Armin: Fake sender oder Formularmissbrauch?

After Noon!

Nach der ersten Domain ist jetzt die naechste dran: In den letzten 45min sind knapp 1300 bounces, out of office replies und aehnliches in einer meiner Inboxen aufgeschlagen (catch-all fuer die Domain ist erst einmal deaktiviert). Danke lieber Spammer...

Ich bin mir zu 99% sicher dass dies "nur" ein Fall von gefaelschten Absendern ist (es sind ziemlich viele verschiedene), aber irgendwie ist doch noch ein Rest Unsicherheit vorhanden.

Woran kann ich erkennen ob der Spammer das Formular auf der Seite missbraucht hat oder ob es sich wie vermutet um den gefaelschten Absender handelt?

In dem Ordner mit den logfiles findet sich ein file mail.log, soweit ich erkennen kann sind dort alle mails die ueber die verschiedenen Formulare meiner Websites verschickt wurden protokolliert. Dort finde ich nichts was darauf hindeutet dass der Spammer etwas ueber meine Formulare (und insbesondere das von der betroffenen Domain) versandt hat.

Muesste ich in den "normalen" logfiles was finden koennen (da scheint auch nichts zu sein)?

Der Server laeuft auf Linux/Apache. Gibt es noch einen anderen Ort wo ich etwas finden koennte/muesste falls ein Spammer eins meiner Formulare missbraucht haben sollte?

Wie gesagt, ich bin mir ziemlich sicher dass dies nicht der Fall ist, aber will doch mal lieber nachfragen.

--
Ich geh' dann mal bounces loeschen...
Armin

  1. Moin!

    Woran kann ich erkennen ob der Spammer das Formular auf der Seite missbraucht hat oder ob es sich wie vermutet um den gefaelschten Absender handelt?

    An der empfangenen Mail wohlmöglich.

    Wenn es sich tatsächlich um einen echten Bounce handelt, dann steht in diesem Bounce der Header der fehlgeschlagenen Mail drin. Und dieser Header enthält die Quelle, von wo der bouncende Mailserver diese Mail erhalten hat.

    Andererseits kann der Bounce natürlich auch gefälscht sein - das kann man anhand der Header des Bounces so ungefähr abschätzen. Wenn diese Angabe logisch schlüssig aussieht und auch mit z.B. Whois-Daten und DNS-Einträgen korrespondiert, deutet das auf eine gewisse Wahrheit der Angaben hin.

     - Sven Rautenberg

    -- My sssignature, my preciousssss!
    1. After Noon!

      Wenn es sich tatsächlich um einen echten Bounce handelt, dann steht in diesem Bounce der Header der fehlgeschlagenen Mail drin. Und dieser Header enthält die Quelle, von wo der bouncende Mailserver diese Mail erhalten hat.

      Bounces habe ich ja genug (>1250 sollten ausreichen...), die werde ich mir heute abend mal genauer ansehen.

      Nach einem kurzen Blick scheinen die meisten etwas in der Art im Header zu haben:

      Received: from unknown (HELO grewe.co.uk) (209.51.143.202)
        by mail1.hostingplatform.com with SMTP; 23 Nov 2005 13:07:37 -0000
      Received: from gmilumfg([235.181.89.160]) by grewe.co.uk (AIMC 2.9.5.4) with SMTP id UDgka3XXDh0E for derk@tmssoftware.com;Wed, 23 Nov 2005 6:12:0 +0800(CST)

      oder auch:

      Received: from ctsmtpmx8.frontal.correo ([213.4.149.64]) by
                telesmtp2.mail.isp (terra.es) with ESMTP id IQES5401.7LQ for
                deleston.ashely@telefonica.net; Wed, 23 Nov 2005 14:00:40 +0100
      Received: from grewe.co.uk (213.161.194.234) by ctsmtpmx8.frontal.correo (7.2.056.5)
              id 435DB0960077D106 for deleston.ashely@telefonica.net; Wed, 23 Nov 2005 14:00:39 +0100
      Received: from ypsanuwf([117.231.28.165]) by grewe.co.uk (AIMC 2.9.5.4) with SMTP id rx58IIB71JYr for deleston.ashely@telefonica.net;Wed, 23 Nov 2005 14:4:39 +0800(CST)

      Jetzt muss ich den Kram nur noch alles richtig verstehen...

