Wie letzten Montag berichtet, sind die T-Online Mailserver aktuell auf verschiedenen Blacklists (RBL) gelistet. Allen voran Spamcop.
T-Online gesteht sich zwar nach wie vor keine Schuld ein und speisst seine Kunden mit dem Hinweis ab, die sollten den Empfänger bitte auf einem anderen Wege kontaktieren und ihn bitten deren Postmaster (eMailadmin) zu informieren, dass dort eine Fehlkonfiguration vorläge… Dies ist natürlich absoluter Hohn, denn ein Mailserver landet nicht mal einfach so auf einer RBL. OK, man landete dort sehr schnell, kann aber auch sehr schnell für ein Delisting sorgen (dauert < 5 Minuten). Sollte man aber öfters in kurzer Zeit drauf landen, so kommt es zu einer permanenten Eintrag auf der Liste, der auch nicht mehr so schnell entfernt werden kann. Und bis es dazu kommt, gehört schon einiges dazu.
Aktuell scheint das Problem bei T-Online gelöst zu sein und die Mailserver-IP-Adressen sind bei Spamcop zur Löschung in den nächsten 24 Stunden vorgesehen. Schauen wir mal, wie lange die Einträge entfernt bleiben.
Das T-Online-Team hat übrigens unter http://foren.t-online.de/foren/read.php?320,4787331,4787951#msg-4787951 eine recht ausführliche Stellungnahme geschrieben zu den Vorfällen. So wirklich auf das wirkliche Problem wird dort jedoch nicht eingegangen. Wie man auf heise.de nachlesen kann, hat die Telekom ja offiziell wirklich zugegeben, dass über deren Mailserver Spam verschickt wurde. Naja, was solls.
Über die Informationspolitik kann man hier allgemein streiten, aber dem großen Magenta Riesen etwas sagen, kann man ja auch gleich vergessen.
Gerade eben im Admin-eMailpostfach endeckt:
Betreff: Anfrage
Datum: Sun, 17 Apr 2011 10:34:31 +0200
Von: YYYY <YYYY@gmail.com>
An: Domainhostmaster@emailadres.se
Sehr geehrter Herr XXX,
wären Sie grundsätzlich an einem Artikeltausch interessiert?
Gerne teile ich Ihnen bei Interesse, mögliche Gegenleistungen mit.
Viele Grüße
YYY
Ist sicherlich eine Standard-Spamemail, jedoch mit geringer Qualitätssteigerung, denn der angesprochene Herrn XXX ist tatsächlich Kunde von uns mit mehreren Domains im SEO-Bereich. Vermutlich hat der Spammer Versender einige Domaininhaber automatisiert per Tool angeschrieben, jedoch nicht bedacht, dass bei .de Domains der eMailadressen nicht öffentlich ersichtlich sind (Die DENIC hat ja bekanntlich sogar den Domaininhaber im normalen Whois ausgeblendet.)
Naja, fangen wir mal die Woche mit Müllentsorgung an, ab in den Papierkorb mit der eMail.
Man kennt ja viele Webseiten von Unternehmen und Privatpersonen, die mittels eines Wordpressblogs erstellt wurden. Daran hat man sich gewöhnt und da gibt’s auch nichts gegen zu sagen.
Aber bei der Analyse eines größeren Mailaufkommens bei einem von uns betreuten Webhoster viel mir dann eine Seite eines schweizer Ingeneurbüros auf, welches auf einem Wikimedia aufgebaut ist im Standardesign 
Hat was, aber OK, der Newsletter passte inhaltlich auch zur Seite. Ich ging rein vom Newsletter erstmal von Spam aus
Seit mehreren Tagen haben wir hier mit dem Postfach eines einzelnen Kunden einen größeren Supportaufwand. Es verschwinden laut Aussage des Kunden und des EDV Betreuers mehrere eMails.
