DNSBL vs. Backscatter

[GrooveAttack]

Hallo Intra2Net,

in regelmäßigen Abständen (etwa 1x monatlich) geraten wir auf die Blacklist von backscatterer.org - der tatsächliche "Angriff" dauert i.d.R. nur 1-2 Tage, danach switchen die Spammer offenbar auf andere, gefakte Absender-Domains. Backscatterer.org empfiehlt (generell?) eine Nutzung des Dienstes im Safe Mode (nur <> und postmaster-Mails werden geprüft). Wäre das eine Lösung des Problems oder würden wir damit nur das durchgeroutete Spam-Aufkommen erhöhen?

Viele Grüße,
Sebastian Wendeler
Groove Attack GmbH

[Gerd von Egidy]

Hallo,

wenn ich mir die Policy von backscatterer.org anschaue, dann listen die einen nur, wenn man selber Backscatter verschickt - nicht wenn in seinem Namen Backscatter verschickt wird.

Sie müssten also Ihr System so umstellen, daß auf allen Rechnern, die in MX-Einträgen Ihrer Domain stehen, eine vollständige Empfängeradressprüfung gemacht wird.

Um Ihnen da genauer weiterhelfen zu können, bräuchte ich eine genaue Beschreibung wie bei Ihnen der Mailempfang funktioniert:

- was für Server sind in den MX-Einträgen Ihrer Domain? Der Intranator oder der Server Ihres Providers?
- Gibt es einen Backup-MX?
- Wie kommen die Mails auf Ihren Intranator? SMTP, Multidrop/Catchall,...?
- Verwenden Sie den Intranator als endgültigen Mailserver oder haben Sie hinter dem Intranator einen anderen Mailserver wie z.B. einen Exchange?
- Wenn ja, was haben Sie auf dem Intranator unter Dienste > Email > Domains : Weiterleitung eingestellt? Ist dort die Empfängeradressprüfung aktiv?

Herzliche Grüße,

v. Egidy

[GrooveAttack]

Hallo,

wenn ich mir die Policy von backscatterer.org anschaue, dann listen die einen nur, wenn man selber Backscatter verschickt - nicht wenn in seinem Namen Backscatter verschickt wird.

stimmt, das sehe ich auch gerade...

Sie müssten also Ihr System so umstellen, daß auf allen Rechnern, die in MX-Einträgen Ihrer Domain stehen, eine vollständige Empfängeradressprüfung gemacht wird.

Um Ihnen da genauer weiterhelfen zu können, bräuchte ich eine genaue Beschreibung wie bei Ihnen der Mailempfang funktioniert:

- was für Server sind in den MX-Einträgen Ihrer Domain? Der Intranator oder der Server Ihres Providers?

MX für alle Domains ist der Intranator.

- Gibt es einen Backup-MX?

Für eine Domain: ja. Für zwei weitere: Nein.

- Wie kommen die Mails auf Ihren Intranator? SMTP, Multidrop/Catchall,...?

SMTP

- Verwenden Sie den Intranator als endgültigen Mailserver oder haben Sie hinter dem Intranator einen anderen Mailserver wie z.B. einen Exchange?
- Wenn ja, was haben Sie auf dem Intranator unter Dienste > Email > Domains : Weiterleitung eingestellt? Ist dort die Empfängeradressprüfung aktiv?

Herzliche Grüße,

v. Egidy

Wir verwenden den Intranator als endgültigen Mailserver für drei sehr aktive Domains. Ich suche gerade noch in den Maillogs nach Hinweisen, vielleicht findet sich ja was.

Viele Grüße,

Sebastian Wendeler
Groove Attack GmbH

[GrooveAttack]

Die DNS-Einträge für den BackupMX habe ich jetzt mal rausgenommen.

[bjoerns]

Hallo,

Die DNS-Einträge für den BackupMX habe ich jetzt mal rausgenommen.

könnte gut sein, dass es das schon gewesen ist. Denn der Intranator nimmt nur Mails an ihm bekannte Mailadressen an. Zudem kommt im Intranator ja keine Weiterleitung zum Einsatz. Die Unzustellbarkeitsnachrichten bzw. Backscatter Nachrichten könnten dann vom Backup-MX Server generiert worden sein, zudem auch Spammer häufig den Backup-MX angehen.

MFG Björn

[Gerd von Egidy]

Hallo,

ich habe noch eine andere Idee was es außer dem Backup-MX noch sein könnte:

Kontrollieren Sie mal die Email-Weiterleitungen aller Benutzer. Wenn ein Benutzer ein ungültiges Weiterleitungsziel eingestellt hat, gehen die weiterzuleitenden Emails an den Absender zurück. Wenn der Absender gefälscht ist, kann das auch gut zu einer Listung bei backscatterer führen.

Herzliche Grüße,

v. Egidy