[Postfixbuch-users] Problem mit Spam via Webseite :-(

[andre at myhm.de]

Hallo Christian,

leider gibt es, meiner Meinung nach, für das Problem keine einfache Lösung.
Wir wurden in den letzten Monaten mit diesem Problem intensiv
konfrontiert. Wir haben viele Server. Immer wieder landete der eine oder
der andere Server auf die Blacklists. Nach unserer Analyse waren es in
den meisten Fällen open source Programme Wordpress & Co schuld. Die
Kunden laden sich irgendwelche Themes oder Plugins auf ihren Webspace
herunter und schon hat der Angreifer den Zugriff auf den Webspace übers
Internet und kann fleißig Spam versenden. Sowas lässt sich nicht
wirklich verhindern. Du kannst nicht hingehen und den Code jeder Datei
des Kunden in Echtzeit checken. Geht nicht. Das bedeutet also, dass über
Deinen Server früher oder später Spam versendet wird. Alles nicht so
schlimm. Denn bei den meisten Blacklists lässt sich die IP austragen.
Das schlimmste bei der Problematik finde ich, dass einige große Anbieter
diese Möglichkeit gar nicht anbieten und auf eine freundliche Anfrage
die Austragung verweigern. Dazu gehört bspw. google. Bei Google wird die
IP automatisch ausgetragen, falls das Problem behoben wurde. Wann die
Austragung erfolgt, lässt sich leider nicht beeinflussen.

Am Schlimmsten finde ich das Netzwerk MSN (Hotmail, Windowslive). Die
Mitarbeiter verweigern immer die manuelle Austragung. Die IP bleibt ewig
hängen, obwohl das Problem seit Wochen und Monaten behoben wurde. Die
Kunden können an ihre Kommunikationspartner, die das MSN-Maildienste
nutzen, keine Mails zustellen. Der dadurch entstehende Schaden kann nur
geschätzt werden, geschweige denn Image-Schaden für den eigentlichen
Webhoster, dem in diesem Fall nichts anderes bleibt, als IP zu wechseln,
was je nach Setup nicht immer ohne Weiteres möglich ist.

Wir haben mittlerweile für den Mail-Versand über SMTP-Auth auf einen
Extra-Server gelegt, haben also den "Mail"-Server vom "Webspace"-Server
getrennt. So können im Falle eines Falles die authorisierten User normal
weiter kommunizieren.

Für den lokalen Versand vom Webspace-Server haben wir bis jetzt noch
keine wikliche Lösung gefunden. Hier ein Paar Überlegungen.

1. Ich deaktiviere den SMTP-Server auf dem Webspace Server ganz. Alle
Kunden sollen Ihre Scripte dahingehend anpassen, dass Mails über
SMPT-Auth versendet werden sollen. Leider keine praktikable Lösung, da
viele Kunden keine Ahnung haben, wie sie es in ihren Scripten ändern
sollen. Also geht nicht.

2. Ich setze fün den Versand Limits pro User, damit zumindest der
Spam-Versand im großen Stil nicht möglich ist. Ich überwache die
Log-Files und die Mail-Queue. Bei Auffälligkeiten sofort den betroffenen
User automatisch sperren. Bspw. wenn in der Queue viele unzustellbare
Mails vom selbsen User hängen. Usw.

Am 02.06.2012 22:47, schrieb Andreas Ernst:
> php_admin_value sendmail_from <mail>
> php_admin_value sendmail_path "/usr/sbin/sendmail -t -i -f <mail>
das löst das Problem nicht. Ich kann mich mit php den Socket aufmachen,
mich mit dem Port 25 verbinden und beliebig versenden. Sendmail bekommt
nichts mit. Zudem gibt es noch Perl-Scripte, aber auch andere
Programmiersprachen, die auf dem Server erlaubt bzw. installiert sind.

Wer Lust und/oder andere Ideen hat, bitte korrigiert oder ergänzt mich.

Grüße
Andre