Was ist da los? (Virus/Trojaner...?)

[typeOneg]

hi,

eine frage, zu einem thema das ich irgendwie nicht kapiere. es kommt immer wieder vor (in letzter zeit wieder öfter), dass mails von fiktiven externen adressen bei uns ankommen und sofort wieder eine mail generieren, die dann zB als blindkopie an einen unserer user geschickt werden (siehe screenshots aus einer mail.box).

wie kann es sowas geben? haben wir uns da was eingfangen oder ist auf domino-seite etwas nicht richtig konfiguriert? irgendwie komm' ich nicht d'rauf, wie sowas möglich ist.

bin dankbar für jeden tipp.

lg
hans

[Peter S.]

Sieht für mich aus als wenn die Mail zurück die normale Fehlermeldung ist "User unknown"
Wo steht einer euerer User im Blindkopie feld? das sieht man nicht.

[typeOneg]

ja, die fehlermeldung ist schon normal. nur, wie kann es sein, dass absender und emfpänger gleich sind? also zB dass webmaster@gmx.at an webmaster@gmx.at sendet und der "intended receipient" eine interne adrese bei uns ist?

irgendwie kapiere ich das prinzip oder den ablauf dahinter nicht so ganz.

[michael-r]

Die beiden Mails haben nichts miteinander zu tun, so wie ich das sehe.

Es wurde versucht zer@pappas.at eine Mail zuschicken. Gibts nicht, folglich erhält Webmaster@gmx.de einen Fehler, mit User unknow. Die Message war nicht dead sondern Pending (also wird grade gesendet).

Die andere Nachricht, die mit admin@micorsoft.com ist wohl dead, weil sie u oft hin und her geschickt wurde. Server von Microsoft bekommt Meldung user Admin hat mail geschickt, Admin gibts nicht Fehlermeldung an Domino Server zurück (selbe Mail), Domino kennt aber immer noch nicht den eigentlichen Absender und die Mail geht mit User Unknow zurück an den Microsoft Server, nach einigem hin und her wird die Mail für dead erklärt.

Ich seh da kein Problem.

MFG Michael

[WernerMo]

Meiner Meinung nach hilft nur, den Domino so einzustellen, dass er Mail für nicht existierende Empfänger nicht annimmt, sonst wird der Domino selber zum Spammer weil er an die "gefakte" Absenderadresse zurückschreiben will.

Das ist ja auch das (eigentliche) Ziel vieler Spammer, den gefakten Absender zu belästigen. Das schlimmste was in so einem Fall passieren kann, ist das der Domino auch noch auf eine Blacklist landet weil er so viele Spams "zurückschickt".

[typeOneg]

Meiner Meinung nach hilft nur, den Domino so einzustellen, dass er Mail für nicht existierende Empfänger nicht annimmt, sonst wird der Domino selber zum Spammer weil er an die "gefakte" Absenderadresse zurückschreiben will.

Das ist ja auch das (eigentliche) Ziel vieler Spammer, den gefakten Absender zu belästigen. Das schlimmste was in so einem Fall passieren kann, ist das der Domino auch noch auf eine Blacklist landet weil er so viele Spams "zurückschickt".

werden bei einer solchen prüfung auch mails an allgemeine adressen (zb "info@....") zugelassen? für solche empfänger gibt es ja keinen eintrag im domino-directory sondern nur einen zusätzlichen eintrag bei bestehenden benutzern.

[koehlerbv]

Das ist dann eine gültige Adresse.
Alle Adressen, die Du in der Ansicht "($Users)" im Domino Directory findest, werden akzeptiert.

Bernhard

[WernerMo]

Noch ein Tipp:

Durch die "indirekten" Spams ist Dein/Euer Domino vermutlich schon in der Blacklist nach oben gerutscht, die von vielen großen Firmen verwendet wird:

http://bsn.borderware.com

Dort kannst Du auch selber nachsehen (mit der externen IP des Mailservers) und gegebenenfalls auch einen "claer my history" anstoßen.

Viel Erfolg.

[Christopher]

Welche DOMINO Version hat das SMTP Gateway?

[Christopher]

sieh Dir mal den Artikel an.

http://www-128.ibm.com/developerworks/lotus/library/spam-smtp2/index.html

SMTPDenyNotUniqueRCPT=value
This variable requires that you have the option "Verify that local domain recipient exist in the Domino Directory" enabled. If you set this variable to 1, the SMTP task will not except any recipient name that is not unique. The default is 0.

[typeOneg]

Welche DOMINO Version hat das SMTP Gateway?