Wir haben sehr schnell ausschliessen können, dass es sich hierbei um einen Fehler auf unserem Mailsystem handelt. Wäre auch verwunderlich, dass ein einzelnes Postfach von mehreren hundert die auf dem Mailsystem sind als einziges diese Probleme hätte. Aber das alleine ist ja keine korrekte Fehlersuche.
Zusammen mit dem EDV Betreuer des Kunden haben wir also eine intensive Fehlersuche gestartet. Dabei mehrere hundert Logzeilen manuell durchsucht, Testmails verschickt. Neue Postfächer angelegt etc.
Nachdem das Problem sogar mit einem neuen Postfach auftrat habe ich mich mal mittels RemoteSupport auf den Rechner des Kunden eingeloggt. Und dir Ursache war schnell gefunden:
Nebem dem lokalen Ordner “Spam” stand eine dreistellige Zahl an neuen Spammails. Und siehe da, alle eMails sind da…. Ursache war also ein zusätzlicher, schlecht konfigurierter Spamfilter auf dem Computer des Kunden…
Manchmal kann es doch so einfach sein.
Und ich habe wieder mal gemerkt: Direkt den Bildschirm des Kunden anschauen bringt doch sehr sehr viel
Nachdem ich im Log unseres zentralen Mailservers bemerken musst, dass eine einzelne Domain ständig Ziel von massenhaften Spamattacken ist, habe ich diese im DNS Eintrag per MX auf einen anderen Server geleitet. Natürlich erst nachdem ich geprüft hatte, dass der Kunde diese Domain nicht für eMails nutzt.
( Natürlich hab ich den Kunden auch hierüber informiert. )
Und der Erfolg war schon groß. Ca. 25% weniger Rejects als vorher. Dabei wurde diese Domain unseres Wissens nach nie aktiv für eMails genutzt. Manchmal würd ich schon gerne wissen, wie der Kunde so etwas hinbekommt. OK, die Domain lag vorher auf einem selbstverwalteten vServer (und das “verwaltet” war irgendwie auch nur das übliche: “Er geht nicht mehr, ich starte ihn neu.” “SSH was ist das?”).
Hier mal ein Blick in die Rejectstatistik der letzten 24 Stunden:
Ihr dürft Raten, wann der DNS Eintrag geändert wurde.
Na das hat doch was. Auf einer Mailingliste auf der ich eingetragen bin (OTRS-de) kam doch gestern abend eine nette eMail rein:
Betreff: Schau dir meine Fotos in Facebook an – von dir ist bestimmt auch eins dabei
Das ganze wäre – so die eMail – eine Erinnerung an die Einladung, die vor einiger Zeit ankam. SChaut man sich den eMailheader an, so scheint die Mail sogar authentisch zu sein Sehr nett.
So, nun aber ab an die Arbeit. Schon ne Stunde im Büro und noch keine Zeile Code geschrieben 
Nach Anregung durch einen Kollegen habe ich mir selbst einmal Gedanken gemacht für einen RBL-Check bzw. ein RBL Monitoring.
Es ist doch irgendwie unpraktisch, wenn man einem guten Kunden auf die Webseiten von Mitbewerbern verweisen muss, um etwas zu seinem bei uns gebuchten Produkt zu prüfen.
Daher habe ich mich gestern mal drangesetzt und ein aktives RBL-Monitoring erstellt. Damit ist es möglich in Echtzeit eine IP auf Blacklisteinträge in aktuell 75 verschiedenen Realtime Blackhole Lists zu prüfen.
Und um das nicht täglich manuell auszuführen habe ich auch gleich einen kostenlosen Monitoring Dienst dazu erstellt.
Einfach die IP-Adresse mit einer eMailadresse angeben und die erhaltende eMail bestätigen. Und schon erfährt man zeitnah per eMail, dass der eigenen Mailserver auf einer Spamblackliste eingetragen ist.
Das ganze gibt’s auf meiner geschäftlichen Webseite:
http://www.methfessel-computers.de/tools/rblcheck.php
Oder aber natürlich auch in Kurzform: http://rbl.mcserver.eu
Letzte Kommentare