[leicht OT] SPAM als Bounces der eigenen Domain mit Schadcode im Gepäck
django at nausch.org
django at nausch.org
Mi Sep 9 15:52:34 CEST 2015
Servus,
in den Jahren in den ich mich nunmehr mit Mailservern beschäftigte,
dachte ich eigentlich ich hab schon viel gesehen. Tja, falsch gedacht,
denn seit gestern bin ich ein kleines Stückchen weiser - O.K., das ist
bei mir Gerüchten nach relativ einfach, aber was sollst.
Nun gut, gestern wurde groß Alarm geschlagen, da bei einer Kollegin
plötzlich hunderte Mails (Bounces) aufschlugen und sie von dritter
Seite gleich angeschissen wurde, sie habe in einer Spammail auf einen
Link geklickt oder ein Attachment geöffnet zu haben. Schnell konnte
ich klären und beweisen, dass die Kollegin gar nichts gemacht haben
kann. Weder von Ihrem Account noch von einem anderen wurden, noch auf
irgend einem der Mailserver beim Kunden hat in der Zeit irgendwas in
der Art und Weise verschickt.
Eigentlich ist an der Sache ja nicht ungewöhnliches, kennen wir doch
Adressfälschungen und Backscatter doch schon etwas länger. Was mich
aber nun stutzig machte, war der Umstand, dass in dem
"zurückbekommenen Bounce" eine ZIP-Archiv mit einer .exe enthalten
war. MOMENT, dachte ich mir, dafür haben wir doch extra eigene Regeln
in unseren AMaViS-Cluster, die eben Nachrichten mit derartigem
potentiellen Schadcode gar nicht erst annehmen soll. Kurz brach der
Angstschweis aus, da ich mich selbst verdächtigte in einer der vielen
dunklen Minuten (bei dem der schwarze Hund mich mehr beschäftigte als
die Arbeit) etwas verkonfiguriert zu haben. Aber auch das konnte ich
sehr schnell widerlegen, da alle Versuche solch präparierte
Nachrichten an "mir selbst" vorbeizuschleusen, allesamt zum Scheitern
verurteilt waren.
Also zurück auf Anfang und aus den Maillogs der verschiedenen Systeme
die Log-Zeilen herausgesucht. Denn irgendwo muss es ja einen Grund
geben, warum der gefakte Bounce mit dem Schadcode im Anhang
durchgewunken wurde. Der Versuch den Schadcode in einer Standardmail
verpackt zu empfangen klappt jedoch nicht. Das einzigste, was ich da
nun entdeckt habe, war auf dem AMaViS-Cluster:
Sep 8 13:17:10 amavis-cluster-by amavis[23088]: (23088-10) bounce
rescued by domain (DSN), <> -> <redacted at example.com>, date: Tue, 8
Sep 2015 12:41:24 +0200, from: Rosenbaum Group <redacted at example.com>,
message-id: <HDmUIBRrPV7ZeJ2q0r2ttvv at example.com>, return-path:
redacted at example.com
Hä, "bounce rescued by domain" sagt mir nix, als Tante Google befragen
und folgende beiden Seiten entdeckt:
https://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg11245.html
http://sourceforge.net/p/amavis/mailman/amavis-user/thread/201010051713.38050.stefan@localside.net/
O.K. $bounce_killer_score habe ich gefunden, der Wert wurde bis dato
nicht angefasst, steht er beim Defaultwert:
$bounce_killer_score = 100; # spam score points to add for
joe-jobbed bounces
Darum habe ich mich auch bis jetzt noch nie so richtig beschäftigt,
weder in Berlin noch in München wurde das Thema erwähnt hehe - kleiner
Wink mit dem Zaunpfahl ;)
Wie kann ich nun meine AMaVis'e dazu bewegen, gefakte Bounces zu
erkennen und deren Annahme zu verweigern? Alternativ dazu, muss ich
dann für solche Fälle eben doch eine Quarantäne vorhalten und
derartigen Müll nicht zum Endkunden zurückzuwerfen. Also Raus aus dem
Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem
angeblichen bounce killer feature einlesen und beeinflussen kann.
Servus
Django
--
http://dokuwiki.nausch.org
http://wetterstation-pliening.info
http://ebersberger-liedersammlung.de
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : nicht verfügbar
Dateityp : application/pgp-signature
Dateigröße : 836 bytes
Beschreibung: Digitale PGP-Signatur
URL : <http://de.postfix.org/pipermail/postfix-users/attachments/20150909/96a16ed1/attachment.sig>
Mehr Informationen über die Mailingliste postfix-users