Autor Thema: unerwartetes Problem mit Spammern...  (Gelesen 2935 mal)

Offline testfix4711

  • Frischling
  • *
  • Beiträge: 5
unerwartetes Problem mit Spammern...
« am: 27.02.06 - 19:35:05 »
Hallo erstmal,
bin zufällig auf dieses Forum gestoßen und hoffe, daß Ihr mir weiterhelfen könnt.

Zu meiner Person:
Ich beschäftige mich nun schon seit knapp 4 Jahren mit Notes / Domino schwerpunktmäßig im Bereich der Administration.
Ich habe hier im Moment einen 5.0.12er Server laufen der sich als Standalone um die Mails kümmern soll. Er befindet sich hinter einer NAT-Firewall mit Port-Forwarding.
Eigentlich funktioniert er ja auch soweit ganz gut, nur heute ist  mir doch glatt der Kitt aus der Brille gefallen. Anscheinend haben es heute Nacht einige "nette" Leutchen geschafft meinen Server als Relay zu nutzen, obwohl ich der festen Meinung bin (war), alles in dieser Richtung nötige unterbunden zu haben.

In den Inbound Controls habe ich nur eine von extern zulässige Domäne  (nämlich meine)eingetragen und  auf der Serverseite Mails von 127.0.0.1 abgewiesen.

Im Log steht nun aber auf einmal, daß er tausende Mails an irgendwelche Empfänger in Kanada verschickt hat, ohne daß ich erkennen kann, welcher User angemeldet war. Der Aktion vorangegenagen war über mehrere Tage ein Abklappern von diversen ungültigen Usernamen.

Ich dachte das soll durch die obigen Einstellungen unmöglich sein??
Wie komme ich denen denn wohl auf die Schliche bzw. was kann ich noch tun um unerwünschtes Mailsenden zu unterbinden?
Es scheint ja eine Möglichkeit zu geben Mails zu versenden, obwohl es den User nicht gibt...

Danke für jeden Strohhalm!!

Gruß

Chris

Offline matze79

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 587
  • Ich liebe dieses Forum!
Re: unerwartetes Problem mit Spammern...
« Antwort #1 am: 27.02.06 - 20:15:35 »
Leider kenne ich nur R6, aber evtl. habe ich eine Idee.
Was steht denn bei dir in den Configuration-Settings unter "Perform
Anti-Relay enforcement for these connecting hosts:"? Hier zu bedenken: Port-Forwarding heisst, dass der Hacker mit einer lokalen IP auf deinen Server kommt.
IBM Cerified System Administrator Lotus Notes and Domino 6/6.5
400 User, 10 Server, BES, Sametime und anderer Gimmicks

Offline testfix4711

  • Frischling
  • *
  • Beiträge: 5
Re: unerwartetes Problem mit Spammern...
« Antwort #2 am: 27.02.06 - 20:34:36 »
Hm, einen solchen Punkt finde ich nicht.
Ich habe  anzubieten:

Relais-Steuerung:
- Nur Mail zulassen, die von externen Internet-Domänen an folgende Internet-Domänen gesendet wird: belegt mit meiner Domäne
- Mail ablehnen, die von externen Internet-Domänen an folgende Internet-Domänen gesendet wird: jetzt frisch mit einem * versehen
- Nur Mail zulassen, die von diesen externen Internet-Hosts an folgende Internet-Domänen gesendet wird: nicht gefüllt
- Mail ablehnen, die von diesen externen Internet-Hosts an externe Internet-Domänen gesendet wird: ebenfalls frisch mit * versehen

Aber das scheint mir die falsche Ecke für das Problem zu sein.  Kämpfe mich gerade durch die Nachrichten-Einstellungen.

 

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: unerwartetes Problem mit Spammern...
« Antwort #3 am: 27.02.06 - 20:37:59 »
Hier kannst Du Dein Relay checken lassen obs wirklich offen ist:
http://ordb.org/submit/



Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline testfix4711

  • Frischling
  • *
  • Beiträge: 5
Re: unerwartetes Problem mit Spammern...
« Antwort #4 am: 27.02.06 - 20:58:42 »
Ja Danke, über ORDB habe ich es schon versucht, da ist mein Server i.O.

