Gestern kam diese Anfrage eines Kunden herein (Mailadressen und Domainnamen sind natürlich geändert):
Hallo,
ich erhielt heute (nach einem Urlaub) eine Reihe von Mails mit meiner XYZ-Adresse als Absender. Was ist der Grund?
Ein Beispiel folgt mit anderer Mail.Gruß
Die E-Mail, die folgte sah so aus:
Betreff: Delivery Status Notification (Delay)
Datum: Sat, 29 Mar 2008 11:50:35 -0700 (PDT)
Von: Mail Delivery Subsystem <mailer-daemon@googlemail.com>
An: kunde@XYZ.deThis is an automatically generated Delivery Status Notification
THIS IS A WARNING MESSAGE ONLY.
YOU DO NOT NEED TO RESEND YOUR MESSAGE.
Delivery to the following recipient has been delayed:
Message will be retried for 1 more day(s)
----- Message header follows -----
Ein kurzer Blick in den Mail-Header zeigt schnell was Sache ist: die Mail wurde keineswegs über den für die Domain XYZ zuständigen Mailserver geschickt sondern über ein open Relay. Als Absenderadresse wurde dabei die E-Mail-Adresse mail@XYZ.de des Kunden angegeben. Die Mail enthielt Spam und war an eine Adresse @detroit.net gerichtet. Der Mailserver, der für detroit.net zuständig ist konnte die Mail (noch) nicht zustellen und hat den Absender hierüber informiert. Dummerweise erreicht eine solche Benachrichtigung natürlich nicht den eigentlichen Verursacher dieser Mail - den Spammer -, sondern den Kunden, dessen Mailadresse hier missbraucht worden war. Und das ist das besonders ärgerliche, die illegalen Mails kriminieller Spammer verursachen hier Dritten Arbeit, deren Identität als Absender verwendet wurde.
Zur Erkärung was ein open Relay eigentlich ist:
Open Relay oder offenes Mail-Relay ist ein Rechner (OR), der von jedem beliebigen Rechner (S) E-Mail annimmt und an beliebige Dritte (E) weiterleitet, obwohl er weder für E-Mails von S noch für E-Mails an E zuständig ist.
| S -----> | OR -----> | E |
| Sender | Open Relay | Empfänger |
Ein korrekt konfigurierter Mailserver (besser gesagt Mail Transfer Agent) leitet dagegen E-Mails nur dann weiter, wenn er entweder für Mails von S zuständig ist
Beispiel: der Kunde (S) darf über unseren Mailserver der für seine Domain XYZ.de zuständig ist Mails an beliebige Empfänger versenden.
oder für Mails an E zuständig ist
Beispiel: Der Mailserver des Kunden (E) für die Domain XYZ.de nimmt Mails von beliebigen Absendern entgegen.
Bei open Relays handelt es sich häufig um schlecht konfigurierte oder gecrackte Mailserver, die dann E-Mails mit beliebigen Absenderadressen entgegennehmen. Zunehmend sind mittlerweile auch sogenannte Zombie-PCs betroffen. Die sind meisten schlecht administrierte Privat-PCs oder Arbeitsplatzrechner die von Trojanern befallen wurden.
Über Open Relays können von außerhalb kriminelle Inhalte wie Malware, Spam, Phishing-Mails etc. verbreitet werden. Dabei werden die Ressourcen des eigentlichen Verursachers gespart und seine Identität bleibt gegenüber den Mail-Empfängern verschleiert.
Open Relays werden im Regelfall schon nach wenigen Stunden oder Tagen entdeckt und missbraucht, selbst wenn dieser an einer Wählleitung oder mit einer dynamischen IP-Adresse betreiben wird.
Offene Mail-Relays, die durch Missbrauch auffällig geworden sind, werden häufig schon nach kurzer Zeit in RBLs (Realtime Blackhole Liste) gelistet, was es den Betreibern von ordentlich konfigurierten Mailservern ermöglicht, Mails von diesen gelisteten Servern speziell zu behandeln.
Für die, deren Mailadresse fälschlich als Absender missbraucht wurde gibt es keine Möglichkeit aktiv zu werden. Die Empfänger der verschickten Spam-Mails sollten die Spamfilter ihres Providers oder Ihres E-Mail-Clients nutzen. Daneben bieten Antiviren-Programme oder Tools wie "Officer Blue" auf das ich in diesem Blog gestoßen bin, zusätzlich Schutz.
