TS: Spam im Mailserver

Hello,

ich habe da einen recht merkwürdigen Spam in meinem Mailserver. Am 22. und 23.05 sind 59 eMailversuche an "karl.hildenbeutel@example.org" (immer derselbe Zielname) eingetrudelt und soweit ich das überblicken kann, alle von einer anderen IP aus und mit einem anderen Absendernamen.

Sie wurden vom Mailserver selbstverständlich nicht vermittelt, weil der Hostname nicht rückwärts aufgelöst werden konnte und "Karl.Hildenbeutel" bei uns auch kein Konto hat.

Wie kann denn sowas sein? Ist das DDOS? Und wieso dann nur an einen Zielnamen?

Nachdem ich die letzen Tage ca. 8 Mio chinesische IPs rausgeschmissen hatte (den Sch... kann bei uns sowieso keiner lesen, den die uns dauernd schicken), war auf dem Mailserver ziemliche Funkstille eingekehrt, eben bis auf diese Hildenbeutel-Mails und den tatsächlichen Nutzverkehr.

Liebe Grüße
Tom S.

--
Es gibt nichts Gutes, außer man tut es
Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
  1. Wie kann denn sowas sein?

    Nennt sich "Grundrauschen". Der Begriff stammt aus der Funktechnik und das Rauschen aus dem Universum. Reines SMTP (das "S" steht für "simple") ist per Design "nicht vertrauenswürdig".

    Ist das DDOS?

    Ich zitiere Dich mal:

    Am 22. und 23.05 sind 59 eMailversuche

    Das zwingt (hoffentlich) keinen Server in die Knie. Also ein Raspi überlebt das. Jedenfalls mit Linux oder *BSD.

    Und wieso dann nur an einen Zielnamen?

    Wozu ändern? Das ist eh nur ein Test ob die Mails angenommen werden.

    1. Hello,

      Wie kann denn sowas sein?

      Nennt sich "Grundrauschen". Der Begriff stammt aus der Funktechnik und das Rauschen aus dem Universum. Reines SMTP (das "S" steht für "simple") ist per Design "nicht vertrauenswürdig".

      Bevor ich die Chinesen ausgesperrt hatte, hatte ich ca. 3.000 bis 4.000 Rejected pro Stunde. Nun sind es vielleicht noch 150. Sonst wären mir diese 59 in zwei Tagen mit unterschiedlichen Absender-IPs vermutlich gar nicht aufgefallen.

      Ich suche ja auch nur eine Erklärung für diesen merkwürdigen Zufall, dass die alle denselben Mailempfänger (den es bei uns nicht ginbt und nie gab) benutzt haben.

      Liebe Grüße
      Tom S.

      --
      Es gibt nichts Gutes, außer man tut es
      Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
    2. Hello,

      Ist das DDOS? Und wieso dann nur an einen Zielnamen?

      Wozu ändern? Das ist eh nur ein Test ob die Mails angenommen werden.

      Aber die Absender-IPs (nur schwer fälschbar, wenn man nicht direkt vor meiner Wohnung in der Leitung sitzt), sind alle verschieden.

      Ich habe das aus technischem Interesse noch ein wenig weiter verfolgt. Die untersuchten Absender-Domains stehen alle auf dem Index bei ESET als Verbreiter von "Wanna-Cryptor", einer Spielart/Vorstufe der beiden anderen Dinger da (Eternal Blue, . ).

      Ist also vermutlich doch nicht so ganz ohne!
      Inzwischen sind es 91 Versuche.

      Liebe Grüße
      Tom S.

      --
      Es gibt nichts Gutes, außer man tut es
      Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
      1. Und wieso dann nur an einen Zielnamen?
        Wozu ändern? Das ist eh nur ein Test ob die Mails angenommen werden. Aber die Absender-IPs ... sind alle verschieden.
        … Die untersuchten Absender-Domains stehen alle auf dem Index bei ESET als Verbreiter von "Wanna-Cryptor"

        Also ist es Software. Die denkt sich nicht selbst neue Namen für den Userpart der Mailadresse aus, das müsste jemand programmiert haben. Hat er nicht? Dann ist es die angesprochene Faulheit, die hier auf die nicht bestehende Notwendigkeit zurückgeführt wird. "Catch-All" - Konfigurationen empfangen das und das ist es, was der Verbreiter/Programmierer will. Das verschiedene Installationen jetzt Deinen Server belästigen ist darauf zurückzuführen, dass der Programmierer entweder keine Ahnung davon hat, wie man solche verteilte Angriffe "unter dem Radar" hält oder dass er absichtlich (Desinteresse an Deiner und anderer Leute Befindlichkeit) keinen Hirnschmalz investiert hat.