Es scheint mir aber kein direktes Relay zu sein. Vom Gefühl her scheinen die zu versuchen sich von Aussen mit einem ungültigen Benutzer anzumelden und Mails zu versenden. Ich habe mehrere tote Mails von einem Benutzer accounting@meine-domäne.de  gefunden. Diesen Benutzer gibt es aber nicht!
Es scheint mir als wären in diesen Mails dann mit CC: andere Empfänger angegeben, die augenscheinlich versendet werden. Ich finde bloß keine Anmeldung am Server. Da die nur nachts zwischen 0 und 1 Uhr agieren, packe ich die natürlich kaum.
Wie gesagt, ich weiß nicht genau wo ich da ansetzen soll / kann.

Chris

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: unerwartetes Problem mit Spammern...
« Antwort #5 am: 27.02.06 - 21:15:16 »
Blöde Idee die ich da hab, aber halte doch einfach mal den Router um die besagte Zeit an.
Dann hat Du die Original Mails in der Mail.box und kannst schauen was die spammer da treiben.

Mit den Info's lässt es sich Dir bestimmt besser helfen.


Aber könnten das nicht Zustellfehlermeldungen sein die Dein Server rausjagt ?
Falsche Absenderadresse rein --> User nicht vorhanden --> Domino sendet einen NDR an falsch Adresse raus

Any chance to upgrade to Domino 6 or 7? Hier hast Du noch mehr Möglichkeiten.....

Gab es "Verify that local domain recipients exist in the Domino Directory" auch schon unter 5?
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline testfix4711

  • Frischling
  • *
  • Beiträge: 5
Re: unerwartetes Problem mit Spammern...
« Antwort #6 am: 27.02.06 - 22:05:12 »
Hi,
ich mag es ja selber kaum fassen, aber irgendwie klappt das. Bloß wie???
Anbei mal ein Auszug aus dem Mail-Protokoll, vielleicht sagt das mehr aus.  Domino 6 oder 7 geht leider nicht.