      --
      Spamverstehpause! Ich muss jetzt richtig arbeiten,
      Armin

      1. Moin!

        Nach einem kurzen Blick scheinen die meisten etwas in der Art im Header zu haben:

        Received: from unknown (HELO grewe.co.uk) (209.51.143.202)
          by mail1.hostingplatform.com with SMTP; 23 Nov 2005 13:07:37 -0000

        Das ist schon die wichtige Information. In der Regel kann man nur der allerersten Received-Zeile wirklich trauen, weil die vom (hoffentlich) vertrauenswürdigen Empfängerserver hinzugefügt wurde. Alle nachfolgenden Zeilen kann der Sender nach Belieben als Bestandteil des Mailtextes selbst definieren (und damit in die Irre führen).

        In der Zeile steht:
        - die IP-Adresse des einliefernden Clients (209.51.143.202).
        - der rückwärts aufgelöste DNS-Name dieser IP (unknown - ging hier also nicht)
        - der beim HELO-Kommando verwendete Name (den kann man sich beliebig ausdenken als Sender)

        In der Fortsetzungszeile (erkennbar an der Einrückung) steht dann, welcher Server der Empfänger war, und wann die Mail reinkam.

        Zusätzlich könnte dort auch noch stehen, an welche Zieladresse laut Sender die Mail gehen sollte (die Mail kann durch interne Weiterleitung am Ende ja ganz woanders im Postfach landen).

        Da die IP auf einen amerikanischen Provider auflöst, und der Rechner "grewe.co.uk" eine ganz andere IP hat, dürfte anzunehmen sein, dass dein Formular nicht mißbraucht wurde.

        Received: from gmilumfg([235.181.89.160]) by grewe.co.uk (AIMC 2.9.5.4) with SMTP id UDgka3XXDh0E for derk@tmssoftware.com;Wed, 23 Nov 2005 6:12:0 +0800(CST)

        Diese nachfolgende Zeile dürfte komplett gefälscht sein.

        oder auch:

        Received: from ctsmtpmx8.frontal.correo ([213.4.149.64]) by
                  telesmtp2.mail.isp (terra.es) with ESMTP id IQES5401.7LQ for
                  deleston.ashely@telefonica.net; Wed, 23 Nov 2005 14:00:40 +0100
        Received: from grewe.co.uk (213.161.194.234) by ctsmtpmx8.frontal.correo (7.2.056.5)
                id 435DB0960077D106 for deleston.ashely@telefonica.net; Wed, 23 Nov 2005 14:00:39 +0100
        Received: from ypsanuwf([117.231.28.165]) by grewe.co.uk (AIMC 2.9.5.4) with SMTP id rx58IIB71JYr for deleston.ashely@telefonica.net;Wed, 23 Nov 2005 14:4:39 +0800(CST)

        Diese Zeilen sehen alle komplett seltsam aus, weil sie nahezu keine öffentliche Top-Level-Domain verwenden. Die IP der ersten Zeile ist von einem spanischen Provider.

         - Sven Rautenberg

        -- My sssignature, my preciousssss!
    2. Hi Sven!

      An der empfangenen Mail wohlmöglich.

      Du machst mich ganz wuschig. :)

      Ich habe jetzt recherchiert und nachgefragt und bin der Meinung, dass das Wort "wohlmöglich" in der deutschen Sprache nicht existiert.

      Oder irre ich mich. Du meintest doch "womöglich" im Sinne von "vielleicht", oder?