        Ist also vermutlich doch nicht so ganz ohne!
        Inzwischen sind es 91 Versuche.

        Und trotzdem ist es einfach nur "Grundrauschen". Auch die Röntgen- oder Gamma-Strahlung aus dem All ist schädlich. Das regt niemanden besonders auf, jedenfalls nicht in dem Sinne, dass deshalb ein Angriff der Aliens behauptet wird.

      2. Wozu ändern? Das ist eh nur ein Test ob die Mails angenommen werden. Aber die Absender-IPs (nur schwer fälschbar, wenn man nicht direkt vor meiner Wohnung in der Leitung sitzt), sind alle verschieden.

        Dass für solcherlei Kram nicht eigens ein Server angemietet wird, sondern Netzwerke aus Tausenden gekaperter Heim- und Büro-PCs, sollte eigentlich bekannt sein, ebenso der Umstand, dass die Dienste dieser Netzwerke mit wenigen Klicks kinderleicht bestellt werden können.

        Wegen fehlgeschlagenen

        91 Versuchen

        der Zustellung irgendwelchen Mailmülls Panik zu schieben ist ungesund. Deine Zeit wäre besser investiert gewesen, hättest du 91 Gänseblümchen im Garten gezählt.

        1. ... Panik zu schieben ist ungesund.

          Nur weil Du paranoid bist, heißt nicht, dass sie nicht hinter dir her sind!

          Gruß Jo

        2. Hello,

          Wegen fehlgeschlagener

          91 Versuche

          der Zustellung irgendwelchen Mailmülls Panik zu schieben ist ungesund.

          Nicht wegen der Zustestellung Panik zu schieben, sondern damit derartige Zustellungen auch in Zukunft fehlschlagen, ganz in Ruhe und entspannt über die Ereignisse nachzudenken, die man als Admin beobachtet und vorzudenken, was da denn noch kommen könnte, das ermöglicht mir, auch in Zukunft nicht in Panik zu verfallen.

          Und ich werde auch weiterhin öffentlich darüber berichten, was ich beobachte. Vielleicht hilft es dann auch mal jemandem, der nicht 91, sondern 91 Tausend solcher Versuche auf seinem Host feststellen musste.

          Liebe Grüße
          Tom S.

          --
          Es gibt nichts Gutes, außer man tut es
          Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.
  2. Meine Glaskugel sagt, schlecht konfigurierter Mailserver.

    Da testet wohl jemand, wie man das Ding mitbenutzen kann.

    Ich würde mir den Mailheader mal sehr genau mit einen Text-Editor ansehen. Nicht mit einem Mailprogramm, da könnte schon in der Ansicht was gefiltert sein.

    1. Hello,

      Meine Glaskugel sagt, schlecht konfigurierter Mailserver.

      Wie meisnt Du das?

      Da testet wohl jemand, wie man das Ding mitbenutzen kann.

      Das war meine erste Idee. Aber wie JR schon schrieb: 59 suspekte Mailversuche in 2 Tagen sind ja nur ein "DDOSlein", kein echter DDOS. Da kämen die Versuche innerhalb einer Millisekunde :-O

      Mich hat nur stutzig gemacht, dass vermeintlich 59 unterschiedliche Absender (fälschbar) mit 59 verschiedenen Absender-IPs (nicht fälschbar, dann würde per SMTP kein Dialog zwischen den Mailservern zustande kommen) mit demselben kruden Empfängerkonto kommunizieren will.

      Ich würde mir den Mailheader mal sehr genau mit einen Text-Editor ansehen. Nicht mit einem Mailprogramm, da könnte schon in der Ansicht was gefiltert sein.

      Du hast aber schon gelesen, dass ich schrieb

      Sie wurden vom Mailserver selbstverständlich nicht vermittelt, weil der Hostname nicht rückwärts aufgelöst werden konnte und "Karl.Hildenbeutel" bei uns auch kein Konto hat` 
      

      Es sind also gar keine Mailheader erst angenommen worden. Das bewegte sich alles noch auf HELO-Ebene.

      Zweiter Deutungsversuch: Irgendwer hat an Hunderte von Firmen mal wieder eine eMailnamen-Sammlung verkauft mit erfundenen Mailnamen. Und 59 davon haben die nun am 22. und 23. zum Einstz gebracht.

      Liebe Grüße
      Tom S.

      --
      Es gibt nichts Gutes, außer man tut es
      Andersdenkende waren noch nie beliebt, aber meistens diejenigen, die die Freiheit vorangebracht haben.