“Abuse-Handling” bei Spam über SMTP-Server

Es kommt vor, dass ein E-Mail-Account (lokal) gehackt und missbraucht wird oder ein Postfach für die Verbreitung von Spammails genutzt wird. Wir erhalten auch Anzeigen und Hinweise von Maildienstbetreibern und Nutzern, die sich durch E-Mails von bei uns verwalteten Domains belästigt fühlen und setzen natürlich selbst Prüfroutinen ein, um den Versand von Spammails über uns frühzeitig zu erkennen und zu unterbinden.

Die Bearbeitung dieser Anfragen und die Kontrolle sowie Erweiterung der vorbeugenden Maßnahmen zählen u.a. zum Aufgabengebiet der Kollegen des “Abuse-Teams”. So werden Kunden, über deren Account ein Versand von Spammails festgestellt wurde, beispielsweise in Form einer E-Mail benachrichtigt.

• Doch wie verhält man sich richtig, hat man eine solche E-Mail erhalten?
• Welche Dinge kann man unabhängig davon tun und selbst dem Missbrauch vorbeugen?

Diese Fragen werden wir nachfolgend gerne beantworten.

Was tun bei einer Mail mit dem Betreff “Spam über unsere SMTP Server // AN: ” ?

Haben Sie eine Nachricht mit dem Betreff “Spam über unsere SMTP Server // AN: ” von uns (Absender isp-net.de) erhalten, dann wurde ein Missbrauch einer Ihrer E-Mail-Accounts festgestellt und der Account vorsorglich gesperrt.

Wie wird ein solcher Missbrauch festgestellt?

Wir erhalten, wie eingangs schon kurz erwähnt, von anderen Providern und Betreibern von Mail-Diensten wie beispielsweise AOL, Hotmail, TrendMicro, Rackspace und vielen anderen jedes mal eine sog. “Abuse-Complaint” (Beschwerde), wenn dort eine Nachricht als Spam erkannt wurde oder der User die Nachricht dort als Spam markiert hat.

Eine solche Beschwerde besitzt ein standardisiertes Format, genannt ARF (Abuse Reporting Format) und wird an eine extra dafür eingerichtete Adresse bei uns eingeliefert. Dort arbeiten zum größten Teil von uns selbst geschriebene Skripte und Programme diese Meldungen ab, prüfen diese auf bestimmte Kriterien und versehen die Meldung mit einem bestimmten Wert (Score).

Zu den Kriterien zählen beispielsweise

• das Alter der gemeldeten Spammail
• wurde die Beschwerde manuell von einem Benutzer ausgelöst, mittels Meldefunktion im E-Mail-Programm
• von welchem Mail-Anbieter wurde die “Abuse-Complaint” gesendet
• etc.

Abhängig des jeweils erhaltenen Wertes und der Häufigkeit der Meldungen zu einem bestimmten Absender, gibt es weitere Kriterien und Stadien die durchlaufen werden. Wird schließlich einer der definierten Schwellwerte im System überschritten, erscheint beim Team eine Meldung mit den Ergebnissen der Prüfungen und Details wie z.B. dem initialen Score, der Anzahl an Beschwerden insgesamt, die Betreff-Zeile(n) etc.

Unser Abuse-Team prüft diese Meldung dann nochmals separat und entscheidet schließlich über das weitere Vorgehen, wie die Information an den Kunden und die Sperrung eines Account. Dabei wird dann auch berücksichtigt, ob es in der Vergangenheit schon einmal einen Vorfall beim jeweiligen Kunden gab und es evtl. sogar dasselbe Postfach betraf.

Wie wird das Problem gelöst?

Als unser Kunde erhalten Sie natürlich nicht nur eine E-Mail mit einer kurzen Notiz, sondern weitergehende Informationen, um einen solchen Vorfall in Zukunft verhindern zu können.

Meist wurde der PC des Benutzers mit einem Trojaner infiziert oder war es zumindest zeitweise, welcher das Kennwort aus dem E-Mail-Client aus- oder mitgelesen hat. In einem solchen Fall ist die umfangreiche Prüfung und Säuberung des Rechners unerlässlich und sollte in jedem Fall erfolgen, bevor das Kennwort anschließend geändert wird. Denn ansonsten kann der/ein Trojaner das neue Kennwort ebenfalls abgreifen.

Es gibt verschiedene Dienste und Tools, den Rechner zu säubern. Wir nennen im Regelfall in der E-Mail die Seite www.botfrei.de es gibt aber natürlich auch andere Dienste und Software dafür.

Besuchen Sie zur Säuberung des Rechner die Seite und navigieren Sie dort im Menü auf “Säubern (https://www.botfrei.de/decleaner.html). Laden Sie sich dort einen der angebotenen DE-Cleaner auf Ihren PC und führen Sie diesen aus. Je nach Version ist auch eine Installation erforderlich.

Wichtig: Wählen Sie unbedingt die Option zum Scannen der eigenen Dokumente mit aus!

Nach der Bereinigung Ändern wir für Sie dann gerne Ihr Kennwort, da diese vom Trojaner bereits an Dritte gesendet worden sein können. Dies gilt nicht nur für das Kennwort Ihrer E-Mail-Adresse, sondern auch für FTP und andere Programme, mit denen Sie Zugangsdaten ins Netz übermitteln.

Rückmeldung per E-Mail

Haben Sie eine Nachricht von uns erhalten, der Sie über den Missbrauch einer Ihrer E-Mail-Accounts informiert hat, so vergessen Sie bitte nicht, nach dem Ausführen der Bereinigung und der Änderung des Passwortes auf diese Nachricht zu antworten und den Kollegen Ihre Aktionen mitzuteilen.
Sie erhalten anschließend von uns eine Rückmeldung, sobald Sie den E-Mail-Account wieder verwenden können. Bei Rückfragen zum Vorgehen können Sie sich natürlich jederzeit auch unabhängig davon an unseren technischen Support wenden.

Es empfiehlt sich den DE-Cleaner und jedes andere Schutzprogramm regelmäßig auszuführen, auch wenn kein Missbrauch vorliegt, um eine Infektion des Systems frühzeitig zu erkennen/beheben.

Wir hoffen auf Verständnis für unsere scharfe Vorgehensweise und “Null-Toleranz-Politik” beim Thema Spammails und hoffen zugleich, die Sensibilität für das Thema bei Ihnen erhöht zu haben.

• < Zurück
• Weiter >