„Abuse-Handling“ bei Spam über SMTP-Server

Es kommt vor, dass ein E-Mail-Account (lokal) gehackt und missbraucht wird oder ein Postfach für die Verbreitung von Spammails genutzt wird. Wir erhalten auch Anzeigen und Hinweise von Maildienstbetreibern und Nutzern, die sich durch E-Mails von bei uns verwalteten Domains belästigt fühlen und setzen natürlich selbst Prüfroutinen ein, um den Versand von Spammails über uns frühzeitig zu erkennen und zu unterbinden.

Die Bearbeitung dieser Anfragen und die Kontrolle sowie Erweiterung der vorbeugenden Maßnahmen zählen u.a. zum Aufgabengebiet der Kollegen des „Abuse-Teams“. So werden Kunden, über deren Account ein Versand von Spammails festgestellt wurde, beispielsweise in Form einer E-Mail benachrichtigt.

  • Doch wie verhält man sich richtig, hat man eine solche E-Mail erhalten?
  • Welche Dinge kann man unabhängig davon tun und selbst dem Missbrauch vorbeugen?

Diese Fragen werden wir nachfolgend gerne beantworten und erweitern damit unsere Reihe zum Thema Sicherheit im Webhosting, die wir in den vergangenen Wochen in Form verschiedener Beiträge hier im Blog veröffentlicht haben.

Was tun bei einer Mail mit dem Betreff „Spam über unsere SMTP Server // AN: “ ?

Haben Sie eine Nachricht mit dem Betreff „Spam über unsere SMTP Server // AN: “ von uns (Absender domainfactory / df.eu) erhalten, dann wurde ein Missbrauch einer Ihrer E-Mail-Accounts festgestellt und der Account vorsorglich gesperrt.

Wie wird ein solcher Missbrauch festgestellt?

Wir erhalten, wie eingangs schon kurz erwähnt, von anderen Providern und Betreibern von Mail-Diensten wie beispielsweise AOL, Hotmail, TrendMicro, Rackspace und vielen anderen jedes mal eine sog. „Abuse-Complaint“ (Beschwerde), wenn dort eine Nachricht als Spam erkannt wurde oder der User die Nachricht dort als Spam markiert hat.

Eine solche Beschwerde besitzt ein standardisiertes Format, genannt ARF (Abuse Reporting Format) und wird an eine extra dafür eingerichtete Adresse bei uns eingeliefert. Dort arbeiten zum größten Teil von uns selbst geschriebene Skripte und Programme diese Meldungen ab, prüfen diese auf bestimmte Kriterien und versehen die Meldung mit einem bestimmten Wert (Score).

Zu den Kriterien zählen beispielsweise

  • das Alter der gemeldeten Spammail
  • wurde die Beschwerde manuell von einem Benutzer ausgelöst, mittels Meldefunktion im E-Mail-Programm
  • von welchem Mail-Anbieter wurde die „Abuse-Complaint“ gesendet
  • etc.

Abhängig des jeweils erhaltenen Wertes und der Häufigkeit der Meldungen zu einem bestimmten Absender, gibt es weitere Kriterien und Stadien die durchlaufen werden. Wird schließlich einer der definierten Schwellwerte im System überschritten, erscheint beim Team eine Meldung mit den Ergebnissen der Prüfungen und Details wie z.B. dem initialen Score, der Anzahl an Beschwerden insgesamt, die Betreff-Zeile(n) etc.

Unser Abuse-Team prüft diese Meldung dann nochmals separat und entscheidet schließlich über das weitere Vorgehen, wie die Information an den Kunden und die Sperrung eines Account. Dabei wird dann auch berücksichtigt, ob es in der Vergangenheit schon einmal einen Vorfall beim jeweiligen Kunden gab und es evtl. sogar dasselbe Postfach betraf.

Wie wird das Problem gelöst?

Als unser Kunde erhalten Sie natürlich nicht nur eine E-Mail mit einer kurzen Notiz, sondern weitergehende Informationen, um einen solchen Vorfall in Zukunft verhindern zu können.

In den meisten Fällen wurde (nur) ein unsicheres Kennwort verwendet (12345, ein Name o.ä.). Hier reicht es aus, im Kundenmenü ein sicheres / komplizierteres Kennwort für den Account einzutragen.

In den übrigen Fällen wurde meist der PC des Benutzers mit einem Trojaner infiziert oder war es zumindest zeitweise, welcher das Kennwort aus dem E-Mail-Client aus- oder mitgelesen hat. In einem solchen Fall ist die umfangreiche Prüfung und Säuberung des Rechners unerlässlich und sollte in jedem Fall erfolgen, bevor das Kennwort anschließend geändert wird. Denn ansonsten kann der/ein Trojaner das neue Kennwort ebenfalls abgreifen.

Es gibt verschiedene Dienste und Tools, den Rechner zu säubern. Wir nennen im Regelfall in der E-Mail die Seite www.botfrei.de es gibt aber natürlich auch andere Dienste und Software dafür.

Besuchen Sie zur Säuberung des Rechner die Seite und navigieren Sie dort im Menü auf „Säubern (https://www.botfrei.de/decleaner.html). Laden Sie sich dort einen der angebotenen DE-Cleaner auf Ihren PC und führen Sie diesen aus. Je nach Version ist auch eine Installation erforderlich.

Wichtig: Wählen Sie unbedingt die Option zum Scannen der eigenen Dokumente mit aus!

