Spam als Non Delivery Report (NDR)

1. offizieller Beitrag

    Guten Morgen Forum,


    dass gültige Adressen zum Versenden von Spams benutzt werden und nach Unzustellbarkeit
    die vermeindlichen Absender dann NDRs bekommen, ohne je ein Mail versandt zu haben, wissen wir..


    Mein Chef meinte irgendwann gelesen zu haben, dass Spam auch direkt und aktiv in Form des NDRs verschickt werden.
    Dazu soll ich Material zusammen tragen. Leider kommt man mit den Schlagworten "Spam" & "NDR" aufgrund der Fülle
    der Hits nicht wirklich weit.


    Vielleicht reichen auch zwei Kaffee heute einfach nicht.
    Habt ihr zu diesem Thema Infos, Links, etc. ??


    Vielen Dank! Steffen

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    • Offizieller Beitrag

    schau Dir mal hier an, ist zwar etwas dürftig aber immerhin ein Anfang.


    Gruß
    Dirk

    Rein logisches Denken verschafft uns keine Erkenntnis über die wirkliche Welt.
    Alle Erkenntnis der Wirklichkeit beginnt mit der Erfahrung und endet mit ihr.
    Alle Aussagen, zu denen man auf rein logischen Wegen kommt, sind, was die Realität angeht, vollkommen leer.
    Albert Einstein

    Danke Dirk!


    Aber es sind eben nicht die automatisch als Reaktion erzeugten Reports gemeint,
    sondern Spams, die in das "Kleid" ( Maske ) eines NDRs verpackt und verschickt werden.


    Gruß Steffen

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    Das ist nicht ganz einfach. RFC281 sagt zwar, dass der NDR einen Bezug zum ehemals verschickten Mail aufweisen *sollte*, aber nicht *muss*. Ergo: um ganz sicher zu gehen, müsstest du alle NDRs von vornherein blocken. Das allerdings ist auch nicht der Weisheit letzter Schluss, da so ein NDR ja etwas aussagen will. Etwas, was man vllt. wissen will/muss/sollte.


    Vgl. hier und ff. Links


    Disclaimer:
    Ja, ich weiß, das ist aus einem Exchangeforum. Jehova, Jehova! Von diesem "Produkt" möchte ich mich in aller Form distanzieren und versichere eidesstattlich, dass ich keinerlei Beziehungen dazu habe und dieser Link nicht als Bekehrungsversuch zur Konkurrenz gemeint ist, sondern ausschließlich der Problemlösung exemplarisch dienen soll :lol:

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Habe aus mir mit mailjrn eine muell.nsf gemacht und eine serverregel aktiviert, alle NDR in diese db zu leiten. Die checke ich einmal täglich nach echten NDR. Geht natürlich so nicht auf riesigen Mailservern, aber bei meinem kleinen ist's eine Erleichterung, jedenfalls so lange, bis ich etwas besseres gefunden habe.

    Das Problem ist, dass du damit mitteilst, dass es die Adresse gibt. Was weiterem Spam Tür und Tor öffnet.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Das müsste ich mal testen, so klein ist unsere Umgebung nämlich nicht...


    Wie gehst du dann mit den echten um?
    Deaktivierst du die Regel und schiebst sie in die mail.box?
    Wie sieht es dann mit Zeitstempeln aus?
    Werden sie dann mit deiner Kennung geflagt?


    Gruß Steffen

    [color=0000CC]"Wir können Probleme nicht mit dem Denken lösen,
    das zu ihnen geführt hat." ( A. Einstein )[/color]

    die NDR-spam geht ja an "echte" Adressen, also kann ich die vor der Annahme nicht wegfiltern. Wenn das weiter zunimmt, werde ich nicht mehr direkt auf Domino annehmen, sondern über eine Sonicwall bei meinem Provider. Die fischt sehr gut inzwischen auch NDR.

    Zitat


    Erhard schrieb:
    die NDR-spam geht ja an "echte" Adressen, also kann ich die vor der Annahme nicht wegfiltern.


