gestanden auch egal wenn die Adresse auf Blocklisten landet

Grüße
Thomas

 

[Tzk]

Da wird wohl irgendwer an die Email gekommen sein und hat sie in ein Botnetz gefüttert. Anders kann man die Menge an Mails ja kaum erklären. Ist diese info@ Adresse auf z.B. einer Homepage frei zugänglich? Hast du evtl. über Ebay, Banggood oder Aliexpress mit dieser Adresse in chinesischen/taiwanesischen Shops bestellt?

 

[black-avenger]

Klar ist die info@ auf meiner Firmenseite frei zugänglich. Die Adresse wird grds. für nichts verwendet außer dass Kunden mich / uns erreichen können. Wenn irgendwelche Korrespondenz von uns aus raus geht oder Anmeldungen / Bestellungen o.ä. gemacht werden, läuft das auch alles nicht über die info@, sondern über die eigenen Adressen derjenigen, die das machen. Letztlich kann die info@ nur über die Website an sich gecrawlt worden sein, oder irgend ein unlustiger Konkurrent hat die Adresse irgendwem irgendwo gefüttert. Keine Ahnung ob sowas geht...

Es ist halt absolut krass, weil jede Mail mit 'nem völlig eigenen HELO daher kommt. Hier mal ein paar Auszüge:

ytd.net
govpkrm.cn
uoufioz.com
tijvqff.cn
zmyaygxac.com
rfaeu.org
fzr.net
joz.cn
csoumfbs.net
hslxh.cn
vugto.com
wayii.com
rxuwk.cn
fhi.com

Könnte das jetzt ewig so fortführen... Wirklich jede einzelne mit anderem HELO, aber als Absenderadresse eine auch jeweils andere Zahlenkombi @qq.com

Ich betreibe wirklich seit vielen Jahren Websites, alle selbstverständlich mit veröffentlichten info@ Adressen im Impressum und an anderen Stellen. Über den üblichen Viagra und nigerianischen Prinzen Spam mit maximal 10-20 Mails pro Woche ist es bislang nie raus gegangen. Das ist jetzt einfach was völlig neues. Es ist dadurch, dass als Absenderadresse jeweils nur wenige Domains verwendet werden ziemlich einfach in den Griff zu kriegen. Um überlaufende Postfächer mach ich mir daher keine Sorgen.

Mir gehts viel weniger darum das abzustellen - kann ich eh nicht - als darum ob das möglicherweise für die Reputation meines Servers Auswirkungen hat, wenn da je automatisierte Mails von meinem Mailserver mit der Meldung, dass abgelehnt wurde rausgehen.

Grüße
Thomas

 

[fdsonne]

Prüf doch mal die SPF Einträge?
@qq.com liefert "v=spf1 include:spf.mail.qq.com -all"
-> wenn du dem Spaß mal folgst, kommst du auf diverse IP Ranges, die da für @qq.com erlaubt sind... Kommt der Spaß von den Source IPs, dann wäre das zumindest regulärer "Verkehr"

Um das ganze zu unterbinden respektive abzuschwächen fallen mir mehrere Optionen ein. Graylisting könnte Helfen das Problem abzumildern. Dein Server, der die Mails initial annimmt, sollte mMn auch nach den üblichen Regeln alles silent droppen, wo Reverse Eintrag, Servername und ggf. auch Maildomain nicht zusammen passen. Also die Auflösung der Namen vorwärts wie rückwärts. SPF wie gesagt auch -> bringt allerdings nix, wenn die IPs in den SPF Einträgen auftauchen.
Zusätzlich könntest du schauen ob du generell IP Ranges aus Fernost gesondert behandelst. So nach dem Motto alles rejecten was mehr als Menge x pro Zeitinterval ist und von Fernost kommt. Ggf. direkt als Spam klassifizieren und gesondert zustellen -> Spam Postfach oder Junk Ordner oder sowas.

