In den letzten Wochen des Jahres 2019 gab es gehäuft Probleme bei der Zustellung von E-Mails an externe Mailprovider, die durch verschiedene Probleme verursacht wurden. Leider gestaltet es sich teilweise schwierig, die Ursachen zu beseitigen, damit der saubere Nachrichtenfluss wieder gewährleistet ist.
Situation
Aufgefallen sind die Probleme, da vermehrt E-Mails an größere Provider abgelehnt wurden. Zeitweise wurden nicht nur die offensichtlichen Spamnachrichten abgewiesen, sondern sämtlicher E-Mail-Verkehr an diesen Provider.
Betroffen davon waren unter anderem T-Online, GMX/Web.DE, Gmail, Outlook.com, Hotmail sowie Live und Nutzer von Office365.
Wir haben die Zustellprobleme umgangen, indem ausgehende E-Mails über andere E-Mail-Server verschickt wurden. Da dies auch nur eine temporäre Lösung ist (immerhin können auch diese Server jederzeit wieder auf Blacklists landen), müssen die eigentlichen Ursachen für die Probleme beseitigt werden.
Spamversand via E-Mail
Beim Versand von E-Mails werden Probleme verursacht, weil wir selbst Nachrichten versenden, die dann beim Ziel als Spam eingestuft werden.
Spamversand über ein gehacktes Postfach
Die offensichtlichste Ursache für diesen Spamversand sind Postfächer, deren Passwörter abhanden gekommen sind und nun durch Dritte missbraucht werden. Dabei kam es in der Vergangenheit selten vor, dass tatsächlich das Passwort des Postfaches “geknackt” wurde. In den meisten Fällen wurden die Rechner der Nutzer mit Trojanern, Würmen oder Viren infiziert, die die Zugangsdaten zum Postfach mitgeschnitten und an den Angreifer übermittelt haben.
Werden nun mit diesen Zugangsdaten im großen Stil E-Mails über unsere Server verschickt, erkennt dies unser Monitoring, sodass wir im Bedarfsfall eingreifen und das Postfach sperren können. Der Kunde wird über die geänderten Zugangsdaten informiert.
Die Auswirkungen solcher Spamversand-Möglichkeiten sind nur gering, da die Erkennung früh genug eingreift.
E-Mail-Weiterleitungen
Häufiger führen jedoch E-Mails zu Problemen, die unsere Nutzer an ihre eigene Domain bei uns erhalten, aber diese dann an externe E-Mail-Adressen weiterleiten.
Beispielhaft sei hier auf die E-Mail-Adresse info@kunde-example.de verwiesen. Diese E-Mail-Adresse möchte der Kunde zwar nutzen, allerdings bei Gmail empfangen. Somit wurde eine Weiterleitung zu kunde-example@gmail.com angelegt.
Eintreffende E-Mails durchlaufen bei uns die gewöhnliche Antispam-Prüfung. Teilweise werden E-Mails bei uns allerdings nicht als Spam erkannt oder lediglich als Spam markiert und daher trotzdem weitergeleitet. Die Antispam-Systeme von Gmail, Expurgate bei T-Online und Weitere haben jedoch mehr Möglichkeiten, sodass solche E-Mails dann bei Gmail trotzdem als Spam abgewiesen werden:
host gmail-smtp-in.l.google.com[2a00:1450:400c:c06::1a] said: 550-5.7.1 [2a02:74a0:a008:414::230 19] Our system has detected that this 550-5.7.1 message is likely suspicious due to the very low reputation of the 550-5.7.1 sending domain. To best protect our users from spam, the message has 550-5.7.1 been blocked. Please visit 550 5.7.1 https://support.google.com/mail/answer/188131 for more information. z2si50825738wro.158 - gsmtp (in reply to end of DATA command)
Durch diese Ablehnung kommt es nun zu zwei für uns problematischen Folgen:
- einerseits müssen unsere E-Mail-Server nun den Absender der E-Mail darüber informieren, dass seine E-Mail nicht zugestellt werden konnte. Bei legitimen E-Mails ist dieser Hinweis nützlich - bei Spam-E-Mails hingegen verursacht diese Benachrichtigung (
Bounce) eine weitere Spam-E-Mail, da die Absenderadresse auch als gefälscht eingestuft werden muss. Der Bounce geht also an eine Nutzerin, die diese Information gar nicht erst haben möchte. - andererseits zählen E-Mails, die als Spam erkannt wurden, und E-Mails, die an ungültige Empfänger geschickt werden, in einen Score. Je schlechter dieser Score eines E-Mail-Servers ist, desto wahrscheinlicher werden unsere E-Mails nicht mehr angenommen, oder nach der Annahme der E-Mail direkt in den Junk-E-Mail-Ordner verschoben.
