[Postfixbuch-users] Spam Problem
Andre
stickybit at myhm.de
Sa Jun 29 10:35:37 CEST 2013
Servus,
ein Kunde hat sich bei uns wegen Spam gemeldet und meinte, er würde
50-70 Spam-Mails pro Tag bekommen. Diese Nachricht habe ich zunächst mit
Skepsis empfangen. Unser Anti-Spam-System funktioniert schließlich gut,
dachte ich mir.
Als ich das Monitoring für seinen E-Mail-Account aktiviert habe, kam die
Ernüchterung. Policyd-weight quittiert alle Spam-Mails mit gutem Score
(um -7). Spamassassin lässt Mails einfach durch.
Bei der Analyse der eingehenden Spam-Mails konnten wir Folgendes
feststellen.
Es handelt sich um automatisch generierte Mails, die von Scripten
versendet werden (PHP, etc.). Man findet im Header stets Hinweise hierzu.
Jede Mail kommt von einer anderen IP, IP-Sperre ist also wirkungslos.
Mails kommen von gehackten Websites. Der Inhalt jeder Mail besteht
meistens nur aus einem HTML-Link, der auf Unterseite einer sonst
normalen Website verweist. In jeder Spam-Mail stets ein anderer Link!
Wenn man den Link anklickt, wird eine HTML-Seite aufgerufen, auf der nur
steht "...Loading". Nach zwei Sekunden wird man via HTML-Code auf eine
Pornoseite umgeleitet. Die URL der Zielseite ist ebenfalls jedes Mail
anders, alle Seiten haben allerdings den gleichen Inhalt.
Ich kann mich noch erinnern, dass einige Hoster vor ca. zwei Monaten
Brut Force Attacken auf Wordpress Installationen von Kunden gemeldet haben.
Die Vorgehensweise der Spammer ist also klar. Man bekommt den Zugang zu
den Serverressourcen, wie auch immer, durch Hacken von CMS-Systemen,
FTP-Zugängen, usw., und versendet Spam von IPs, die nicht geblockt sind.
Protokoll-Fehler sind da auch keine, ist je stets ein gut
funktionierender SMTP-Server. Der Inhalt der E-Mail wechselt sich stets
und wird eigentlich ins Internet "ausgelagert". Ein Content-Filter hilft
da auch nicht.
Jemand eine Idee zur Lösung des Problems?
Gruß
Andre
Mehr Informationen über die Mailingliste Postfixbuch-users