Es kommt leider immer wieder vor, dass unser Mail Server auf einer Spam Blacklist landet. Das ist sehr ärgerlich, denn es betrifft alle Benutzer unserer Mail Server, die dann Probleme beim Versand von E-Mails bekommen.

Wie kann so etwas passieren?

Es ist meistens so, dass einer der Nutzer unseres Mailservers daran schuld ist, dass SPAMs versendet werden. Unser Mailserver nimmt als Absendeadresse nur noch existierende Mail Adressen am Server an. (Das Internet Mail Versandprotokoll SMTP erlaubt ja grundsätzlich eine beliebige Mail Adresse einzusetzen). Daher ist es aus Berichten über SPAM Versand leicht zu erkennen welche Mail Adresse die Mails versendet hat.

Es gibt nun wenige Möglichkeiten wie diese SPAM über eine Mailbox auf unserem Server versendet werden kann:

1) Das Passwort wurde erraten

Es gibt viele Benutzer, die noch immer der Meinung sind, es ist egal, wenn sie ein einfaches Passwort verwenden – denn es sei ohnehin niemand an ihren E-Mails interessiert. Das mag schon stimmen – und ist auch für uns nicht das Problem – wenn jemand die E-Mails anderer Leute liest. Das Problem mit solch einfachen Passwörtern ist, dass sie leicht erraten werden können. Wenn also ein Spammer eine E-Mail-Adresse sucht, über die er seinen SPAM versenden kann, dann wird so lange ein Passwort ausprobiert, bis es passt. Unser Mailserver sperrt die Mailbox, wenn 10x hintereinander ein falsches Passwort eingegeben wird. Da das ausprobieren der Passwörter automatisch passiert und nicht durch eine Person – kann dieses Programm aber die Passwörter auch sehr langsam ausprobieren (etwa z.B. alle 15 Minuten ein Versuch) – dann bekommt unser Mailserver das nicht mit – und das Programm kann dann das einfache Passwort erraten. Ab diesem Zeitpunkt wird dann die Mailbox unseres Kunden für den Versand von SPAM verwendet.

Die Lösung in diesem Fall ist das Kennwort (diesmal auf ein komplexeres – nicht zu erratendes) zu ändern.

2) Man hat sich eine Malware am eigenen PC eingefangen

Wenn man sich einen Virus oder andere Malware am eigenen PC eingefangen hat, dann hat diese Schadsoftware vollständigen Zugriff auf den eigenen PC und damit auch auf die Benutzerdaten des Mail Accounts – bzw. gleich auf das ganze Mailprogramm. Der Spammer kann also im Hintergrund unbemerkt vom Benutzer des PCs – tun und lassen was er möchte. D.h. der eigene PC verschickt im Hintergrund massenhaft Spammails und der Benutzer merkt es nicht einmal.

Die Lösung in diesem Fall ist leider nicht das Passwort zu ändern, denn die Schadsoftware hat ja Zugriff auf den PC (auch mit dem neuen Passwort) und der Versand würde weitergehen. Die Lösung in diesem Fall heißt im Grunde den PC neu aufsetzen und die Daten zu migrieren (das Reinigen eines PCs von solcher Malware ist sehr schwierig, und man kann nicht garantieren, dass dabei etwas übersehen wird. Vorbeugend benötigt JEDER Computer einen Virenscanner (und wenn es nur der gratis Defender von Microsoft ist) und eine Firewall (die auch in allen aktuellen Windows Versionen gratis dabei ist. Zusätzlich muss der PC immer am aktuellen Patch Stand (Windows Update) gehalten werden. Ich lese immer wieder von Benutzern die stolz darauf sind, Windowsupdate abgedreht zu haben. Diese Vorgehensweise ist gleich zu setzen damit, wenn sie fortgehen und ihre Wohnungstüre offenstehen lassen. Wenn sie zurückkommen, ist die Wahrscheinlichkeit recht hoch, dass jemand die Wohnung ausgeräumt hat. Das ist bei Ihrem PC (oder natürlich Handy) auch so.

