Irgendwer schickt Mails über meine Domain, sollte ich mir Sorgen machen?

  • Code
    Delivery to the following recipient failed permanently: ales@dcpower-systems.com ----- Original message ----- X-Received: by 10.66.227.229 with SMTP id sd5mr15192377pac.115.1461791470965; Wed, 27 Apr 2016 14:11:10 -0700 (PDT) Return-Path: <GonzalesJuan04@domain.de> Received: from [202.91.91.197] ([202.91.91.197]) by mx.google.com with ESMTP id g28si5902936pfg.142.2016.04.27.14.11.10 for <ales@dcpower-systems.com>; Wed, 27 Apr 2016 14:11:10 -0700 (PDT) Received-SPF: neutral (google.com: 202.91.91.197 is neither permitted nor denied by domain of GonzalesJuan04@domain.de) client-ip=202.91.91.197; Authentication-Results: mx.google.com; spf=neutral (google.com: 202.91.91.197 is neither permitted nor denied by domain of GonzalesJuan04@domain.de) smtp.mailfrom=GonzalesJuan04@domain.de Received: from www.domain.de ([127.0.0.1]) by AMAZONA-4587E73 with Microsoft SMTPSVC(7.5.7601.17514); Thu, 28 Apr 2016 02:41:03 +0530 Date: Thu, 28 Apr 2016 02:41:03 +0530 Return-Path: GonzalesJuan04@domain.de To: "ales@dcpower-systems.com" <ales@dcpower-systems.com> From: Juan Gonzales <GonzalesJuan04@domain.de> Subject: Price list Message-ID: <f93b4cc5b7327c021ddab51e4ed1636a@www.domain.de> X-Priority: 3 X-Mailer: PHPMailer [version 1.73] MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="b1_f93b4cc5b7327c021ddab51e4ed1636a" X-OriginalArrivalTime: 28 Apr 2016 02:41:03.0217 (UTC) FILETIME=[40C0DFC0:01D1A068] The March and April invoices are outstanding, please make a paymentasap. Thank you. Juan Gonzales Financial Director - Multinational Group


    Kam grade so per Thunderbirt rein. Die Domain ist hier gehostet als Webhosting.

  • Wenn ich das jetzt gerade richtig sehe, dann stecken in den Kopfzeilen mehrere Gründe für Sorgen bei verschiedenen Leuten.


    - Scheint aus einem php Script gefallen zu sein. Das deutet darauf hin, dass irgendwo ein Webformular missbraucht wird.
    - Deine Domain scheint kein SPF Record zu haben. Das ist immer eine Gratwanderung: Entweder man erlaubt grundsätzlich etwas mehr, dann kann sowas vorkommen, oder man macht alles dicht, dann funktionieren plötzlich andere Dinge nicht mehr.
    - Die Fehlermeldung ist als Backscatter bei dir angekommen. Das sagt eigentlich aus, dass der Mailserver von Empfänger nicht gut eingerichtet ist.


    Ausser SPF betrifft das aber vermutlich alles andere Leute als dich.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • Die Domain liegt hier auf einen Webhostingpaket da habe ich wenig Einfluss auf die Konfiguration.


    Auf der Domain liegt keine Seite.


    Und lustig geht es weiter.


    Code
    Delivery to the following recipient failed permanently: dyke@lhai.com Technical details of permanent failure: Google tried to deliver your message, but it was rejected by the server for the recipient domain lhai-com.mail.protection.outlook.com [216.32.180.10]. The error that the other server returned was: 550 5.4.1 [dyke@lhai.com]: Recipient address rejected: Access denied ----- Original message ----- X-Gm-Message-State: AOPr4FWeODanEbjzOvSV4ZHwy2nCPGou0AeyqNw90fcb7A9+/Aer8KEFLwv4U35SzR7JCxWpxIpMGt9cm1+BCFhTYOGkrw7z/gV4bXh2mNLAUi4shCIoHxpOoRKKApODAC1EvoI6JET7D4Ujbvw0dJ5BG/tk X-Received: by 10.98.67.150 with SMTP id l22mr15772457pfi.85.1461797369890; Wed, 27 Apr 2016 15:49:29 -0700 (PDT) X-Received: by 10.98.67.150 with SMTP id l22mr15772445pfi.85.1461797369773; Wed, 27 Apr 2016 15:49:29 -0700 (PDT) Return-Path: <BartonGale09@domain.de> Received: from [105.104.181.227] ([105.104.181.227]) by mx.google.com with ESMTP id f63si6302455pfj.137.2016.04.27.15.49.28 for <dyke@lhai.com>; Wed, 27 Apr 2016 15:49:29 -0700 (PDT) Received-SPF: neutral (google.com: 105.104.181.227 is neither permitted nor denied by domain of BartonGale09@domain.de) client-ip=105.104.181.227; Authentication-Results: mx.google.com; spf=neutral (google.com: 105.104.181.227 is neither permitted nor denied by domain of BartonGale09@domain.de) smtp.mailfrom=BartonGale09@domain.de Received: from www.domain.de ([127.0.0.1]) by AMAZONA-84668DB with Microsoft SMTPSVC(7.5.7601.17514); Wed, 27 Apr 2016 23:49:26 +0100 Date: Wed, 27 Apr 2016 23:49:26 +0100 Return-Path: BartonGale09@domain.de To: "dyke@lhai.com" <dyke@lhai.com> From: Gale Barton <BartonGale09@domain.de> Subject: Price list Message-ID: <0dc4c6ed46e3bd9dfd052818adbe429e@www.domain.de> X-Priority: 3 X-Mailer: PHPMailer [version 1.73] MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="b1_0dc4c6ed46e3bd9dfd052818adbe429e" X-OriginalArrivalTime: 27 Apr 2016 23:49:26.8670 (UTC) FILETIME=[40C0DFC0:01D1A068] X-Gm-Spam: 1 X-Gm-Phishy: 1 The March and April invoices are outstanding, please make a paymentasap. Thank you. Gale Barton Sales Director