Nach der Bereinigung sollten Sie dann Ihre Kennwörter ändern, da diese vom Trojaner bereits an Dritte gesendet worden sein können. Dies gilt nicht nur für das Kennwort Ihrer E-Mail-Adresse, sondern auch für FTP und andere Programme, mit denen Sie Zugangsdaten ins Netz übermitteln.

Rückmeldung per E-Mail

Haben Sie eine Nachricht von uns erhalten, der Sie über den Missbrauch einer Ihrer E-Mail-Accounts informiert hat, so vergessen Sie bitte nicht, nach dem Ausführen der Bereinigung und der Änderung des Passwortes auf diese Nachricht zu antworten und den Kollegen Ihre Aktionen mitzuteilen.
Sie erhalten anschließend von uns eine Rückmeldung, sobald Sie den E-Mail-Account wieder verwenden können. Bei Rückfragen zum Vorgehen können Sie sich natürlich jederzeit auch unabhängig davon an unseren technischen Support wenden.

Es empfiehlt sich den DE-Cleaner regelmäßig auszuführen, auch wenn kein Missbrauch vorliegt, um eine Infektion des Systems frühzeitig zu erkennen/beheben.

Wir hoffen auf Verständnis für unsere scharfe Vorgehensweise und „Null-Toleranz-Politik“ beim Thema Spammails und hoffen zugleich, die Sensibilität für das Thema bei Ihnen erhöht zu haben.

 

End of article

Dietmar

Über den Autor

Dietmar

Dietmar ist seit 2005 bei domainFACTORY in wechselnden Aufgabenbereichen tätig. Seit 2013 unterstützt er als "Spezialist Qualitätssicherung Web" die Kollegen in der Entwicklungsabteilung bei allen Themen rund um Quality Assurance / Testing. Dabei kommt ihm die jahrelange Erfahrung im direkten und indirekten Kundensupport und der Begleitung bei der Einführung unseres ResellerProfessional-Systems zu Gute. Auch für viele Kollegen ist er bei Fragen dazu oder sehr alten Tarif-Konstellationen noch immer gerne eine Anlaufstelle.

7 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • alexplus
    alexplus - 26. November 2012 um 14:11 Uhr

    Bei meinem früheren Hoster kam es vor, dass meine Mails als Spam markiert wurden und abgewiesen wurden, weil ein anderer Kunde des Hosters infizierte Skripte im Verzeichnis hatte.

    Eine Null-Toleranz-Politik empfinde ich daher als äußerst angenehm.

    Mich würde interessieren, ab welchem Level denn ein Kunde mit Aufmerksamkeit rechnen kann? Zum Beispiel, wenn ein Unternehmen regelmäßig hunderte Newsletter (nach Opt-In) verschickt und die Kunden nach einer Zeit die Mail lieber als Spam markieren, statt sich abzumelden. Was passiert dann?

  • Ich finde Klarnamen öde
    Ich finde Klarnamen öde - 26. November 2012 um 18:12 Uhr

    > Zum Beispiel, wenn ein Unternehmen regelmäßig hunderte Newsletter (nach Opt-In) verschickt und die Kunden nach einer Zeit die Mail lieber als Spam markieren, statt sich abzumelden. Was passiert dann?

    Das würde mich auch interessieren.

  • Michael
    Michael - 26. November 2012 um 18:23 Uhr

    Ich habe zu Zeiten vor RSS selbst schon viele Newsletter auf die oben beschriebene Art „abgemeldet“. War einfacher und man bekam keine nervenden Meldungen, „oooh, das finden wir aber schade, sind sie wirklich sicher…“

    Inzwischen lasse ich mir gar keine regelmäßigen Newsletter mehr zuschicken. Die sind dann meist so umfangreich, dass ich mir eh nicht alles durchlese.
    Und die Firmen die von alleine schicken weil ich mal was mit denen zu tun hatte aber nicht extra gesagt habe dass ich nen Newsletter will, landen im Papierkorb.

  • Lisa
    Lisa - 26. November 2012 um 21:19 Uhr

    Eigentlich sollte es jedem bekannt sein, das man Spam-Mails direkt löschen soll und nicht öffnen. vorallem keine Anhänge und auf keine Links gehen.

  • Dietmar Leher
    Dietmar Leher - 27. November 2012 um 10:11 Uhr

    Hallo,
    Betreiber von Newslettern sollten grundsätzlich mit dem Double-Opt-In Verfahren arbeiten und eine leichte Möglichkeit schaffen, sich von diesem auch wieder abzumelden. Gibt es mehrere Beschwerden (diese kann, muss aber nicht als Spam-Markiert uns erreichen) , so kontaktieren wir den Betreiber und bitten um eine Stellungnahme.
    Im Regelfall wird dann derjenige, der die E-Mail als störend gemeldet hat, auch einfach aus der Liste ausgetragen.

    Dieser Weg ist zwar einfach, aber wenn man sich sicher ist, dass man sich an dem Newsletter auch eingetragen hat, so sollte man den regulären Weg zur Abmeldung gehen. Die Meldung als Spam ist in diesem Fall nicht korrekt und verursacht bei vielen Parteien zusätzlichen Aufwand 🙁

  • Unbekannter
    Unbekannter - 27. November 2012 um 16:12 Uhr

    Mit AOL hat man in solchen Fällen leider sehr viel Ärger…

  • Günni Grashalm
    Günni Grashalm - 6. Dezember 2012 um 17:30 Uhr

    AOL lebt dermaßen in der Vergangenheit, dass es nicht mehr schön ist. Auch ich habe in diesem Fall massiven Ärger mit America Offline.