Irgendwer schickt Mails über meine Domain, sollte ich mir Sorgen machen?

  • die SPF-Records können Sie im CCP unter Domains -> DNS verwalten. Siehe auch: Domains CCP – netcup Wiki

    Ist das nun Freiheit oder Eigenverantwortung hier? Bei anderen Hostern wo ich war, waren die SPF-Records schon komplett gesetzt. Also sehe ich Netcup als einen Hoster an der seinen Kunden sehr viele Freiheiten zukommen lässt. Aber wo jemand der sich nicht auskennt schnell auf die Fresse fliegen kann.

  • Bei mir verhindert SPF die Rückläufer nicht ("spf=fail (google.com: domain of RobersonRodger688@meinedomain.de does not designate xxx.xxx.xxx.xxx as permitted sender)") ... vielleicht sollte ich die Catchall mal rausnehmen ;-)


    Sorgen hatte ich keine, ein Blick in den Header zeigt ja recht schnell, dass die Mails nicht vom eigenen Server kommen.


    So geht es mir auch, anfangs hatte ich mir auch keine Sorgen gemacht. Aber inzwischen, nachdem fast alle Domain betroffen sind und die Welle nicht aufhört, mache ich mir schon Sorgen.
    Meine Seiten sind leer, Passwörter geändert, Statistiken zeigen keine Unregelmäßigkeiten.


    Auch mein Gefühl ist, dass es Netcup betrifft, denn gleich drei Domain auf einmal auf solch einer Liste... hmm... und einer davon ist schon jahrelang frei von solchen Attacken.


    Ich habe schon einen Header zitiert in dem Thema "Spamschleider" bei "Imap/Pop3" Forum.

  • Mittlerweile werde ich von Rückläufern erschlagen. Es betrifft nur eine Domain die ich seit kurzen hier hoste. Auf der Domain lag nie eine Seite. Das soll ja alles ganz harmlos sein, aber ich mach mir schon Gedanken darüber.

  • Hallo zusammen,


    seit knapp über 1 Woche bin ich auch in der Bounce Flut drinnen.


    Leider heißt es von NetCup, dass man selber verantwortlich ist, aber es ist wie hier schon geschrieben wurde nur bei NetCup Domains der Fall.
    Bei einem anderen Anbieter, wo meine Seite als Spiegelung läuft, habe ich keine Probleme.


    Ich hoffe, dass NetCup etwas schnellstmöglich findet, weil auch mein Datenvolumen mit den x Mails ganz schön angegriffen wird :cursing:


    PS: Auch bei mir:


    "Ursprüngliche Nachrichtenköpfe:
    Received: from BU-SRV09.hess.intern (10.1.0.109) by BU-SRV09.hess.intern
    (10.1.0.109) with Microsoft SMTP Server (TLS) id 15.0.1156.6; Thu, 12 May
    2016 13:44:58 +0200
    Received: from [1.47.138.55] (1.47.138.55) by BU-SRV09.hess.intern
    (10.1.0.109) with Microsoft SMTP Server id 15.0.1156.6 via Frontend
    Transport; Thu, 12 May 2016 13:44:56 +0200
    Date: Thu, 12 May 2016 18:44:54 +0700
    To: "recrudescencec451@schlosser-pfeiffer.de"
    <recrudescencec451@schlosser-pfeiffer.de>
    From: Tanya Goff <GoffTanya7971@koelner-pc-hilfe.de>
    Subject: FW: customers
    Message-ID: <d133a4ac6516fc5a686082d73e625456@koelner-pc-hilfe.de>
    X-Mailer: PHPMailer [version 1.73]
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="b1_d133a4ac6516fc5a686082d73e625456"
    X-WatchGuard-Spam-ID: str=0001.0A0C0203.57346CBA.00E2,ss=1,re=0.000,recu=0.000,reip=0.000,vtr=str,vl=0,cl=1,cld=1,fgs=0
    X-WatchGuard-Spam-Score: 0, clean; 0, virus threat unknown
    X-WatchGuard-Mail-Client-IP: 1.47.138.55
    X-WatchGuard-Mail-From: GoffTanya7971@koelner-pc-hilfe.de
    Return-Path: GoffTanya7971@koelner-pc-hilfe.de
    Received-SPF: Neutral (BU-SRV09.hess.intern: 1.47.138.55 is neither permitted

    nor denied by domain of GoffTanya7971@koelner-pc-hilfe.de)"

  • Was soll netcup da machen? Leider gibt es vor Backscatter keinen wirklich wirksamen Schutz. Viele Mail-Server prüfen ja nicht einmal SPF.


    Hier mal ein Auszug aus meinen Logs um zu zeigen, dass es eben nicht nur Domains von netcup sind, sondern sehr viele verschiedene. Das Spam-Aufkommen ist genau dann deutlich höher als sonst, wenn ihr auch viele Bounce-Mails erhält. ;) Die E-Mail-Adressen habe ich entfernt, obwohl diese alle nach dem gleichen Schema aufgebaut sind und wahrscheinlich eh nicht existieren (PetersErich43664, LangeHugbert73, EngelHildebrand11,...):


    Alle E-Mails, die durchgekommen sind, enthielten eine "Rechnung" mit einem ZIP voller Javascript-Dateien, also irgendein Verschlüsselungs-Trojaner.

  • Meiner Meinung Nach ist es auch besser, statt einem Catch-All diverse Aliase einzurichten (z.b. abuse@ admin@ postmaster@ webmaster@ etc.).


    Von all dem Backscatter, dass auf meinem Server aufschlägt, ist noch kein einziges Mail auf eine tatsächlich existierende Adresse gelangt und immer sofort mit "User unknown in virtual mailbox" abgelehnt worden.

    CentOS 7 / nginx / php-fpm / postfix / rspamd / clamav / dovecot / nextcloud running on RS 1000 SSDx4 G8 / VPS 500 G8 / VPS 2000 G8 Plus

  • Ich habe das gleiche Problem und es wird immer schlimmer, mittlerweile schon bei allen meiner drei Domains bei NetCup. Auf mein CatchAll Postfach will ich nicht verzichten, habe schon so viele Adressen verwendet und weiß gar nicht mehr alle. Daher jetzt meine Frage:


    Die Absender haben immer das gleiche Schema: NachnameVorname9999@meineDomain.de (also immer mit mindestens zwei Ziffern).
    Da ich nie mehr als eine Ziffer in meinen Adressen verwende, kann man irgendwie eine Filterregel definieren die heißt: Wenn mindestens zwei Ziffern enthalten sind -> blockieren?


    Und wenn ja wo definiert man so eine Regel?


    Danke schon mal für eure Antworten!

  • Man kann es aber auch richtig machen: Sender Rewriting Scheme – Wikipedia (SRS) – tut aber leider fast keiner. Das führt dann zum Bullshit darüber, dass SPF nichts taugt. Und das kann ich so nicht unterschreiben. Ich setze das bei Postfix unter Debian problemlos ein, ohne Fremdquellen. Auch doppelte Weiterleitungen sind möglich.


    DKIM mag in vielen Punkten besser und sinnvoller sein, ein Allheilmittel ist es spätestens beim Einsatz von DMARC aber auch nicht: DMARC-Policy: Yahoo killt Mailinglisten-Mitgliedschaften | heise online – wobei das auch schon bei SPF zutrifft, das muss fairerweise gesagt werden. Trotzdem steht man dann vor exakt der gleichen Problematik und wird eventuell DKIM die Schuld geben. Oder dem bösen Mailserver, der DMARC umsetzt. Irgendwer muss ja schuld sein…



    MfG Christian (5.000! :D)