    Mittlerweile sind noch 2 von der Art eingetrudelt.

  • Ich hatte heute morgen auch einige Rückläufer dieser Art. Ebenfalls über eine Domain, die zur Zeit keinen Inhalt hat und nur auf eine andere Domain weiter leitet.
    Inhalt identisch zu dem oben geposteten. Die Mailrückläufer enthalten zwei Anhänge, zum einen die Mail, zum anderen ein RAR-Archiv mit inkludiertem Locky!

  • Hatte heute morgen ebenfalls einige solcher Mails. Da versendet einer seinen Spam über meine Mailadresse, aber von einem anderen Server, weshalb z.B. Google die Mails dann an mich zurückschickt. Die Ursprungsserver dieser Mails stehen in Indien oder sonstwo. Mi anderen Worten: nichts neues :/

  • Genau, ausser SPF kann man da kaum was gegen machen. Grundsätzlich kann jeder einfach Mails mit beliebigen Absendern verschicken. SPF und DKIM sind teilweise Maßnahmen dagegen, können aber auch nicht alles verhindern.


    Die Empfänger sollten aber auch nicht die Mails einfach zurückschicken, da gefälsche Absender nunmal die Regel sind. Das ist dann Backscatter und kann auch ganz schnell dazu führen, dass die Server auf Blacklists landen.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

  • die SPF-Records können Sie im CCP unter Domains -> DNS verwalten. Siehe auch: Domains CCP – netcup Wiki


    Für Ihre PHP-Scripte sind Sie zuständig. Sie sollten unsichere Scripte zeitnah entfernen.


    Scripte habe ich ja keine zu laufen. Im laufe des Tages trudelten noch einige Rückläufer ein. Werde mich nun mal mit SPF beschäftigen.


    "v=spf1 mx a" ist doch gesetzt, mal auf "v=spf1 a mx ~all" umgeändert. Hoffe das stimmt so. Wenn ja werde ich das so auf allen Domains einstellen.

  • Ich würde als SPF "v=spf1 mx a -all" empfehlen.


    Ich erkläre mal was dein derzeit gewählter Eintrag macht:
    a = autorisiere die IP im A-Record
    mx = autorisiere alle Mailserver in den MX Einträgen
    ~all = "Soft Fail": Akzeptiere ALLE Mails, markiere sie aber als Spam/ oder wie auch immer der Server damit umgeht.


    das a und mx sind ziemlich redundant, man kann das a also besser weg lassen, zumal in den MX Einträgen eh alle expliziten Mailserver drin stehen sollten.
    -all sorgt dafür, dass jede Mail abgelehnt werden soll, die nicht vom SPF autorisiert ist, in diesem fall sind nur die im MX Record enthalten Mail-Server autorisiert.


    Der SPF muss prinzipiell überall gesetzt werden also @ für die Stammdomain und dann noch als Wildcard für jede Subdomain.
    Ist eine Subdomain explizit Definiert A/CNAME z.B. so müsste dort der SPF auch nochmal explizit gesetzt werden.


    Korrigiert mich wenn ich falsch liege :)



    Edit: Wer von euch G-Mail zum versenden von E-Mails nutzt muss dies auch explizit whitelisten im SPF
    das könnte so aussehen "v=spf1 mx a include:_spf.google.com -all" (ungetestet, keine Gewähr)


  • das a und mx sind ziemlich redundant, man kann das a also besser weg lassen, zumal in den MX Einträgen eh alle expliziten Mailserver drin stehen sollten.