Was das Thema Rückantwort angeht, da sollte dir dein Mailserver eigentlich Auskunft drüber geben ob er da Bounce Messages raus schickt oder nicht. Je nach Art der Verwerfung wäre nämlich ein silent drop ggf. die sinnigere Methode.

Ich seh das ganze mittlerweile so, im Businessumfeld ticken die Uhren meinst ein Stück weit anders - privat hingegen sehe ich keinerlei Probleme Mails auch direkt mal wegzudroppen. Warum? Von denen, die mir ne Mail schreiben erwarte ich, dass die ihre Serverkonfig im Griff haben. Viele davon nutzen eh Webmailer, wo das meist irgendwie passt. Die paar wenigen mit eigener Domain nutzen entweder Hosting-Angebote (passt häufig auch) und nur die aller wenigsten tun sich ne eigene Mailserver-Konfig an. Stimmt da irgendwas nicht - Pech... Mailing ist eh überbewertet von der Warte her. Wer was wichtiges will, kann immernoch anrufen

 

[black-avenger]

Ich hab mal eben 'n Bild aus der Darstellung meines Mail-Log gemacht. Die Rate mit der die Mails reinkommen ist etwas abgeflacht. Wobei das nix heißen will, das hohe Aufkommen hab ich in Wellen ja seit Dienstag etwa. Das zensierte ist meine Mailadresse logischerweise. Was mir übrigens nicht so 100% klar ist - beim Großteil der Spams krieg ich zwar den HELO, aber keine IP Adresse dazu. Die Mails ohne IP werden alle verworfen gemäß Log. Bei denen, die eine IP dazu geben gibt der Server ein temporarily rejected zurück.


Wenn eine IP mitgeliefert wird stimmt die mit nichten mit der IP der im HELO angegebenen Domain überein. Die IP, sodenn sie angegeben wird, scheint auch derzeit immer dieselbe zu sein. Verfolgung zeigt an, dass die IP auf den Philippinen angesiedelt sein müsste. Einer der letzten HELO hat mich anbei etwas schmunzeln lassen...

1373469160@qq.com   Server IP-Adresse 124.6.159.231   Server HELO gdstats.gov.cn
2018-10-06 14:23:52  Fehlermeldung rejected RCPT <info@**************.de>: Spam: in rbl-rcpt-lvl2.**********.de, rejected

Is klar, von der chinesischen Regierung

 

[dirk11]

Da wird wohl irgendwer an die Email gekommen sein und hat sie in ein Botnetz gefüttert. Anders kann man die Menge an Mails ja kaum erklären. Ist diese info@ Adresse auf z.B. einer Homepage frei zugänglich? Hast du evtl. über Ebay, Banggood oder Aliexpress mit dieser Adresse in chinesischen/taiwanesischen Shops bestellt?

Du hast schon gelesen, was er schrieb? info@DOMAIN.DE muss nirgendwo "gelistet" sein, ich nehme einfach eine Domain und schreibe an ihre Info@-Adresse.
Davon ab: ich bestelle seit Jahren mit domainspezifischen Adresse bei den von Dir genannten "Verdächtigen" eBay, Banggood, Gearbest, Aliexpress. Auf keiner einzigen dieser domainspezifischen Mailadressen kam jemals in nennenswerter Menge Spam an.

 

[black-avenger]

Und wieder was mit mitgelieferter IP. Die kommt diesmal aus Changzhou, China. IP stimmt natürlich nicht mit der Server IP vom HELO zusammen. Absenderadresse natürlich wieder @qq.com.

 

[chriscrosser]

..ich würde an deiner stelle erstmal abwarten!
manchmal sind das "SPAM WELLEN" die dann nach einigen tagen wieder aufhören (selber erlebt! - auf eine stinknormale emailadresse!)
wenn das nicht aufhören sollte, musst du in deinem system nachschauen ob du dir was "eingefangen" hast...

 

[black-avenger]

wenn das nicht aufhören sollte, musst du in deinem system nachschauen ob du dir was "eingefangen" hast...