27.02.2006 00:16:51   SMTP-Server: Verbindung mit static-67-62-236-210.t1.cavtel.net (67.62.236.210) getrennt. 2 Nachricht(en) erhalten
27.02.2006 00:16:51   Router: Nachricht 007FE2AD konnte nicht an sales@xxx.de zugestellt werden
27.02.2006 00:16:51   Benutzer sales@xxx.de ist nicht im öffentlichen Adreßbuch aufgeführt
27.02.2006 00:16:51   Router: Nachricht 007FE2AD konnte nicht an service@xxx.de zugestellt werden
27.02.2006 00:16:51   Benutzer service@xxx.de ist nicht im öffentlichen Adreßbuch aufgeführt
27.02.2006 00:16:51   Router: Nachricht 007FE2AD konnte nicht an support@xxx.de zugestellt werden
27.02.2006 00:16:51   Benutzer support@xxx.de ist nicht im öffentlichen Adreßbuch aufgeführt
27.02.2006 00:16:51   Router: Nachricht 007FE2AD konnte nicht an test@xxx.de zugestellt werden
27.02.2006 00:16:51   Benutzer test@xxx.de ist nicht im öffentlichen Adreßbuch aufgeführt
27.02.2006 00:16:51   Router: Nachricht 007FE2AD konnte nicht an uucp@xxx.de zugestellt werden
27.02.2006 00:16:51   Benutzer uucp@xxx.de ist nicht im öffentlichen Adreßbuch aufgeführt
27.02.2006 00:16:52   Router: Übertragen von Mail an Domäne CANADA.COM (Host mxcanada.ipapp.COM [216.152.192.202]) über SMTP
27.02.2006 00:16:52   Router: Übertragen von Mail an Domäne CANADA.COM (Host mxcanada.ipapp.COM [216.152.192.202]) über SMTP
27.02.2006 00:16:52   Router: Nachricht 007FE2AD zugestellt an xxx/xxx
27.02.2006 00:16:53   Router: Übertragen von Mail an Domäne CANADA.COM (Host mxcanada.ipapp.COM [216.152.192.202]) über SMTP
27.02.2006 00:16:55   Router: Nachricht 007FE1CD über SMTP übertragen an mxcanada.ipapp.COM für timfargo@canada.com
27.02.2006 00:16:55   Router: Nachricht 007FE1D1 über SMTP übertragen an mxcanada.ipapp.COM für timfargo@canada.com
27.02.2006 00:16:56   Router: Übertragen von Mail an Domäne CANADA.COM (Host mxcanada.ipapp.COM [216.152.192.202]) über SMTP
27.02.2006 00:16:57   Router: Übertragen von Mail an Domäne CANADA.COM (Host mxcanada.ipapp.COM [216.152.192.202]) über SMTP
27.02.2006 00:16:57   Router: Übertragen von Mail an Domäne CANADA.COM (Host mxcanada.ipapp.COM [216.152.192.202]) über SMTP
27.02.2006 00:16:59   Router: 3 Nachrichten an CANADA.COM (host mxcanada.ipapp.COM) über SMTP übertragen
27.02.2006 00:17:00   Router: 3 Nachrichten an CANADA.COM (host mxcanada.ipapp.COM) über SMTP übertragen
27.02.2006 00:17:00   Router: 1 Nachrichten an CANADA.COM (host mxcanada.ipapp.COM) über SMTP übertragen
27.02.2006 00:17:00   Router: Nachricht 007FE1BF über SMTP übertragen an mxcanada.ipapp.COM für timfargo@canada.com
27.02.2006 00:17:01   Router: Nachricht 007FE1C4 über SMTP übertragen an mxcanada.ipapp.COM für timfargo@canada.com
27.02.2006 00:17:01   Router: Nachricht 007FE1C6 über SMTP übertragen an mxcanada.ipapp.COM für timfargo@canada.com


Zu der Zeit war definitiv kein User angemeldet!

Chris

Offline koehlerbv

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re: unerwartetes Problem mit Spammern...
« Antwort #7 am: 27.02.06 - 22:19:24 »
Das sieht mir aber auch sehr danach aus, als wenn da Zustellfehlerberichte ausgeliefert wurden. Diese solltest Du unterbinden. Du provozierst diese auch noch, da Du Dein System als adressierbar (eben wegen der Meldungen) geoutet hast. Auf der Gegenseite steht nur eine Maschine, die es nun blind an Hand seiner Listen weiter versucht.

Bernhard

Offline hallo.dirk

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.166
  • Geschlecht: Männlich
  • Admin forever ;)
Re: unerwartetes Problem mit Spammern...
« Antwort #8 am: 27.02.06 - 22:58:21 »
hui 15 Treffer zur IP:

http://www.dnsstuff.com/tools/ip4r.ch?ip=67.62.236.210

Domino 6 mit Blacklistfunktion hätte hier geholfen...

Pass nur auf, dass Du nicht selber gelistet wirst und zwar hier:

http://www.spamcop.net/fom-serve/cache/125.html

Punkt:
Challenge/Response systems

Zitat
A challenge/response system attempts to protect its users from receiving spam by sending a "challenge" in response to email from an unfamiliar address. The original sender must click on a link, visit a website, or solve a puzzle, for example. This proves the sender is a human and that the mail the sender wishes to send is not spam. If one sends email to a challenge/response user and receives a challenge, the challenge is not spam. Recipients should not report it using SpamCop. However, forged from: and reply to: fields are often found in emails which propagate a virus or are sent as a result of a virus, as well as in spam. If one receives a challenge as a result of mail one did not send (i.e., the email address was forged into a from: or reply to: field) then the recipient may report that challenge as spam.[/quote]

