Im Kontext des Themas Abwehr von SPAM greife ich noch einen Sachverhalt auf, der aktuell wohl zum Problem wird. Mailing-Listen von Google Groups oder von Microsoft werden wohl zur Verteilung von SPAM-Nachrichten missbraucht. Das stelle Administratoren in Unternehmen vor Probleme. Zwei Blog-Leser haben mich unabhängig voneinander in den letzten Tagen auf entsprechende Fälle hingewiesen. Ich ziehe den Sachverhalt mal in einem separaten Blog-Beitrag heraus.
Mailing-Listen als lukratives Ziel
Von Google und Microsoft werden sogenannte Mailing-Listen angeboten. Eine Mailingliste bietet einer geschlossenen Gruppe von Menschen durch eine Vernetzung mit elektronischen Mitteln die Möglichkeit zum Nachrichtenaustausch per E-Mail. Dieser Nachrichtenaustausch ist innerhalb der Gruppe öffentlich. Die Wikipedia hält hier eine umfangreiche Erläuterung zum Thema bereit.
Ich selbst nutze dies kaum, es gibt nur eine Mailing-Liste von patchmanagement.org, auf der ich eingetragen bin. Als ich gestern über die BlackLotus UEFI-Problematik berichtete , fiel mir ein Post auf, wo alle Links auf das Versicherungsangebot des Posters verwiesen. Allerdings war der Text sinnvoll auf das Thema bezogen – das Ganze könnte ein „Versehen“ oder ein raffinierter Versuch, Aufmerksamkeit für das eigene Angebot zu bekommen, gewesen sein.
Generell ist das Missbrauchspotential von Mailing-Listen sehr hoch. Es braucht jemand nur auf eine Mailing-Liste zu gelangen, schon kann er den Empfängern der Liste Nachrichten übermitteln. Die Wikipedia schreibt noch: „Mailinglisten werden teilweise missbraucht, indem böswillige Dritte die E-Mail-Adresse eines Empfängers – ohne das Einverständnis des Empfängers – in verschiedene Listen eintragen, so dass dieser fortan regelmäßig unerwünschte E-Mails von dieser Liste erhält (sogenanntes List-Linking).“ In der EU sollte dies durch ein double Opt-in eigentlich verhindert werden – aber es gibt halt auch Mailing-Listen, die dieses Opt-in ignorieren.
Mailinglisten für SPAM missbraucht
Für mich ist auffällig, dass in den letzten Tagen gleich zwei Leser mich auf den Missbrauch von Mailing-Listen für den SPAM-Versand hingewiesen haben. Ich stelle die Informationen nachfolgend mal ein.
Spamwelle mittels Google Groups Mailinglisten
Eiko hat mich vor einigen Tagen ebenfalls auf ein Spam-Problem hingewiesen (vielen Dank). In den Ticketsystemen des Unternehmen erhalten sie aktuell eine Vielzahl an Spammails, welche augenscheinlich von Google Groups-Mailinglisten kommen, schreibt er.
Dadurch entstehen vor allem Probleme, dass die Abonnenten einer solchen Liste die Autoantworten einer Vielzahl von Empfängeradressen sehen. Denn diese antworten an die Liste, und die Antworten werden dann entsprechend an alle eingetragenen Empfänger verteilt.
Da hier Google Groups als Versender auftritt, kommt es vermutlich auch zu einer schlechteren Erkennung am Spamfilter, vermutet Eiko. „Nach meinem Verständnis läuft der Spam so ab, dass der Spammer eine Mailingliste bei Google registriert, dort seine Empfänger einträgt (wie viele ist mir nicht klar) und dann seine Spammail losschickt. Sicherlich über eine API bei Google, um das Ganze schön automatisiert zu machen.“ schreibt Eiko. Hier der anonymisierte Header einer solchen Mail.