Kompromittierung des Servers oder der Software darauf kann ich nahezu ausschließen. Vor allem wär bei einem Befall doch eher wahrscheinlich, dass mein Server wie wild selbst Spam verschleudert, nicht jedoch ausschließlich empfängt, oder?

Grüße
Thomas

 

[fdsonne]

Was meinst du denn mit "IP, sofern sie übermittelt wurde"??
Dein Mailserver sieht IMMER eine IP - nämlich die, von dem er die Mail empfängt - der Spaß der da im HELO/EHLO steht ist Freitext.

Keine Ahnung welche Software du da nutzt und was das Teil alles kann, aber normal sollte das Ding doch in der Lage sein zu checken, ob die IP von der die Mail reinkam im RDNS A) auflösbar ist und B) ob dieser Name gleichsam im HELO/EHLO übermittelt wird/wurde. Weiterhin wäre zu prüfen, ob die Absende IPs den SPF Check der Domain "qq.com" überstehen, weil sie als erlaubte Sender hinterlegt wurden. -> ganz oben im ersten SPF Eintrag bei qq.com steht "-all" -> was soviel bedeutet wie alles außer die angegebenen darf normal nicht senden als "@qq.com". Hab jetzt nicht alle Einträge durchgesehen ob das nicht irgendwo doch auf any IP zeigt, aber wenn nicht, solltest du deinem System beibringen, nach SPF Empfehlung zu "handeln" -> also "-all" = weg droppen...



Mal ne ganz andere Frage, wer betreibt denn den Mailserver bei dir/euch da?
Weil vllt ist es sinniger, wenn du dich an den Jenigen wendest? Wir können dir hier nur bedingt helfen - vor allem wenn du uns all die ganzen Rahmenbedingungen wie genutzte Software, Configs und Co. vorenthälst. Mailing, so einfach und trivial es sein mag, ist in einer sauberen Konfiguration am Ende doch schon bisschen Komplex und dann eben nicht mehr "nur" mal eben irgendwo nen SMTP Server hinzimmern und auf den Grünen "Los" Button zu hämmern...

 

[black-avenger]

Der Mailserver ist Teil eines bei Hetzner angemieteten Managed vServer. Als Software für den Mailserver läuft Exim. Der Mailserver ist von Hetzner aufgesetzt, weitgehend konfiguriert und wird entsprechend auf dem aktuellen Stand gehalten. Meine Möglichkeiten zur Einstellung und Einsichtnahme sind relativ begrenzt, was für mich aber so grds. in Ordnung ist. Sonst hätte ich mir keinen gemanagten Server gemietet

Ich werd am Montag mal anfragen, warum ich im KonsoleH Maillog nicht zu jeder Nachricht die IP angezeigt bekomme, sieht man oben im Screenshot ja ganz gut, dass die nicht bei jeder dabei steht. Ich finds auch ungewöhnlich, da bei jeder regulären Mail die uns erreicht alles vollständig im Maillog einsehbar ist.

 

[black-avenger]

Also, Telefonat mit Hetzner ergab folgendes: Geht eine Nachricht von von einer Domain auf der Blacklist ein, wird sie silent verworfen. Keine Benachrichtigung an den Absender. qq.com ist auch bei Hetzner bekannt für solche Wellen, bin wohl nicht der erste Kunde der davon betroffen ist. Auf Wunsch könnten sie mir die komplette asiatische IP-Range blocken, falls zum Mailspam mal noch übertrieben Traffic über Seitenzugriffe kommen sollte. Da ich in Asien keine Kunden hocken hab, wär das ok, wenngleich halt Holzhammer. Derzeit hab ich mit 4 geblockten Domains das Problem gut im Griff, abgesehen davon, dass mein Maillog halt überflutet ist und ich damit "reguläre" Mails nimmer wirklich sehen kann, wenn ich mal wissen muss ob da was zurückgewiesen oder delayed wurde.

Grüße
Thomas