Ist mir schon mal passiert, nachdem mein Server ein paar Meldungen zu viel zurrück gesendet hat ::)
Blöde Antwortagenten....
« Letzte Änderung: 27.02.06 - 23:03:14 von hallodirk »
Gruss
Dirk

------------------------------------------------------------
Sametime
Traveler
IQ Suite von Group Technologies
Marvel Client von Panagenda
Blackberry Enterprise
FIRM von HASDL 
BELOS von Bechtle
mobile.profiler (MDM) und traveler.rules von Midpoints

Offline testfix4711

  • Frischling
  • *
  • Beiträge: 5
Re: unerwartetes Problem mit Spammern...
« Antwort #9 am: 28.02.06 - 08:36:47 »
Das sieht mir aber auch sehr danach aus, als wenn da Zustellfehlerberichte ausgeliefert wurden. Diese solltest Du unterbinden. Du provozierst diese auch noch, da Du Dein System als adressierbar (eben wegen der Meldungen) geoutet hast. Auf der Gegenseite steht nur eine Maschine, die es nun blind an Hand seiner Listen weiter versucht.

Bernhard

Hallo Bernhard,
wo kann ich denn die Zustellfehlerberichte abschalten? Ich habe da nichts zu gefunden.

Bei dem besagten Rechner handelt es sich um einen W2K Server bei einem amerikanischen Provider. Ich habe die mal angemailt. Wird zwar nicht viel bringen, aber immerhin.
Erneuter Check mit ORDB hat keine Lücke aufgetan.

 
Chris

Offline Bastian_W

  • Frischling
  • *
  • Beiträge: 21
  • Geschlecht: Männlich
Re: unerwartetes Problem mit Spammern...
« Antwort #10 am: 02.12.06 - 10:32:12 »
Hallo Chris,

hast du das Problem behoben? Ich finde leider keine passende Einstellungen... Ich habe fast die vermutung ich muss auf R6 oder R7 updaten damit ich "Verify that local domain recipients exist in the Domino Directory" nutzen kann...

Glombi

  • Gast
Re: unerwartetes Problem mit Spammern...
« Antwort #11 am: 02.12.06 - 12:58:33 »
Gibts erst ab R6.

Restricting inbound SMTP mail to users listed in the Domino Directory
Product:
Lotus Domino  >  Lotus Domino Server  >  Versions 7.0, 6.5, 6.0
Platform(s):
AIX, i5/OS, OS/390, OS/400, Solaris, Windows, z/OS
Doc Number:
1104959
Published   23.04.2006
Technote

Problem

A Lotus® Domino® server administrator would like to block inbound Simple Mail Transfer Protocol (SMTP) messages that are addressed to nonexistent users (that is, users not registered in the Domino directory).  Currently, if an SMTP message is addressed to a user that is not in the Domino directory, the message becomes a dead message.  The administrator would like to block these messages altogether so that the messages do not end up in mail.box.



Solution
This feature is available in Domino releases 6.0 and higher.

The field, "Verify that local domain recipients exist in the Domino Directory" will cause Domino to perform a lookup in the Domino Directory every time an Internet mail host attempts to drop off mail at your server. Domino will then enforce these restrictions in the SMTP conversation.  If the recipient's address matches an existing user, then it is business as usual and the message is accepted for delivery.  However, if the intended recipient's address does not correspond to an existing user, Domino will reject the message on the SMTP protocol level, with the message "550 ...No such user", thereby keeping the message out of Domino and out of your mail.box.
In order to enable this field, open the Server Configuration document the Domino SMTP gateway on which you wish to enforce these restrictions .  The field is located on the Router/SMTP, Restrictions and Controls, SMTP Inbound Controls tabs, Inbound Intended Recipients Controls section.  Once enabled, perform a "tell SMTP update config" on the Domino server console.


Offline Bastian_W

  • Frischling
  • *
  • Beiträge: 21
  • Geschlecht: Männlich
Re: unerwartetes Problem mit Spammern...
« Antwort #12 am: 02.12.06 - 13:39:51 »
hm, ok danke... dann werde ich wohl erstmal updaten :-(

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz