SPAM mit Netcup

  • Hallo alle zusammen,


    wir erfahren bei Projekten auf Netcup Webhosting Angebote eine massive Spam-Flut.


    Details zum Projekt:

    1. Vor wenigen Tagen wurde das Paket "Webhosting 8000" bestellt

    2. Dabei wurden zwei .de Domains zu dem Paket neu angemeldet

    3. Es wurden keine Daten auf das FTP-Verzeichnis hochgeladen

    4. Es wurde noch keine Datenbank angelegt


    Zu den Spam-Mails:

    • Der Inhalt ist gefüllt mit Vor- und Nachname aus dem Kundenpanel von Netcup.
    • Als Empfänger Emailadresse wird die Emailadresse aus dem Kundenpanel von Netcup genutzt.
    • Spam Mails sind in englischer Sprache verfasst.


    "Sehr geehrte Herr Thomas A., [Name des Ansprechpartner aus dem Kundenpanel von Netcup]

    wir möchten Ihnen bei der Programmierung Ihres neuen Projekts www..XY.de [hier steht unsere Domain] helfen......"


    Frage:

    Der Spamer bezieht sich auf eine neu registrierte Domain mit Daten die nur im Kundenpanel von Netcup stehen:

    Emailadresse, Vor und Nachname des Ansprechpartners.


    Wir können verstehen, dass es bei Projekten mit Daten auf dem FTP-Server logischerweise die Emails ausgelesen und Spam Mails versendet werden.

    In unserem Fall liegt das Projekt noch in der Werkseinstellung, es wurde also nichts verändert, insbesondere liegen die verwendeten Informationen nur Netcup vor.


    Wie kann der Spamer den Vor- und Nachnamen aus dem Kundenpanel von Netcup beziehen? Ebenso die dort hinterlegte Emailadresse?

    Oder passiert das über den Denic Eintrag?

    Merkwürdig ist nur, dass wir wirklich viele Projekte aktiv haben und bei anderen Webhosting Anbieter SO ETWAS nie passiert ist.

    Telefonisch war der technische Support telefonisch nicht erreichbar. Gerade der technische Support sollte telefonisch erreichbar sein, denn insbesondere dann ist schnelles Handeln notwendig.

    Der auf der Webseite angepriesene telefonische Support ist vielmehr ein Abwimmeln auf das Kontaktformular und ein Vertriebskanal. Schade, dass wir das nicht früher erkannt haben.

    • Offizieller Beitrag

    Solche Daten werden nicht aus unserem Kundenpanel bezogen, sondern aus den öffentlichen Whois Servern der jeweiligen Top-Level Domain. Die Daten müssen bei der Registrierung an die zuständige Registrierungsstelle übergeben werden und sind dort, je nach Registrierungsstelle öffentlich abfragbar.

    Mit freundlichen Grüßen
    Kai Stenders
    netcup Team
    Operations

  • Wir haben 16 weitere (sehr umfangreiche Projekte), bei denen sogar die Emailadressen öffentlich hinterlegt sind (Impressum, Kontakt usw.). Dort können wir so etwas nicht beobachten. Diese Projekte liegen allerdings nicht bei Netcup sondern bei Rackspeed.


    Ihr Mitarbeiter teilte uns mit, dass es sich dabei keinesfalls um ein "auslesen aus Denic" handeln kann.

    Das gehe schlichtweg nicht und wird technisch unterbunden. Ein manuelles auslesen komme bei dieser Flut an Spammails nicht in Frage.


    Seit meinem Posting (vor knapp 15 Minuten) sind weitere 30 Emails eingegangen.

    Das ist kein haltbarer Zustand. Sie können verstehen, dass uns diese Aussage als Kunde nicht ausreicht. Ein erster Tipp oder Lösungsidee wäre Balsam für unser Postfach. Es ist seitdem nicht mehr zu gebrauchen. ;)

  • An welche E-Mail Adresse wurden die Daten geschickt, der Whois kann automatisiert auch verwendet werden, neue Domains sind oft Auffällig.

    (und ja es kann von der Denic Seite auch Automatisiert gezogen werden) ist auch nicht besonders schwer, trotz Capture.