7.0.2 FP1

[Christopher]

Ok dann setz mal den Parameter über die notes.ini oder das Konfigurationsdokument
SMTPDenyNotUniqueRCPT=1

Aber ich habe trotz diesen Parameters teilweise auch dead mail die der domino server annimmt. Weiß auch nicht wie die Spammer das hinbekommen .

[WernerMo]

@typeOneg
Stell diese Einstellung baldmöglichst um - und prüfe auch mal deine Bewertung wie oben beschrieben.

@Christopher
diese dead mail (keiner weis wie die reingekommen sind) kennt glaube ich jeder und hat auch jeder, aber das ist ein minimaler Bruchteil der Mails die ganz oben beschrieben sind und laut Empfehlung von IBM seit 2004 auch verhindert werden sollen. (Gemeinhin werden diese " NDR mail" auch als "backscatter spam" bezeichnet/verstanden)

[Christopher]

ok man lernt nie aus und die spammer lassen sich immer wieder neue sch... einfallen.
Gut erklärt ist es hier:
http://www.msexchangefaq.de/spam/ndrspamming.htm

[typeOneg]

@typeOneg
Stell diese Einstellung baldmöglichst um - und prüfe auch mal deine Bewertung wie oben beschrieben.

@Christopher
diese dead mail (keiner weis wie die reingekommen sind) kennt glaube ich jeder und hat auch jeder, aber das ist ein minimaler Bruchteil der Mails die ganz oben beschrieben sind und laut Empfehlung von IBM seit 2004 auch verhindert werden sollen. (Gemeinhin werden diese " NDR mail" auch als "backscatter spam" bezeichnet/verstanden)

gut. die prüfung werd' ich jetzt mal einschalten.

[michael-r]

Aber ich versteh nicht ganz den Sinn dieser Art Spam. *kopfkratz*
Spammer wollen doch Werbung machen, Viren etc verbreiten, Server finden über die Sie spammen können, neue Empfänger finden.

2 Server zumüllen, damit einer der Server als Spamserver identifiziert wird, ist doch sinnlos oder? Der Aufwand ist bestimmt auch beträchtlich, da der oben genannte Server auch nicht in einer Blackliste geführt ist.
Zumal könnte Firma 1, Firma 2 sagen was müllst du mich zu. Firma 2 sagt dann der scheiss kam von deinem Server.  Rechtfertigt noch keinen BL Eintrag oder?

MFG Michael

[WernerMo]

Sind das immer Spammer oder werden hier einfach Zombies eingesetzt um Server zu behindern / lahm zu legen?
Anfang der Woche hat jemand in diesem Forum geschrieben, dass bei Ihm über 4 Mio e-Mail täglich reinkommen.

Aber auch wir hatten schon Adressbuch-Angriffe, die mehr als 50tsd e-Mails pro Stunde zustellen wollten.

Und der Nebeneffekt der NDR bzw. Backscatter belästigt ja auch noch die "gefakten" Adressen zusätzlich - wenn das kein Effekt ist. (Wenn man so was mag) 

[michael-r]

Ok das mit dem lahmlegen, verbrauch von Ressis ist klar.

Aber rechtfertigt das einen BL Eintrag?
Beispiel:
Firma 1 könnte zu Firma 2 sagen was müllst du mich zu. Firma 2, sagt dann der scheiss kam von deinem Server oder? 

Ich gehe mal davon aus die meisten Server haben eine DNS aktivierte Prüfung, Spam Prüfung, so das nur wenige dieser Mails durchkommen.

MFG Michael

[typeOneg]

wir hatten bei unseren spamfiltern (aladdin eSafe) auch lange die blacklist prüfung eingeschaltet. seit ein paar monaten haben wir's aber gelassen, da immer wieder firmen, mit den wir zu tun hatten, auf diesen blacklists landeten. und bis man dann immer bewiesen hat, dass unsere mailserver die mails schon annehmen würden, wenn da nicht ein eintrag in einer bl wäre, ist einfach mühsam.

deshalb gibt's bei uns jetzt keine blacklist prüfung mehr.

[michael-r]

Ehm du hast doch eine Whiteliste . Nur mal so ein Tipp .
Lieber etwas Whitelisten pflegen, als 1000 von Spams zu bekommen?

Ich habe mir z.B aus einem öffentlichen Adressbuch unseres Dominos eine Ansicht mit nur E-Mail Adressen gemacht, diese exportiert, etwas bearbeitet und die E-Mails in die Whiteliste aufgenommen .