    Wenn man vom Webserver Mails versenden will (z.B. Kontakt-Formular) und dieser nicht gleichzeitig Mail-Server ist, ist das nicht redundant. Da beim Webhosting von netcup die Dienste auf unterschiedlichen Servern laufen, würde ich keinesfalls auf "a" verzichten.

  • Zwei Domains die von unterschiedlichen Personen benutzt werden, also nicht daß ein Rechner, Adressbuch aus dem Mailprogramm o.ä. geknackt wurde oder beide auf derselben Seite angemeldet wurden/sind. Auf beiden Domains kommt seit gestern eine stetige Menge dieser Fehlermeldungen rein. Irgendwie habe ich den Verdacht daß da bei netcup was weg gekommen ist...auf anderen Domains die auch von uns beiden genutzt werden ist nichts dergleichen zu beobachten.

  • Ich habe einmal in ein Catch-All-Postfach einer meiner netcup-Domains geschaut und 5 zurückgegangene Spammails gefunden, die alle heute zwischen 11 und 17 Uhr ankamen und augenscheinlich Viren angehängt haben.
    Die angegebenen Absenderadressen haben alle das Format {willkürlicher Vorname}{willkürlicher Nachname}{5-stellige Zahl}@{meine Domain} und der Inhalt der E-Mail lautet:

    Eine Absender-IP-Adresse stammte aus Vietnam. Ich würde so etwas, auch, wenn ich mit so etwas nie konfrontiert wurde, als normal ansehen und als etwas, wo gegen man nicht viel machen kann.


    Allerdings scheinen mir hier jetzt konkret netcup-Kunden betroffen zu sein, Catch-All-Postfächer anderer Anbieter, auf die ich Zugriff habe, haben solche zurückgewanderten Spam-Emails jetzt und auch vorher nie bekommen.
    Gibt es Möglichkeiten für Spammer, alle bei netcup gehosteten Domains auf einfachem Weg herauszufinden oder eignen sich netcup-Domains mit Standard-Einstellungen irgendwie in besonderer Weise für Spamversand?

  • SPF habe ich nun auf allen Domain auf "v=spf1 a mx ~all" geändert. Trotzdem kommen hier weitere zurückgegangene Spammails an. Aber scheinbar kann man hier nichts weiter machen. Ich möchte aber auch nicht das meine Domain bzw. IP auf jeder Blocklist auftaucht.

  • SPF habe ich nun auf allen Domain auf "v=spf1 a mx ~all" geändert. Trotzdem kommen hier weitere zurückgegangene Spammails an. Aber scheinbar kann man hier nichts weiter machen.

    Mit "~all" hast du noch recht sanftes SPF aktiviert. Das bedeutet, dass die gefälschten Mails eher als Spam markiert werden. Du könntest noch "-all" statt dessen setzen.
    Zusätzlich ist SPF immer an DNS gebunden und benötigt ein bisschen Zeit, bis das alles global aktiv ist.

    Zitat

    Ich möchte aber auch nicht das meine Domain bzw. IP auf jeder Blocklist auftaucht.

    Deine Domain sollte davon nicht betroffen sein. Du kannst da ja nix für. Du bekommst nur die fehlerhaften Rückläufer ab.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7


  • Allerdings scheinen mir hier jetzt konkret netcup-Kunden betroffen zu sein


    Ich habe in den letzten Tagen auffällig viel Spam erhalten, von zahlreichen Domains aus der ganzen Welt. Vermutlich ist diese Häufung bei netcup-Kunden nur Zufall, da aktuell systematisch und in großem Umfang solche Mails versendet werden. Es werden wahrscheinlich zufällig irgendwelche existierenden Domains ermittelt.

  • Heyho,


    habt ihr hier schon Abhilfe mit "v=spf1 a mx -all" erreicht?


    Ich hab seit gestern genau das gleiche Verhalten bei mir können.


    Komischerweise sind nur zwei von 14 meiner Domains betroffen.


    Mir ging gestern der Arsch ein klein bisschen auf Grundeis und hab sogar Übergangs-weise meine Domains sogar gesperrt, um aus zu schließen, das jemand über meine Dateien das Zeug verschickt.


    Ich hab gestern wie hier vorgeschlagen von "v=spf1 a mx a" auf "v=spf1 a mx -all" geändert. Trotzdem bekomme ich noch Haufenweise aktuelle Bounce-Mails.




    Wie schaut es bei euch aus?