    Auch kann es sein, dass du als Tech-C hinterlegt wurdest, diese Informationen stehen im Whois immer drin.

  • Die Emailadresse besteht hinter dem @ Zeichen nicht aus der neu angemeldeten Domain.

    Es wurde eine bisher Spam-freie bereits bestehende Emailadresse genutzt.


    Tatsächlich ist diese Emailadresse im Denic Eintrag sichtbar.

    Wie kann es sein, dass das bei den 16 anderen Projekten mit unzäligen DE Domains und Emailadressen nicht passiert ist? Diese Domains bzw. Projekte liegen nicht bei Netcup...

  • Guten Tag Tommy83,



    Sie schreiben


    Zitat

    In unserem Fall liegt das Projekt noch in der Werkseinstellung, es wurde also nichts verändert, insbesondere liegen die verwendeten Informationen nur Netcup vor.


    zumindest als Sie diesen Beitrag hier im Forum geschrieben haben, lagen bereits Dateien auf Ihrem Webspace vor. Sie haben auch Applikationen über den Appstore installiert. Ich täte an Ihrer Stelle prüfen, dass hier alle Scripte so arbeiten, wie Sie sich das vorstellen. Es kann Ihnen niemand weiterhelfen, wenn Sie schreiben Sie hätten keine Daten auf Ihrem Webspace und diese Aussage nicht stimmt. Warum tun Sie so etwas?


    Zitat


    Ihr Mitarbeiter teilte uns mit, dass es sich dabei keinesfalls um ein "auslesen aus Denic" handeln kann.


    Ich konnte kein Ticket finden in dem ein Mitarbeiter von uns behauptet hat, Daten aus dem Whois der Denic könnten nicht ausgelesen werden. Natürlich kann alles ausgelesen werden, was in einem öffentlichen Whois steht.


    Wenn Sie hier Hilfe erwarten ist es wichtig das Sie keine falschen Angaben machen. Andernfalls kann Ihnen niemand wirklich helfen.



    Mit freundlichen Grüßen


    Felix Preuß

  • Zitat

    zumindest als Sie diesen Beitrag hier im Forum geschrieben haben, lagen bereits Dateien auf Ihrem Webspace vor. Sie haben auch Applikationen über den Appstore installiert. Ich täte an Ihrer Stelle prüfen, dass hier alle Scripte so arbeiten, wie Sie sich das vorstellen. Es kann Ihnen niemand weiterhelfen, wenn Sie schreiben Sie hätten keine Daten auf Ihrem Webspace und diese Aussage nicht stimmt. Warum tun Sie so etwas?


    Es handelt sich dabei um das erst kürzlich installierte Ticket-System OSTicket. Die Spam Emails sind bereits vor der Installation eingegangen.
    Zumal die im OSTicket Backend hinterlegt Emailadresse nicht öffentlich und auch nicht von Spambetroffen ist.
    Wir würden es verstehen, wenn der Spam genau diese Emailadresse betrifft.


    Zitat

    Ich konnte kein Ticket finden in dem ein Mitarbeiter von uns behauptet hat, Daten aus dem Whois der Denic könnten nicht ausgelesen werden. Natürlich kann alles ausgelesen werden, was in einem öffentlichen Whois steht.


    Wir haben heute Vormittag gemeinsam (aus unserem Meeting heraus) mit einem Ihrer Mitarbeiter mit leichtem Akzent telefoniert. Gerne kann ich Ihnen den Namen über eine Privatnachricht bestätigen.


    Zitat

    Wenn Sie hier Hilfe erwarten ist es wichtig das Sie keine falschen Angaben machen. Andernfalls kann Ihnen niemand wirklich helfen.


    Ich hoffe, dass damit aufgezeigt werden konnte, dass der Beitrag zum Zeitpunkt der Erstellung voll und ganz der Wahrheit entsprach.