Precedence: list
Mailing-list: list sbh@tps.zinocraft.com; contact sbh+owners@tps.zinocraft.com
List-ID: <sbh.tps.zinocraft.com>
X-Spam-Checked-In-Group: support@tps.zinocraft.com
X-Google-Group-Id: 284193417895
List-Post: <https://groups.google.com/a/tps.zinocraft.com/group/sbh/post>, <mailto:sbh@tps.zinocraft.com>
List-Help: <https://support.google.com/a/tps.zinocraft.com/bin/topic.py?topic=25838>,
<mailto:sbh+help@tps.zinocraft.com>
List-Archive: <https://groups.google.com/a/tps.zinocraft.com/group/sbh/>
List-Subscribe: <https://groups.google.com/a/tps.zinocraft.com/group/support/subscribe>,
<mailto:support+subscribe@tps.zinocraft.com>
List-Unsubscribe: *mailto:googlegroups-manage+284193417895+unsubscribe@googlegroups.com,
*ttps://groups.google.com/a/tps.zinocraft.com/group/sbh/subscribe
Andere Systeme antworten dann halt auch an diese Liste und die verteilt die Antworten weiter, bis das Sende- bzw. Empfangslimit erreicht ist, schreibt Eiko. Das endet dann in einem NDR (non delivery report) seitens Google.
Mysteriös: „Leere“ Phishing-Mails
Martin hat mich per Mail noch über eine interessante Beobachtung informiert. Er bekommt seit letzter Woche Spam-Nachrichten, die nicht so wirklich Sinn machen, weil der Inhalt vermeintlich leer ist. Er beschreibt folgendes:
- Absender-Anzeigename erscheint in der Form von „xyz@lalala.com im Auftrag von sieht-serioes-aus @ unternehmen.de“.
- Die E-Mail [d.h. der Body der Nachricht] ist leer, was Text betrifft, und enthält nur ein großes Bild als „Werbung“.
Dieses Bild dürfte in gängigen Mail-Clients aber lediglich als Platzhalter erscheinen, da diese Bilder i.d.R. nur auf Nutzeranforderung anzeigen. Martin hat daher das Bild aus den betreffenden Mails nicht heruntergeladen, und daher keine Ahnung was das jeweilige Bild zeigt. Der Betreff der Mail habe schon mal was mit Oral-B-Zahnbürsten, Temu-Paletten, Shein-Mystery-Boxen etc. enthalten, merkt der Leser an.
Was das Ganze für Mitarbeiter in Unternehmen und deren IT-Administratoren ärgerlich macht, sind die Antworten der Mailingliste. Martin schreibt dazu: „Kurz darauf erhält er [der Empfänger der Mail aus der Mailingliste] einen Autoresponder von einem Unternehmen, z. B. Krankenversicherungen, Unternehmen, Sparkassen/Banken, Autohäusern, Zeitungsverlagen – die aber alle an die ursprüngliche Absenderadresse gerichtet sind (ich also im CC/BCC).“
Martin schildert die Implikationen, die sich daraus ergeben: „Heute antwortete dann ein Mitarbeiter eines Pflegedienstes zur E-Mail mit der Temu-Palette an eine Personalunternehmen(!)“. Das war in der Ursprungsmail aber nicht der Absender. Die Nachricht:
Hallo Hören Sie auf, mir irgendwelche Mail zu zusenden. Ich habe mit Ihnen nichts zu tun.
Hilfloser Versuch, da gegen irgend einen Spammer vorzugehen, der nutzlos ist. Martin vermutet ein gefaktes Reply-To oder gleich eine Mailingliste, worüber er die Mails das dann erhalten hat. Auch ein Personaldienstleister habe, so Martin, geantwortet: „Danke für die Info. Jedoch kenne ich Sie auch nicht und kann ich weiß nicht, von welchen Mails Sie sprechen.“
Martin hat mal einige Kopfzeilen überflogen, da waren unter anderem SMTP-Server von Google und Microsoft beteiligt. Das ist also die gleiche Masche, die in obigem Leserhinweis beschrieben wird.