Daher gilt es, beide Fälle zu vermeiden.
Probleme durch E-Mail-Weiterleitungen und SPF
Gravierender wirken sich nun Fehler in den E-Mail-Weiterleitungen aus, die auf Grund von fehlgeschlagener SPF-Validierung verursacht werden.
Das Sender-Policy-Framework (SPF) wird genutzt, um bei einer E-Mail-Domain zu hinterlegen, welche E-Mail-Server E-Mails mit dieser Domain im Absender verschicken dürfen.
Möchte nun ein E-Mail-Server eine E-Mail verschicken, dieser ist jedoch nicht im SPF-Eintrag aufgeführt, so muss der Zielserver diese E-Mail ablehnen. Immerhin kann in diesem Fall davon ausgegangen werden, dass die E-Mail nicht legitim ist.
Um das Beispiel des Kunden erneut aufzugreifen: wird von caro.mueller@web.de nun eine E-Mail an info@kunde-example.de verschickt, leiten unsere E-Mail-Server diese E-Mail wunschgemäß an kunde-example@gmail.com weiter.
Dort sieht der E-Mail-Server von Google, dass der E-Mail-Server der ADITSYSTEMS eine E-Mail mit dem Absender caro.mueller@web.de zustellen möchte - aber nicht im SPF-Record von web.de aufgeführt ist. Die Mail wird folgerichtig abgelehnt und unser E-Mail-Server informiert die Absenderin über den Fehler. Diese wird sich wundern, warum sie eine Fehlerbenachrichtigung erhalten hat - unser Kunde hingegen wird nie erfahren, dass Frau Müller Kontakt mit ihm aufnehmen möchte, weil ihre E-Mail ihn nie erreicht.
Durch den Einsatz des Sender Rewriting Scheme (SRS) könnte dieses Problem umgangen werden - das Problem der Spam-Erkennung besteht allerdings weiterhin, sodass auch SRS keine universelle Lösung darstellt.
Spamversand über Webseite
Neben dem Versand von Spam-Nachrichten, die wir per E-Mail erhalten, haben sich im letzten Quartal 2019 andere Quellen von Spamversand etabliert: Von Webseiten erzeugte E-Mails können ebenfalls Spam enthalten, wobei die Angreifer immer kreativer werden.
Kontaktformulare
Spam in Kontaktformularen ist altbekannt: Anstatt menschlicher Nutzer, die eine Anfrage an einen Online-Shop oder eine Online-Buchung durchführen möchten, wird das Formular automatisiert ausgefüllt und mit entsprechenden Spam-Nachrichten befüllt.
Das CMS (oder auch die selbstprogrammierte Lösung) sendet das Formular wunschgemäß per E-Mail an die hinterlegte E-Mail-Adresse, wo dann je nach Konfiguration des E-Mail-Servers die E-Mail als Spam erkannt und abgewiesen oder doch in das Postfach gespeichert wird.
Manche CMS-Installationen haben weitere “Features” enthalten, die sich negativ auswirken:
- Sicherheitslücken im CMS ermöglichen es Spammern, ein Kontaktformular auszunutzen, das vom Webmaster gar nicht gewünscht oder überhaupt gar nicht konfiguriert wurde. Joomla hat sich hier negativ hervorgetan, da dort über die Komponenten
com_contactimmer ein Kontakt mitid=1erstellt wird und dessen Kontaktformular standardmäßig aktiv ist, auch wenn es nicht aktiv in der Seite eingebunden ist.
Spammer kennen hingegen das Schema der URLs und können somit auch ohne sichtbarem Formular auf der Seite die Spamnachrichten loswerden.
- teilweise wird automatisch eine Kopie der Nachricht an den Absender geschickt. Da die, in der Spam-Nachricht enthaltene E-Mail-Adresse gefälscht ist, wird mit dem Absenden des Kontaktformulares nicht nur der Webmaster, sondern auch eine unbeteiligte Dritte belästigt.