    Statt über Wahrheit und Probleme zu sprechen, wäre dem Kunden eher damit geholfen, nicht nur den Grund und die "Unvermeidbarkeit" dieser Spam Aktionen zu beteuern, sondern dem Kunden auch eine einfache Handlungsmaßnahme an die Hand zu geben:


    Zitat

    Solche Daten werden nicht aus unserem Kundenpanel bezogen, sondern aus den öffentlichen Whois Servern der jeweiligen Top-Level Domain. Die Daten müssen bei der Registrierung an die zuständige Registrierungsstelle übergeben werden und sind dort, je nach Registrierungsstelle öffentlich abfragbar

    Gerade von Ihnen hätten wir einen so einfachen wie banalen Hinweis erwartet:
    Für die Denic ein separates Emailkonto erstellen und als Kontakt-Email hinterlegen.
    So stören die dort eingehenden Spam Nachrichten zumindest nicht im Daily Business.

    Schade nur, dass dieser Vorschlag von einem anderen Hosting Anbieter folgen musste.
    Vielen Dank für Ihren Support

  • Solange Whois-Daten öffentlich einsehbar sind (und das ist auch gut so) sollte man den Spam verschmerzen. In der Regel und nach langjähriger Erfahrung können viele Schritte getätigt werden, die das Problem im Rahmen halten. Das sind nur meine 5 Cent. Meine Postfächer bei Netcup sind so gut wie Spam frei und das bereits seit Jahren.

    Power on! -Archlinux- -Seafile- -nginx-

  • Ehrlich gesagt verstehe ich nicht, was Sie von netcup erwarten. Vielleicht können Sie das ja klar formulieren.

    Ich sehe die Sachlage wie folgt:

    • Sie haben .de-Domains über netcup registriert
    • Im WHOIS-Eintrag dieser Domains steht korrekterweise eine ihrer E-Mail-Adressen (einer Domain, die nicht bei netcup gehostet wird)
    • Diese "Hostmaster"-Adresse wird zugespamt mit Angaben, die mit denen in den WHOIS-Einträgen übereinstimmen

    Es wäre höchstens nochmal interessant von wem diese Mails versendet werden (über welche Server bzw. von welchen Adressen aus kommend). Weiterhin sollten Sie den 2. Post von [netcup] Felix P. berücksichtigen, der Sie auf ein offenes E-Mail-"Relay" hinweist.


    Ich sehe hier nichts, was netcup tun könnte. Vermutlich würde es wenn überhaupt auch nur mittelfristig etwas bringen die Domain zu disconnecten bzw. die E-Mail-Adresse im WHOIS zu ändern.

    Sie hingegen könnten die Mails beim Empfangen einfach ablehnen durch entsprechende (Server-)Filter oder/und Spam-Prüfung. Oder ganz nett den Spamern antworten, dass Sie keinen weiteren E-Mails wünschen.


    Das wäre vermutlich ähnlich effektiv wie dieser Foren-Thread.

  • Ich bekomme auch täglich Mails mit Anfragen zu einer Webseite oder ähnliches, obwohl ich nur eine Domain bei uniteddomains gekauft habe ohne irgendetwas sonst.

    Es ist in meinen Augen völlig normal, dass sobald man eine Domain registriert derartige Anfragen bekommt.

  • Guten Tag Tommy83,


    Sie schreiben


    Zitat


    Zumal die im OSTicket Backend hinterlegt Emailadresse nicht öffentlich und auch nicht von Spambetroffen ist.

    Sie haben hier genau die E-Mailadresse hinterlegt, die auch im CCP und bei der Denic hinterlegt ist. Das ist auch die Einstellung die bei der Appinstallation gesetzt wird, wenn Sie das nicht ändern. Ich muss leider erneut schreiben, dass der zitierte Satz nicht der Wahrheit entspricht. Warum Sie hier falsche Angaben machen und dann auf Hilfe hoffen entzieht sich meinem Verstand.


    Hätten Sie von Anfang an geschrieben das Sie bereits eine Applikation zwei mal installiert und in dieser die E-Mailadresse hinterlegt haben die Sie auch bei uns benutzen, hätte Ihnen sicherlich fast jeder sofort helfen können. Wenn Sie stattdessen schreiben Sie hätte gar nichts auf dem Webspace installiert und im folgenden Beitrag schreiben das Sie in den Applikationen eine andere E-Mail-Adresse hinterlegt haben, kann Ihnen niemand zielführend helfen.