      MfG H☼psel

      Selfcode: ie:% fl:( br:> va:) ls:& fo:) rl:? n4:& ss:| de:] js:| ch:? sh:( mo:) zu:)

      -- "It's amazing I won. I was running against peace, prosperity, and incumbency."
      George W. Bush speaking to Swedish Prime Minister unaware a live television camera was still rolling, June 14, 2001
      1. Moin!

        Du machst mich ganz wuschig. :)

        Ich habe jetzt recherchiert und nachgefragt und bin der Meinung, dass das Wort "wohlmöglich" in der deutschen Sprache nicht existiert.

        Hehe ;)

        http://www.googlefight.com/index.php?lang=en_GB&word1=wom%F6glich&word2=wohlm%F6glich

         - Sven Rautenberg

        -- My sssignature, my preciousssss!
  2. Nabend,
    willkommen im Klub bei mir geht es seit Tagen Reihum.
    Irgeneine Domain wird immer vollgeballert.
    Wobei die Header sich ziemlich unterscheiden.

    Vor allen Dingen AOL blacklisted die Adressen.
    Das führt dann dazu, dass AOL Menschen keine Mail von Dir empfangen können.

    Viele Grüße TomIRL

    1. Moin!

      Vor allen Dingen AOL blacklisted die Adressen.
      Das führt dann dazu, dass AOL Menschen keine Mail von Dir empfangen können.

      Der Hostblogger streitet sich derzeit immer noch mit AOL, weil AOL _seine_ Server blacklistet, weil seine User ein Mailforwarding zu AOL eingerichtet haben - und dann natürlich Spam-Mails auch weitergeleitet werden.

      Bei AOL scheint so langsam ein Lernprozess deswegen eingesetzt zu haben - zumindest in diesem konkreten Fall.

      Andererseits: Basierend auf irgendwelchen angeblichen Mailadressen zu filtern - das würde ich selbst AOL nicht zutrauen. Die filtern, so wie jede anständige Blacklist, basierend auf der einliefernden IP. Und dann ggf. auf Content.

       - Sven Rautenberg

      -- My sssignature, my preciousssss!
      1. Moin!

        Andererseits: Basierend auf irgendwelchen angeblichen Mailadressen zu filtern - das würde ich selbst AOL nicht zutrauen. Die filtern, so wie jede anständige Blacklist, basierend auf der einliefernden IP. Und dann ggf. auf Content.

        Meine Erfahrung ist nicht die konkrete Adresse, die Adressen die vom Spammer als Adresse angeben werden sind bei mir wie vermutlich auch bei Armin immer unterschiedlich.
        Die Absenderadresse variert von afgt@example.com bis zu tom@...
        Über sämtliche Namen die man sich nur vorstellen kann.
        Meist blacklisten die komplette Domain.

        Viele grüße TomIRL

        1. Eve Ning!

          Meine Erfahrung ist nicht die konkrete Adresse, die Adressen die vom Spammer als Adresse angeben werden sind bei mir wie vermutlich auch bei Armin immer unterschiedlich.

          Ja, scheint so ungefaehr ein Dutzend pro Addresse zu sein, dann kommt wieder eine andere.

          Die Absenderadresse variert von afgt@example.com bis zu tom@...
          Über sämtliche Namen die man sich nur vorstellen kann.

          Ja, zumindest dieses Mal. Das ist alles sowas wie lrqrwt@example.com, letztes Mal waren es soweit ich mich entsinnen kann lauter Fantasienamen im Format beverly.miller@example.com.

          Meist blacklisten die komplette Domain.

          Ich meine aehnliches auch irgendwo bei der Spamhuntress gelesen zu haben, muss ich bei Gelegenheit mal nach suchen.

          --
          Und weiter,
          Armin

    2. Eve Ning!

      willkommen im Klub bei mir geht es seit Tagen Reihum.

      Bis jetzt sind sie bei mir erst bei der zweiten Domain angelangt, ein paar habe ich noch...

      Wobei die Header sich ziemlich unterscheiden.

