Ich glaub, ich spamme!

Spammer verwenden natürlich nie ihre eigenen Postfächer, um die unerwünschte Werbung zu verschicken, sondern missbrauchen dafür die E-Mailadressen von zunächst ahnungslosen Nutzern.

Wird die eigene E-Mailadresse für den Spamversand missbraucht, bekommt man das meist recht zügig mit. Die Spammails, die nicht zugestellt werden konnten, werden mit einer Fehlermeldung zurück an den vermeintlichen Absender geschickt, so dass das Postfach sich schnell mit Fehlerbenachrichtigungen (sogenannten „Bounces“) füllt.

Erhält man Bounces, heißt das jedoch nicht immer gleichzeitig, dass ein Spammer das Passwort kennt. Es kann verschiedene Ursachen haben, dass Spam über ein Postfach verschickt wird:

Joejob

Als Joejob werden Spammails mit einem gefälschten Absender bezeichnet, benannt nach seinem ersten Opfer.
Das bedeutet, es werden Spammails versandt, bei denen einfach „irgendeine“ Absenderadresse eingetragen wird. Der Spamversand findet also nicht über das Postfach direkt statt, Empfänger sehen jedoch die angegebene Mailadresse als Absender, an die auch die Fehlerbenachrichtigungen über nicht zugestellte Mails zurückgeschickt werden.

Dagegen kann man leider nichts unternehmen,  aber…

– …anhand der Kopfzeilen einer solchen Spammail ließe sich nachvollziehen, dass der angegebene Absender nicht der wirkliche Absender der Nachricht ist
– …oftmals wird der Spam über <irgendwas>@domain.tld verschickt, wobei <irgendwas> gar nicht als E-Mailadresse eingerichtet ist. In diesem Fall macht es Sinn, die Catchall-Funktion zu deaktivieren, damit man die Bounces nicht mehr erhält
– …Empfänger der Spammails könnte man informieren, dass man selbst nicht für den Spamversand verantwortlich ist, indem man einen Hinweis auf seiner Webseite veröffentlicht

Opfer eines Joejobs zu sein ist ärgerlich, die Belästigung hört aber im Regelfall bereits nach einigen Tagen von selbst wieder auf.

Spamversand über ein Skript

Erhält man Bounces von Mails, die man selbst nicht verschickt hat, kann auch ein Skript auf dem Webserver dafür die Ursache sein. Mögliche Gründe sind beispielsweise ein unsicheres Kontaktformular, eine gehackte Datei oder eine andere ungeschützte Mailfunktion auf der Webseite.

Handelt es sich um Spamversand aufgrund einer unsicheren Mailfunktion, also z.B. durch ein ungeschütztes Kontaktformular, hilft meistens schon ein gutes Captcha, damit keine Spambots mehr Mails darüber versenden können.

Wurde die Webseite gehackt, ist oft eine veraltete Software die Ursache dafür. Zu diesem Thema haben wir bereits Beiträge veröffentlicht:

https://www.df.eu/blog/2012/11/19/software-aktualisieren/

https://www.df.eu/blog/2012/11/12/sicherheit-auf-dem-webserver-erhohen/

Handelt es sich um gehackte Skripte, müssten diese bereinigt und der Schadcode entfernt werden. Natürlich sollte auch unbedingt ein Sicherheitsupdate der eingesetzten Software eingespielt werden, damit die Sicherheitslücken geschlossen werden und künftige Hackerangriffe abgewehrt werden.

Wird Spam über Skripte versendet, bemerken das unsere Techniker sehr schnell und sperren das Skript. Diese Maßnahme ist notwendig, da sicher weder der Webseiteninhaber, noch wir den Spamversand unterstützen wollen.

Spamversand über das Postfach

Auch kann es passieren, dass der Spam direkt über das Postfach gesendet wird, in diesem Fall liegt dem Hacker das Passwort vor.
Wurde ein sehr einfaches Passwort verwendet, hat es der Hacker womöglich erraten.
Wir empfehlen daher immer, sichere Passwörter aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu verwenden.

Ansonsten ist ein Trojaner auf einem der Rechner, auf dem das Postfach eingerichtet wurde, die Ursache.
Findet der Spamversand direkt über unsere Server statt, bekommen unsere Techniker das auch mit und ändern das Passwort für den E-Mailaccount, damit keine weiteren Nachrichten durch den Spammer verschickt werden können. Das Passwort kann man jederzeit im Kundenmenü neu setzen, um den Mailaccount wieder nutzen zu können. Keinesfalls sollte jedoch das alte, bei dem Spammer bekannte Passwort verwendet werden.

Bevor man das Passwort ändert, ist eine Viren- und Trojanerprüfung der Rechner, auf denen das Postfach eingerichtet wurde, unbedingt notwendig!
Wird der Scanner nicht fündig, sollte ein zweiter verwendet werden.

Es ist empfehlenswert, sämtliche Passwörter zu ändern, die auf dem befallenen Rechner gespeichert waren, da der Trojaner möglicherweise noch andere Passwörter ausgelesen hat.

 

Wenn Sie einen Spamversand über Ihre E-Mailadresse vermuten, können Sie sich gerne an unsere Technikabteilung wenden. Senden Sie uns dabei möglichst eine Fehlerbenachrichtigung einer nicht zugestellten Spammail zu, da unsere Techniker aus dieser auslesen können, um welche Art des Spamversands es sich handelt und Ihnen bei Fragen natürlich immer gerne zur Seite stehen!

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

3 Kommentare


  • Enigma
    Enigma - 14. Juni 2013 um 04:10 Uhr

    Ein „echter“ Joe-Job dient dazu, jemanden gezielt zu diskreditieren. In dem Fall ist dann eher nicht damit zu rechnen, dass der Spuk nach ein paar Tagen von allein aufhört. 😉

  • Reseller4711
    Reseller4711 - 14. Juni 2013 um 08:37 Uhr

    Vielen Dank für den aufschlussreichen Artikel.

    Im Zeitalter der Content-Management-Systeme habe ich die Erfahrung gemacht, dass Punkt 2 „Spamversand über ein Skript“ doch recht häufig vorkommt, weil veraltete (unsichere) Systeme oder Erweiterungen zum Einsatz kommen. Auch technisch nicht versierte sollten daher immer bemüht sein, ihr CMS aktuell zu halten und alle nicht benötigen Erweiterungen zu deinstallieren. Nicht nur, dass Bounce-Mails lästig sind, es gilt auch insgesamt Spam (und Serverlast) zu vermeiden.

  • Sven
    Sven - 28. Juni 2013 um 21:09 Uhr

    Als Schutz vor solchen Bounces kann auf den sendenden und empfangenden Mail eigenen Mailservern mit BAT (BounceAddressTagvalidation) gearbeitet werden. Dann werden nur Bounces angenommen die auf Grund einer eigenen Mail erzeugt werden.