    Nochmal meine Frage: Warum machen Sie hier Angaben die nicht stimmen? Was bezwecken oder erhoffen Sie sich damit?


    Mit freundlichen Grüßen


    Felix Preuß

  • Hay,


    auch wenn ich gerne mal selbst direkt werde, halte ich es für unnötig, dass der eine den anderen bashed... Zum einen gibt es Koinzidenz nun mal, zum anderen muss deswegen nicht der eine den anderen der Lüge bezichtigen, nichts hilft weiter. Ich mache selbst mit meinen Mitarbeitern technischen Support und es ist ganz normal, dass wir regelmäßig den Eindruck gewinnen, angelogen zu werden. Doch wir kommunizieren diese Vermutung nie nach außen, denn es hilft bei der Lösung auch nicht weiter - macht in einem Forum außerdem noch einen unschönen Eindruck auf unbeteiligte Dritte.


    Da ich selbst nur auf Tatsachen von meiner Sicht ausgehen kann, sei folgendes erwähnt: Ich habe seit rund einem Jahr ca. 45 Domains zu Netcup gezogen, in jeder steht auch über Denic einsehbar eine (allen Domains gemeinsame) E-Mail-Adresse... auf die bislang Spam in kaum nennenswerten Umfang kommt. Diese E-Mail wird auf die Adresse umgeleitet, die im CCP hinterlegt ist. Und beide zusammengefasst (also originär auf die DENIC-Adresse wie auch originär auf die Weiterleitungsadresse) bekommen bis dato vielleicht 1 Spammail pro Tag. Also spricht meine Erfahrung dafür, dass beides nichts miteinander zu tun hat, außer dass es zum gleichen Zeitpunkt stattgefunden hat - Koinzidenz halt. Oder die E-Mail taucht in der Tat in einem anderen Zusammenhang auf.


    Und wenn man mir eine persönliche Bemerkung gestattet: Wenn ich mit Vehemenz darauf hinweise, dass ich 16 "sehr umfangreiche" Internetprojekte laufen habe und dann darauf bestehe, von meinem Anbieter darüber informiert zu werden, dass man bei DENIC zweckmäßigerweise eine andere E-Mail-Adresse hinterlegen sollte, dann gibt mir das zu denken... ich habe keine "sehr umfangreichen" Internetprojekte laufen und weiß das.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Mal eine vielleicht dumme Fragen, aber wo seht ihr alle bei der DENIC eine Email Adresse des Inhabers/Admin-C?

    Ich finde unter denic.de nur für den Technischen Ansprechpartner und Zonenverwalter eine Email, bei beidem hat sich hier netcup eingetragen, was natürlich auch in Ordnung ist.


    Ich kenne diesen typischen Whois-Spam selbst auch nur von *.com/net/etc.. Adressen, wo die Emailadressen des Inhabers tatsächlich für jeden einfach zugänglich in der Registry stehen. Dort bekomme ich oft schon weniger Stunden nach der Domainregistrierung Spammails zugeschickt, dafür habe ich aber extra eine andere als meine Hauptemailadresse gewählt.


    Kann ich bei netcup eigentlich für die Domainregistrierung eine eigene Emailadresse wählen ohne Domain-Reseller zu sein?


    Ich hab bei netcup selbst nur *.de Domains, weshalb sich mir dei Frage bisher noch nicht gestellt hatte.

  • Sehr geehrter Herr Preuß,


    ich wiederhole mich und möchte es Ihnen gerne nochmal erläutern:
    1. Die Spam Emails sind bereits vor der Installation der Applikationen eingegangen.
    Damit erübrigt sich doch jede weitere Diskussion darüber. Oder sehen Sie weiterhin einen Zusammenhang?

    In der Umkehrung heißt das: Als die Spam Emails eingeangen sind, war unser Webspace leer und damit auch keine Applikation installiert.


    Eine konstruktive Gesprächsführung, ohne Bezichtigung der Lüge ist nicht nur ratsam sondern grundsätzlich vorzuziehen. Eine einfache Rückfrage hätte es sicherlich auch getan.


