[leicht OT] SPAM als Bounces der eigenen Domain mit Schadcode im Gepäck

django at nausch.org django at nausch.org
Mi Sep 9 15:52:34 CEST 2015


Servus,

in den Jahren in den ich mich nunmehr mit Mailservern beschäftigte,  
dachte ich eigentlich ich hab schon viel gesehen. Tja, falsch gedacht,  
denn seit gestern bin ich ein kleines Stückchen weiser - O.K., das ist  
bei mir Gerüchten nach relativ einfach, aber was sollst.

Nun gut, gestern wurde groß Alarm geschlagen, da bei einer Kollegin  
plötzlich hunderte Mails (Bounces) aufschlugen und sie von dritter  
Seite gleich angeschissen wurde, sie habe in einer Spammail auf einen  
Link geklickt oder ein Attachment geöffnet zu haben. Schnell konnte  
ich klären und beweisen, dass die Kollegin gar nichts gemacht haben  
kann. Weder von Ihrem Account noch von einem anderen wurden, noch auf  
irgend einem der Mailserver beim Kunden hat in der Zeit irgendwas in  
der Art und Weise verschickt.

Eigentlich ist an der Sache ja nicht ungewöhnliches, kennen wir doch  
Adressfälschungen und Backscatter doch schon etwas länger. Was mich  
aber nun stutzig machte, war der Umstand, dass in dem  
"zurückbekommenen Bounce" eine ZIP-Archiv mit einer .exe enthalten  
war. MOMENT, dachte ich mir, dafür haben wir doch extra eigene Regeln  
in unseren AMaViS-Cluster, die eben Nachrichten mit derartigem  
potentiellen Schadcode gar nicht erst annehmen soll. Kurz brach der  
Angstschweis aus, da ich mich selbst verdächtigte in einer der vielen  
dunklen Minuten (bei dem der schwarze Hund mich mehr beschäftigte als  
die Arbeit) etwas verkonfiguriert zu haben. Aber auch das konnte ich  
sehr schnell widerlegen, da alle Versuche solch präparierte  
Nachrichten an "mir selbst" vorbeizuschleusen, allesamt zum Scheitern  
verurteilt waren.

Also zurück auf Anfang und aus den Maillogs der verschiedenen Systeme  
die Log-Zeilen herausgesucht. Denn irgendwo muss es ja einen Grund  
geben, warum der gefakte Bounce mit dem Schadcode im Anhang  
durchgewunken wurde. Der Versuch den Schadcode in einer Standardmail  
verpackt zu empfangen klappt jedoch nicht. Das einzigste, was ich da  
nun entdeckt habe, war auf dem AMaViS-Cluster:

Sep  8 13:17:10 amavis-cluster-by amavis[23088]: (23088-10) bounce  
rescued by domain (DSN), <> -> <redacted at example.com>, date: Tue, 8  
Sep 2015 12:41:24 +0200, from: Rosenbaum Group <redacted at example.com>,  
message-id: <HDmUIBRrPV7ZeJ2q0r2ttvv at example.com>, return-path:  
redacted at example.com

Hä, "bounce rescued by domain" sagt mir nix, als Tante Google befragen  
und folgende beiden Seiten entdeckt:

https://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg11245.html
http://sourceforge.net/p/amavis/mailman/amavis-user/thread/201010051713.38050.stefan@localside.net/

O.K. $bounce_killer_score habe ich gefunden, der Wert wurde bis dato  
nicht angefasst, steht er beim Defaultwert:
  $bounce_killer_score = 100;  # spam score points to add for  
joe-jobbed bounces

Darum habe ich mich auch bis jetzt noch nie so richtig beschäftigt,  
weder in Berlin noch in München wurde das Thema erwähnt hehe - kleiner  
Wink mit dem Zaunpfahl ;)

Wie kann ich nun meine AMaVis'e dazu bewegen, gefakte Bounces zu  
erkennen und deren Annahme zu verweigern? Alternativ dazu, muss ich  
dann für solche Fälle eben doch eine Quarantäne vorhalten und  
derartigen Müll nicht zum Endkunden zurückzuwerfen. Also Raus aus dem  
Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem  
angeblichen bounce killer feature einlesen und beeinflussen kann.


Servus
Django

-- 
http://dokuwiki.nausch.org
http://wetterstation-pliening.info
http://ebersberger-liedersammlung.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 836 bytes
Beschreibung: Digitale PGP-Signatur
URL         : <http://de.postfix.org/pipermail/postfix-users/attachments/20150909/96a16ed1/attachment.sig>


Mehr Informationen über die Mailingliste postfix-users