3) Sie verwenden IMAP4 oder POP3 unverschlüsselt auf ihrem Smartphone

Die beiden E-Mail Protokolle übertragen standardmäßig alles unverschlüsselt über die Leitung. Daher auch Benutzerkennung und Passwort werden von den beiden Protokollen im Klartext über die Leitung übertragen. (Ob jemand ihre E-Mails mitliest ist uns wie oben beschrieben eigentlich egal). Das Problem dabei ist nun weniger ihr Stand-PC zu Hause, sondern ihr Notebook, Tablet oder Smartphone im gratis WLAN unterwegs. Wenn sie sich mit ihrem PC in ein gratis- WLAN einloggen, dann kann jedermann in ihrer Umgebung fröhlich die Kommunikation zwischen ihrem Gerät und der weiten Welt abhören. Damit kann jemand an einem Vormittag in einem Fast Food Lokal hunterte UserID’s und Passwörter abernten, weil noch immer sehr viele sich nicht darum kümmern, ob ihre Kommunikation verschlüsselt ist.

Wie finde ich heraus dass ich SPAM versende?

In unserem Fall merkt der Benutzer das relativ rasch. Da bei uns die Absendeadresse die korrekte Mailadresse sein muss, bekommt man innerhalb von relativ kurzer Zeit eine Menge an Unzustellbarkeitsmeldungen in die eigene Mailbox. Die Nachrichteninhalte, die zurückkommen sind relativ eindeutig SPAM und man ist sich sicher die Nachrichten nie verschickt zu haben.

Die zweite Möglichkeit ist, dass wir schneller darauf kommen, als der Benutzer selbst, und wir das Kennwort ändern. Der Benutzer kann sich damit in die Mailbox nicht mehr einloggen.

Was kann ich tun, wenn ich merke dass über meine Mail Adresse SPAM versendet wird?

  1. Einen Virenscan / Malware Scan auf allen Geräten durchführen
  2. Wenn die Geräte sauber sind, das Kennwort des Mailpostfachs ändern
    Bitte verwenden Sie ein Kennwort, das nicht gleich erraten werden kann.

Wie gelangt unser Mailserver auf eine Blocklist?

Blocklists arbeiten mittlerweile auch vollautomatisch. Diese Blocklists sind im Grunde genommen öffentliche Verzeichnisse in der Mailserver eingetragen werden, die SPAM Verschicken. Es wird also nicht die Absendeadresse des SPAM Versenders gesperrt (die kann ja frei erfunden sein), sondern der gesamte Mailserver. In unserem Fall können dann tausende Mailboxen nicht mehr vernünftig Mails versenden. Diese Blocklists werden nicht händisch gewartet, sondern automatisch gefüttert. Dazu dienen sogenannte Honeypot Adressen. Diese Maiadressen werden von keiner Person verwendet und sind nur für den Zweck aufgesetzt worden, dass dort jemand SPAM hinschickt. Die Mailadressen sind oft auch im Internet veröffentlicht (auf beliebigen Webseiten). SPAM Versender sammeln e-Mail Adressen zusammen und versenden dann an jede Adresse deren sie habhaft werden können (eben auch an diese Honeypot Adressen). Sollte nun an einer solchen Honeypot Adresse eine E-Mail ankommen, dann wird der Server von dem diese Mail kommt automatisch auf die SPAM Blocklist gesetzt.

Es gibt mittlerweile hunderte solcher Blocklists. Oft erfährt man als Mailserver Betreiber nicht einmal warum man auf der Liste gelandet ist. Manche der Listen erlauben es dass man den Mailserver wieder aus der Liste austrägt. Andere wiederum erlauben das nicht – und der Mailserver wird automatisch nach einer gewissen Zeit wieder ausgetragen, wenn in der Zeit keine SPAM Mail mehr versendet wurde. Das macht es natürlich schwer, wenn man auf einer solchen Blocklist gelandet ist. Der Server hat dann oft tagelang Probleme beim Mailversand, weil manche Mailserver eine der betroffenen Blocklists verwenden und keine Mail von unserem Server mehr annehmen.

 

 

Follow me on

Werner Illsinger

Chief Technology Officer bei CC Communications
Werner Illsinger ist systemischer Coach, Unternehmensberater sowie Lektor an der FH-Kärnten. Sein Herzensanliegen ist es, dass Arbeit Spaß macht.
Follow me on

Letzte Artikel von Werner Illsinger (Alle anzeigen)