    Insofern freue ich mich jetzt schon auf diesen zielführenden Support, bei dem Haare gespalten und Worte verdreht werden, der Kunde so wörtlich der Lüge bezichtigt wird. Ich dachte, ein solches Verhalten sei nur in "privaten Hobby Foren" vorzufinden. Schade, dass ein solches Verhalten sogar von der Geschäftsführung in einem Support Forum vorgelebt wird.


    Ich bedanke mich an die Community für die hilfreichen Hinweise bzw. Anregungen zu dem Thema.

  • Hay,

    Tatsächlich ist diese Emailadresse im Denic Eintrag sichtbar.

    Mal eine vielleicht dumme Fragen, aber wo seht ihr alle bei der DENIC eine Email Adresse des Inhabers/Admin-C?

    Ich finde unter denic.de nur für den Technischen Ansprechpartner und Zonenverwalter eine Email, bei beidem hat sich hier netcup eingetragen, was natürlich auch in Ordnung ist.

    Tarry91, auch wenn Du hierbei recht hast, Tommy83 sieht sie. Ich glaube ihm, wenn er das sagt. Wäre natürlich schön zu wissen, welche Domain das ist, dann würde ich selbst oder andere ja mal in DENIC nachschauen. Oder ein Screenshot mit geschwärztem Domainnamen, aber sichtbarer e-mail würde meinetwegen auch reichen, dann könnte man weiterforschen und vielleicht sogar weiterhelfen.


    Kann ich bei netcup eigentlich für die Domainregistrierung eine eigene Emailadresse wählen ohne Domain-Reseller zu sein?

    Jedenfalls nicht für Tech-C und Admin-C. Genauer kann ich es allerdings nicht sagen, ich bin Domain-Reseller und fülle alle Felder ordentlich und wahrheitsgemäß aus, aber gerade für einen Kunden, der seine Daten nicht veröffentlicht haben wollte wegen der Angst vor Spamming, habe ich nachgeforscht und laut DENIC bekommt man außer der Anschrift vom Admin-C und Owner-C Handle NICHTS.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Guten Abend lieber Peter,


    zunächst einmal vielen Dank für deinen konstruktiven Beitrag.
    Ich werde gleich morgen früh einen entsprechenden Screenshot hochladen. Vielleicht kann dann dieser massive Spam Versuch eingegrenzt werden.


    Einen Vorschlag haben wir bereits erhalten:

    Die bei Denic hinterlegte Emailadresse wird durch eine eigens dafür angelegte Emailadresse ersetzt.

    Diese Adresse kann dann einmal in der Woche überprüft werden. Die dort eingehenden Spam Emails werden uns dann nicht in diesem Ausmaß stören...


    LG
    Tommy

  • Guten Abend,


    Zitat

    Mal eine vielleicht dumme Fragen, aber wo seht ihr alle bei der DENIC eine Email Adresse des Inhabers/Admin-C?


    es ist möglich auch E-Mailadresse von Inhabern aus dem Whois der Denic auszulesen. Wie dieses geht, ist Mitgliedern der Denic eG vorbehalten zu wissen, da Details dazu als vertraulich innerhalb der Genossenschaft eingestuft sind. Nur Mitglieder der Denic eG haben dazu die Möglichkeit.


    Zitat

    Insofern freue ich mich jetzt schon auf diesen zielführenden Support, bei dem Haare gespalten und Worte verdreht werden, der Kunde so wörtlich der Lüge bezichtigt wird.


    Wenn Sie mich damit meinen, lesen Sie bitte was ich oben geschrieben habe. Ich bin auf zwei Tatsachen eingegangen die Sie geäußert haben und die so nicht gestimmt haben. Es liegt mir fern Sie der "der Lüge zu bezichtigen", allerdings ist es nicht zielführend hier Lösung für Probleme zu suchen, deren Rahmenbedingungen anders als beschrieben wurde sind. Darüber hinaus habe ich Ihnen per privater Nachricht ein Link zu einer PHP-Datei geschickt, über die Spam versendet werden kann. Schade das Sie auf meine Fragen nicht eingegangen sind.


    Ich denke es wäre gut einmal die Header der E-Mails zu sehen. So kann festgestellt werden, über welchen Server die E-Mails verschickt worden. Alles andere wären Mutmaßungen.



    Mit freundlichen Grüßen


    Felix Preuß