Probleme bei Online-Shops
Online-Shops bieten ihren Kunden häufig Kontaktformulare an, stellen aber mit weiteren Formularen ein Problem dar.
Um über anstehende Rabatte zu informieren oder andere Werbe-E-Mails zu versenden, können sich interessierte Kunden zu Newslettern anmelden. Damit dies einfach vonstattengehen kann, besteht so ein Formular lediglich aus einer E-Mail-Adresse und einem Haken, um der Anmeldung zuzustimmen. Gemäß der Rechtsprechung wird nun im Double-Opt-In-Verfahren eine E-Mail an die angegebene E-Mail-Adresse geschickt, die einen Bestätigungslink erhält.
Dies stellt auch gleichzeitig folgendes Problem dar: Es kann nicht garantiert werden, dass die angegebene E-Mail-Adresse auch tatsächlich dem Formular-Absender gehört.
Spammer nutzen solche Formulare für ihre Zwecke aus: Auf Grund von mangelnder Validierung wird als E-Mail-Adresse nicht nur eine E-Mail-Adresse angegeben, sondern als Name auch direkt die Spam-Nachricht:
Fwd: $ 10,000 success story. How to generate $10000 a month in passive income: https://xxxx.com/earnmoney272385 <kunde-example@gmail.com>
Dies ist eine legitime E-Mail-Adresse (auch wenn es nicht danach aussieht). Der angegebene Text wird dem nichts ahnenden Empfänger präsentiert, der diese E-Mail völlig korrekt als Spam einstuft.
Dasselbe Problem gibt es bei Online-Shops, auch bei der Anmeldung zum Shop. Das Registrierungsformular ist je nach Shop-Software und Konfiguration kurz gehalten (Name und E-Mail-Adresse sind ausreichend) oder mit den vollen Kontaktdaten umfangreicher. Letzteres gewährt Spammern noch mehr Möglichkeiten, ihre Nachrichten auszuschmücken.
Nichtsahnende Dritte erhalten in beiden Fällen also Nachrichten, die dem Online-Shop unseres Kunden sowie unseren E-Mail-Servern zuzuordnen sind. Daher müssen diese vermieden werden.
Maßnahmen
Sämtliche Maßnahmen gegen die vorgestellten Spam-Probleme gestalten sich schwierig, oder müssen von mehreren Beteiligten durchgeführt werden.
Spamversand über ein gehacktes Postfach
Die Gegenmaßnahme ist hier einfach: Wir setzen für das betroffene Postfach ein neues Passwort, wodurch der Spamversand sofort unterbunden wird.
Der betroffene Kunde erhält eine entsprechende Information via E-Mail, er möge außerdem den oder die Rechner/Smartphones, die das Postfach genutzt haben, auf Infektionen prüfen und diese beseitigen – idealerweise, bevor das neue aktualisierte Passwort beim Postfach hinterlegt wird.
E-Mails, die noch in unseren Queues liegen, werden von uns gelöscht.
E-Mail-Weiterleitungen und SPF
Stellen wir fest, dass es über konfigurierte E-Mail-Weiterleitungen Spam-Nachrichten weitergeleitet werden oder die E-Mails aus anderen Gründen beim Provider die SPF-Prüfung nicht bestehen, so lösen wir die Weiterleitung auf:
Aus der Weiterleitung info@kunde-example.de wird ein Postfach erstellt, indem alle eintreffenden Nachrichten gespeichert werden.
Der Kunde wird über diese Maßnahme informiert und erhält dabei auch Anleitungen gezeigt, wie er auf seine E-Mails weiterhin zugreift.
Dies kann entweder über die Einbindung des neuen Postfaches in den bestehenden E-Mail-Client erfolgen oder über einen “Fetchmail/Getmail”- bzw. Sammeldienst beim externen Provider, der die E-Mails dann über POP3 oder IMAP aus dem Postfach abholt.
Da somit keine SPF-Prüfung mehr durchgeführt wird, werden alle E-Mails empfangen.