Wie geht ihr damit um?
Oben hatte ich erwähnt, dass der Besitzer einer Mailingliste dafür sorgen muss, dass Spammer rausfliegen oder es erst gar nicht auf die Liste schaffen. Das douple Opt-in-Verfahren sollte zumindest sicherstellen, dass eine gültige E-Mail-Adresse der Teilnehmer vorliegt. Ich habe mal kurz recherchiert – dieser Beitrag, gehostet auf einer Webseite aus Südafrika, erklärt die „best practice“ für Mailinglist, um Spam zu verhindern und gibt Tipps, was Spammer vermeiden sollten. Hilft natürlich nicht, wenn man nicht der Betreiber der Mailinglist ist.
Auch Google hat den Beitrag Mailing Lists, SPAM, DKIM and other unpleasant realities zum Thema veröffentlicht. Die Frage ist, wie ihr mit diesem Thema in Unternehmen umgeht? Oder ist das noch kein Thema?
Vielleicht für andere Leser hier im Blog von Interesse. Hat jemand diese Beobachtungen ebenfalls gemacht? Gibt es Gegenmaßnahmen?
Eigentlich ist das ein alter Hut, es betrifft nicht nur bekannte Mailinglisten, sondern z.B. auch extra für SPAM eingerichtete Mailinglisten. Mit der richtigen Software bekommt man das in den Griff https://rspamd.com
Auf meinem Server bekam diese Mail von der Mailingliste einen rspamd-Score von 3,8 und damit nichtmal einen Spam-Header. Gibt es da spezielle Einstellungen für rspamd, um sowas gezielt höher zu bewerten?
Wenn man überhaupt keine Mails von Google Groups erwartet, reicht eigentlich diese einfache Lösung aus:
/etc/rspamd/local.d/force_actions.conf
rules {
MAILLIST_GOOGLEGROUPS {
expression = „MAILLIST[googlegroups]“;
message = „Request rejected. We neither expect nor accept emails from Google Groups“
action = „reject“;
}
}
Google und Microsoft Spam kommt seit vielen Monaten auch ohne Mailingslisten.
Bei mir wird alles was im header proxy, forward usw. hat von beiden Dienste so abgewertet dass es im Spam landet.
Unternehmen die wollen dass Mails ankommen sollten auf beide Dienste verzichten.
so sieht’s aus… 100% ACK
in dem Beispiel fehlen mir die x-header die sagen, das das eine Email von einer Mailingliste ist.
Welcher Listserver macht so etwas?
Das regelt im allgemeinen nen ordentlicher SPAMfilter… Also SPAM hab ich seit Jahren keinerlei Probleme werden zuverlässig gefiltert. Zu Beginn in der Lernphase muss man da evtl. nochmal drüber schauen, danach ist Ruhe im Karton.
Packst da gleich noch nen Phishingfilter mit dazu ist auch da Ruhe dann bleibt allenfalls noch Spearphishing übrig um das man sich noch kümmern muss.
SPAM & Phsishing ist zu 100% handelbar, man muss nur den Arsch hochbekommen und es angehen.
Lernen vom Spamfilter hilft da oft nur bedingt. Daher habe ich manuelle Regeln drinnen für SA was vorm rspamd läuft.
Dafür sind dann Xbox Store Mails oft auf Blacklisten von den IPs her…. 🙈
Du kannst auch in RSpamD manuelle Regeln erstellen. Muss man sich ein wenig einarbeiten, vor allem wenn man vom SA kommt ist das ganz anders ;-) Hat eine Weile gedauert, aber heute mache ich alles nur im RSpamD (was nicht postfix bereits im Vorfeld direkt ablehnt).
Noch nie Probleme auf den von mir betreuten Mailservern mit gehabt. Liest sich eher nach Leute mit fehlerhaften SPF/DKIM/DMARC Einstellungen.
