Catch-all Adresse: Zahlreiche nicht gesendete Failure Notices. Spam?

  • Ich habe den Verdacht, von einer meiner Domains werden Spam E-Mails versandt.

    Seit ich eine catch-all Adresse eingerichtet habe, kommen täglich Mails wie "Failure notice" von irgendwelchen Adressen, an die anscheinend von einer nicht existenten Adresse (z.B. Zinaidajkj@meinedomain.de) gesendet wurden. Nun ist die Frage: Ist dies ein klarer Indikator dafür, dass entweder meine Wordpress Seite oder OwnCloud, die beide auf dem Webspace laufen, gehackt wurde oder gäbe es andere Angriffsvektoren? Wie sollte ich nun vorgehen?

  • Danke sehr!

    Heißt das, wenn ich in die DNS Einstellungen in den txt Eintrag (derzeit v=spf1 mx a) ein ~all hinzufüge ist mein Problem gelöst?


    Der Vollständigkeit hier noch der zurückgesendete Header, der in manchen dieser Mails dabei ist:


  • Dein Header-Auszug besagt, dass dein Server die Mails nicht verschickt hat. Die Vermutung von KB19 war also korrekt.


    Die Tilde im SPF-Record ist ein SoftFail. Der sagt dem empfangenden Mailserver "hier stimmt etwas nicht, aber ist nicht so schlimm". Ob das deine Intention ist, musst du selbst beantworten ;) Generell gilt aber: Ein SPF Record kann Backscatter nicht komplett vermeiden. Wenn die Spam-Mails dadurch aber beim Empfänger im Filter hängen bleiben, sollte das Problem eventuell etwas gemildert werden.


    Infos zu SPF und dem Inhalt des Records findest du hier: https://de.wikipedia.org/wiki/…#Aufbau_eines_SPF-Records

    Es gibt auch einen SPF Record Generator: http://www.spf-record.de/generator

  • Hay,


    (derzeit v=spf1 mx a) ein ~all hinzufüge ist mein Problem gelöst?


    -all (Minus) hilft weiter und das Problem ist abgemildert. Gelöst wird es nie werden, so lange das E-Mail Protokoll so bleibt, wie es jetzt ist, selbst mit DMARC und DKIM. Ich habe schon offene Relays mit super gepflegten DNS-Einträgen gesehen:Dalso richtig noble Spammaschinen, bis die auf einer Blacklist gelandet sind.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Danke sehr!

    Die Tilde war Absicht, da ich irgendwo anders gelesen habe, dass die diese bevorzugen und empfehlen würden, es nicht mit - reinzuschreiben. Habe ich jetzt aber nach den Antworten hier trotzdem gemacht ;)

  • Wenn du einen solchen Record verwendest, kannst du allerdings beim Weiterleiten von Mails mit deiner Domain als Absender Probleme bekommen. Der weiterleitende Mailserver (extern) ist dann für deine Domain nicht sendeberechtigt. Betrifft aber logischerweise nicht alle Anwendungsfälle, musst du für dich selbst ausprobieren.


    Wir nutzen ein kostenloses Tool, welches uns wöchentlich einen Report zusendet, wie viele Mails von welchem Mailserver mit unserer Domain als Absender versendet wurden. Ist echt hilfreich um das Spam-Aufkommen im Blick zu behalten. Findest du hier: https://dmarc.postmarkapp.com/

  • Netcup selbst verwendet für automatisch angelegte SPF Records meines Wissens nach die Tilde, also ~all


    Ich empfehle folgende Präsentation (unter anderem) von Perr Heinlien zum Thema SPF Records und DKIM. https://www.heinlein-support.d…ylisting_FrOSCon_2012.pdf

    Hier wird der Punkt vertreten, dass -all zumindest für Domains mit großen Mailaufkommen eher nicht verwendet werden sollte. Außerdem wird erklärt warum in den Augen des Erstellers SPF als Spamschutzmechanismus nichts taugt.


    EDIT: Hier gibt es auch ein Video des in meinen Augen sehr sehenswerten Vortrags von Peer Heinlein: https://www.youtube.com/watch?v=TRDFAma82lY