Vorsorglich haben wir eine Reihe von Domains als Weiterleitungsziel gesperrt. Diese Liste pflegen wir in unserer ADITSYSTEMS Dokumentation:
https://www.aditsystems.info/mailsystem/blacklisted_forwards/
Eine bestehende Weiterleitung belassen wir unverändert, bis festgestellt wird, dass die Weiterleitung missbraucht wird.
Neue Weiterleitungen zu einer der gesperrten Domains können hingegen weder angelegt werden, noch können bestehende Weiterleitungen editiert werden.
Kontaktformulare und Benutzer-Registrierungen
Kontaktformulare und ähnliche Spamquellen in CMS-Installationen stellen uns vor die größten Probleme.
Da wir aus Rücksicht auf unsere E-Mail-Systeme und alle anderen Kunden den Spamversand abstellen müssen, sind wir gezwungen, nach Kenntnis des Spamversandes die Seite offline zu nehmen.
Die Abwägung besteht hier zwischen einer betroffenen Webseite auf der einen Seite und allen anderen E-Mail-Nutzern auf der anderen Seite.
Die Seiten werden dabei von uns mit einem Passwortschutz versehen: Gesperrt wird die (Sub-)Domain, die die Probleme verursacht. Andere Inhalte auf getrennten (Sub-)Domains im selben Vertrag bleiben unverändert.
Der betroffene Kunde wird von uns über diese Maßnahme informiert und kann über den Passwortschutz wieder Zugriff auf seine Seite erlangen.
Dort empfehlen wir, ungenutzte Kontaktformulare vollständig zu entfernen. Bei Kontaktformularen sowie Registrierungs-Formularen, die bestehen bleiben sollen, müssen Maßnahmen umgesetzt werden, um das automatisierte Ausfüllen und Absenden zu verhindern:
-
CAPTCHA: Es wird eine Grafik oder eine Audiodatei eingebunden, die für jede Anfrage und jeden Benutzer unterschiedlich ist. Der Nutzer muss den dargestellten oder gesprochenen Text in ein Formularfeld eintippen und nur bei Korrektheit der Eingabe wird das Formular tatsächlich abgesendet.
Je nach Komplexität ist es Spammern über Texterkennung oder Voice-to-Speech möglich, die Eingabe zeitig zu lösen und somit trotzdem das Formular automatisiert auszufüllen.Die eingesetzten CAPTCHA sollten daher regelmäßig auf Effektivität verifiziert werden.
Nach derzeitigem Stand ist reCAPTCHA v3 eine sichere Methode - da dabei aber jegliche Formulareingabe an Google übermittelt wird, ist dies aus Datenschutzgründen nicht unbedingt die beste Wahl.
-
Honeypot: An diesem “Honigtopf” sollen Spammer scheitern, indem die automatisierten Systeme Eingaben im Formular mitsenden, die ein regulärer Nutzer nicht sieht. Wird das Feld des Honeypots daher ausgefüllt (oder modifiziert) übermittelt, so kann von einer Spam-Nachricht ausgegangen werden.
Wie genau ein Honeypot aufgebaut wird, hängt von den persönlichen Präferenzen und Möglichkeiten im CMS ab.Da keinerlei Daten an externe Dienste übermittelt werden, ist der Honeypot eine datenschutzfreundliche Lösung - kann aber von Spammer-Bots je nach Ausgestaltung leicht ausgehebelt werden.
Wurden die Maßnahmen umgesetzt, kann der Kunde eigenständig den Passwortschutz wieder entfernen und so seine Webseite wieder online schalten.
Wir empfehlen allen Kunden, ihre Webseiten bereits jetzt so aufzubauen, dass es zu keinem Spamversand kommt. Nutzen Sie dafür die Möglichkeiten Ihres CMS!
Ausblick/Zusammenfassung
Die vorgestellten und durchgeführten Maßnahmen, um Spam-Versand über unsere Systeme zu minimieren, mögen teilweise extrem anmuten.
Allerdings sprechen die Erfolge für sich: Seitdem wir konsequent gegen den Versand der Spam-E-Mails vorgehen, wurde das Ranking unserer E-Mail-Server massiv besser - was allen Nutzern zugute kommt.
Wir werden an den bisherigen Maßnahmen festhalten, bis diese sich als unzureichend oder falsch herausgestellt haben.
Bei Rückfragen stehen wir Ihnen jederzeit gerne zur Verfügung.