      Leider habe ich die vom letzten Mal nicht mehr, deswegen kann ich das nicht mehr pruefen.

      Vor allen Dingen AOL blacklisted die Adressen.
      Das führt dann dazu, dass AOL Menschen keine Mail von Dir empfangen können.

      Das habe ich auch schon gehoert, zum Glueck kenne ich fast niemanden mit AOL-Adresse. Schicken die dann eigentlich einen Bounce zurueck oder verschwindet die mail einfach ins Nichts?

      --
      Und wieder an die Arbeit,
      Armin

      1. Hallo Armin,

        Das habe ich auch schon gehoert, zum Glueck kenne ich fast niemanden mit AOL-Adresse. Schicken die dann eigentlich einen Bounce zurueck oder verschwindet die mail einfach ins Nichts?

        Nach meiner Erfahrung (als gelegentlicher ebay-Teilnehmer) ist AOL ein schwarzes Loch, in dem Mails verschwinden und nie wieder auftauchen. Zumindest hatte ich mit AOL-Usern schon des öfteren Unstimmigkeiten, die irgendwann darauf hinausliefen, dass meine Mail an den anderen Teilnehmer im elektronischen Nirwana verschwunden und nie angekommen ist. Passiert bei AOL wohl auch öfter mal ohne nachvollziehbaren Grund.

        Have a nice evening,

         Martin

        --
        Nicht jeder, der aus dem Rahmen fällt, war vorher im Bilde.

      2. Nabend

        willkommen im Klub bei mir geht

        Das habe ich auch schon gehoert, zum Glueck kenne ich fast niemanden mit AOL-Adresse. Schicken die dann eigentlich einen Bounce zurueck oder verschwindet die mail einfach ins Nichts?

        Bisher kam immer eine Meldung zurück.

        Viel mehr nervt mich an, dass meine Domain schon seit 3 Tagen davon betroffen ist. Au´ßerdem ist merkwürdig, dass nur Domains betroffen sind die im Forum veröffentlicht wurden, und die .com sind.
        Können andere Nutzer hier ähnliches vermelden oder liegt es am .com?
        Viele Grüße TomIRL

        1. Hi,

          Viel mehr nervt mich an, dass meine Domain schon seit 3 Tagen davon betroffen ist. Au´ßerdem ist merkwürdig, dass nur Domains betroffen sind die im Forum veröffentlicht wurden, und die .com sind.

          zum ersten Sachverhalt ja, zum zweiten nein. Bei mir ist die Domain betroffen, die hier angegeben ist - allerdings .de.

          Einen Zusammenhang würde ich aber nicht unbedingt herstellen. Vorher war eine Domain betroffen, die so gut wie nicht verlinkt ist.

          Viele Grüße in den Süden

          Jörg

        2. Eve Ning!

          Viel mehr nervt mich an, dass meine Domain schon seit 3 Tagen davon betroffen ist.

          Das ist meines Wissens nicht ungewoehnlich und kann durchaus auch laenger dauern.

          Au´ßerdem ist merkwürdig, dass nur Domains betroffen sind die im Forum veröffentlicht wurden, und die .com sind.

          Meine betroffenen Domains sind an den verschiedensten Stellen veroeffentlicht, daran wird es nicht liegen.

          Können andere Nutzer hier ähnliches vermelden oder liegt es am .com?

          .com ist moeglich aber unwahrscheinlich. Eine meiner betroffenen Domains ist .com, die andere .co.uk. Mit .de kann ich nicht dienen, deshalb weiss ich das nicht.

          --
          Essen fassen!
          Armin

        3. Moin!

          Können andere Nutzer hier ähnliches vermelden oder liegt es am .com?

          Nein. Ich hatte das auch schon mit fastix.de- und ich hatte es auch nur bemerkt, weil ich "catch all" seinerzeit aktiviert hatte.

          MFFG (Mit freundlich- friedfertigem Grinsen)

          fastix®

          --
          Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development