Wenn Du einen vollständigen Header einer solchen Mail zeigen könntest?
Wir hatten am Montag genau diese Mails im Spamfilter, was unsere Mitarbeiter reichlich verwundert hat, da weder Empfänger noch Absender.
Vielen Dank Günter für dein Blog, was würden wir nur ohne dich machen ?
Wer Spam Beispiele möchte oder die SA Regeln kann mich gern kontaktieren über die temporäre Adresse sitzen.maske_0a@icloud.com
Wird hier zu unübersichtlich wenn da langen Header von MS Mails poste. 😉
Moin,
früher wurde das einfach in pastebin geklatscht :D
Da war es auch egal, was für Daten 😂
MfG,
Blackii
wer fährt denn ein so dämliches System, das automatisch auf Mails von von Mailinglisten antwortet? Hallo?
Das war etwas, was sogar Microsoft schon von gefühlt 30 Jahren abgestellt hat.
Hier hat Google versagt. Solche Empfänger müssen sofort von der Liste fliegen, die out of office mails schicken.
Das ist eigentlich common practice
Auch eine alte Diskussion:
Soll eine Antwort defaultbanbdue Liste gehen,also diskutiert werden, oder nur an den Absender der E-Mail, was jede Diskussion sehr wirksam verhindert
Habe ich hier auch seit einer Woche verstärkt, auch weil es viele „Urlaubsabwesenheiten“ als Antwort gibt. Das ist dann blöd, weil die ursprüngliche Spam-Mail gekennzeichnet wird (rspamd von mailbox.org), aber die automatischen Antworten ohne „Spam-Payload“ nicht.
Header sind analog zu eikos Mail, Gruppe existierte beim Versuch, nachzuschauen bereits nicht mehr.
Hatten wir einen Riß in der Ort-Zeit?
„Hallo Hören Sie auf, mir irgendwelche Mail zu zusenden. Ich habe mit Ihnen nichts zu tun.“
Das habe ich vor gefühlt 30 Jahren das letzte Mal erlebt
Da hatten aber ein Knilch alle Adressen ins „an“ geknackt.
Könnte es sein, dass die Empfänger der E-Mail von einem 3. an der Liste angemeldet wurden und der 3., der Spammer, so die Mail Filter umgehen will?
Tritt aber nur bei schlechten Lustservern auf, die die Anmeldung nicht bestätigen lassen. War aber schon vor 30 Jahren Praxis.
man hat damals Leute einfach an zig Low Traffic Mailing listen angemeldet hat, und dann seinen Spam auf die Listen gesetzt hat.
Die Beschwerden dienten dann als Multiplikator des DOS.
Daher kann es gut sein, dass der Spam leer war.
Dkim ist Bei Mailinglisten ein grundsätzliches Problem.
Die Listserver Versenden ja E-Mails mit dem Namen anderer und müssen etwas tricksen damit dkim spf nicht greifen.
Hier wurden vermutlich unbeteiligte Opfer in den schlecht konfigurierten Listserver als Interessent eingetragen.
Der Liste server arbeitet ohne Double Optin
Der List server hat keine Sperre wie viele Empfänger der Erzeuger der Liste Eintrag darf.
Das ist wie ich schrieb ein Problem, das schon vor Urzeiten gelöst worden ist… Vermutlich fand das Microsoft Marketing das zu kompliziert…
Habe da auch eine Hand voll bekommen und erstmal komisch geguckt. Sehr untypischer Spam.
Um DKIM zu umgehen enthalten die auch ARC Header von google.
Ich frage mich nur wie es sein kann das man dort auf eine Mailingliste kommen kann ohne opt-in?!
Solange das nicht mehr wird ignorieren wir das erstmal.
Bei uns wird grade ein einzelner User massiv zugespammt, sowohl mit Autoreplies als auch mit Mails mit Virenanhang. Mailinglisten sind ein guter Ansatzpunkt für Recherche, danke für den Artikel/Denkanstoß!