Server bzw. Webspace für Spam missbraucht

    Guten Morgen alle miteinander,
    gestern wurde seitens Netcup mein vRoot gesperrt und dies nun das zweite mal binnen kürzester Zeit.


    In beiden Fällen ist auch schon vor der Sperrung mein Monitoring angeschlagen und meldete ungewöhnlich Emailausgänge.
    Im ersten Fall war ärgerlicherweise der betroffene Webspace auch schon ein paar Stunden von mir gesperrt worden,
    bevor netcup die Maschine sperrte, das Problem war also schon gelöst.


    Gestern morgen war ich leider nicht so flott, hatte zwar ein Email im Postfach diese aber noch nicht gesehen,


    Daher meine Frage an euch:
    Welche Tools setzt ihr ein um AUTOMATISIERT solche Fälle zu erkennen und automatsiert beispielsweise sperrlisten
    in postfix / policydiensten einzuspielen? Damit zukünftig präventiv gehandelt wird und ich nicht selber den Kundenwebspace sperren muss
    bzw. ich netcup zum handeln "zwinge"?

    43 Möglichkeiten:

    • Im Idealfall filtert dir das dein eigener Spam-Filter raus bzw. dein Setup vom Server verhindert so was. Weißt du wieso dein Monitoring so spät angeschlagen hat bzw. konntest du es verbessern?
    • Üblicherweise bekommt man so was über seine eigene Serverüberwachung mit. Das sind ja nur DNS-Anfragen die da laufen.
    • Ansonsten gibt es Anbieter, die benachrichtigen dich wenn du auf einer Blackliste landest. Siehe z.B. Email Server Monitoring Service - MxToolbox .
    • Dein Anbieter sperrt dich

    "Security is like an onion - the more you dig in the more you want to cry"

    Wenn ich dich richtig verstehe lag es an einem kunden von dir...
    sofern die logs darauf schließen lassen, dass der kunde spam versendet, würde ich bei dem kundenaccount die passwörter ändern und den account so sperren, dass der kunde diese passwörter nicht zurücksetzen kann.
    dann meldet er sich bei dir und du verpflichtest den kunden zu einem virenscan seiner rechner.
    erst dann würde ich den account wieder so freigeben, dass der kunde die passwörter selbstständig ändern kann.


    monitoren würde ich an deiner stelle vorallem die mailqueue.
    wenn da zu viele mails drinstecken, dann einen alarm auslößen und einmal nachschauen, ob der alarm gerechtfertigt ist.


    blacklistmonitoring ist da ein bisschen spät dran - wie ich finde - aber ergänzend nicht verkehrt.

    Die Mailqueue überwache ich bereits, bekomme eine Mail sobald ein festgelegter Stundendurchsatz überschritten wird.
    Allerdings reicht dies nicht aus, wenn ich erst stundenspäter die Email lese sind bereits ein paar tausend mails verschickt worden und ich erst dann handle.


    Ich würde hier gerne postfix so managen dass er automatisiert den versand von @xy.de blockiert sobald dieser zu viele mails verschickt.
    Und möchte von euch deshalb Tipps wie ihr solche Dinge verhindert. Ich bin zwar bei mxtoolbox registriert, aber wenn ich auf einer Blackliste lande ist es meiner Meinung nach eigentlich schon zu spät.


    Gibt es eventuell auch gute Postfix-Filter um ausgehende Emails auf Spaminhalte zu prüfen?


    Der verursachende Kunde selbst wird natürlich gesperrt, per Mail informiert und weiteres vorgehen abgeklärt.