    Das ist das, was ich als die Schwierigkeiten genannt habe. Trivial ist die Thematik nicht, das stimmt schon. Und wenn du "nur" 1k hast, dann geht das ja noch (in welchem Zeitraum?). Bei einer 10er oder 100er Potenz ist das aber mühsam.

    Life is not a journey to the grave with the intention of arriving safely in a pretty and well-preserved body, but rather to skid in broadside, thoroughly used up, totally worn out, and loudly proclaiming "Wow, what a ride!!! :evil:
    Beschleunigung ist, wenn die Tränen der Ergriffenheit waagrecht zum Ohr hin abfliessen - Walter Röhrl

    Hi Steffen,


    ich plage mich auch gerade mit Thema herum.


    Ich hab' dazu ein Whitepaper von Sophos gefunden welches das Thema auf den Punkt bringt.


    Das Paper ist zwar von 2004 aber die Struktur der NDRs ist ja gleich geblieben.


    Mal sehen ob's mir gelingt die Dinger irgendwie mit der IQ-Suite zu fassen zu kriegen.

    Hallo,
    wir haben bei uns das gleiche Problem mit den NDR Spam Meldungen, ich habe dazu in unseren Group Tools eine Regel definiert.


    Einfach Form = NonDelivery Report und Mailer <> unsere Notes Version


    Somit ist schon mal ein großer Teil der Mails herausgefiltert.
    Gruß aus Ostwestfalen
    Bulli

    Ulrich aus OWL
    Lotus Notes seit gefühlten Ewigkeiten (1992-2032 ??), erst als User und dann als Admin.

    Hallo,
    da im Feld $Mailer der Mailclient des eigentlichen Absenders steht, sollte das durchaus funktionieren.
    Oder liege ich da jetzt komplett falsch?


    Gruß
    Torsten

    Ich würde lediglich prüfen ob der eigentliche Mailclient ein Notes-Client war und diese NDRs durchlassen. Alle anderen können ja nicht durch meine Domäne verusacht worden sein (vorausgesetzt ich habe nur Notes-Clients).

    In den von mir betreuten Domänen erhalten NDR's keinerlei "Sonderbehandlung" sondern werden ganz normal mit gescannt.


    Dabei fliegt der NDR-Spam natürlich durch einschlägige Inhalte genauso raus wie "normaler" Spam.


    Genauso erzeuge ich übrigens keinerlei automatische NDR's mehr, um nicht als unfreiwilliges Relay für diesen Dreck zu fungieren. Das ist in der Grafik der Sophos-PDF schön zu sehen, in der Folge landet man sonst auch mal schnell auf Blacklists.


    Carsten

    Hallo,


    ich bin auf eine zusätzliche Gemeinheit beim Umgang von NDRs im DSN (delivery status notification)-Format gestoßen:


    Wir leiten unsere Eingänge durch Spamassassin und werten die dadurch hinzugefügten X-Header-Felder bei der Zustellung in Notes durch einen Agenten (Trigger "vor Eingang neuer Mail") aus.


    Bei DSN-Reports sind diese Felder jedoch in Notes nicht zugänglich. Notes stellt die X-Header der eingekapselten ursprünglichen Mail wieder her und entfernt dabei die X-Header der umgebenden NDR-Mail.


    Gibt es einen Weg, die X-Header des NDR zu erhalten?


    Topologie-Details: Internet -> Notes 6.5.2 -> Spamassassin -> Zustellung auf Notes 7.0.2

    Hi @all,


    so! Ich hab' nun mit Hilfe der IQ-Suite eine Möglichkeit gefunden wie ich bei den NDRs die Spreu vom Weizen trennen kann.
    (zumindest für unsere Umgebung)


    Dazu benutze ich im Grunde 2 Text Regeln.


    Mit hilfe der ersten greife ich mir alle Delivery Notifications
    Die Regel überprüft das Feld "SMTPDSNType"
    Wenn das auf "0" oder "1" steht ist es ein NonDelivery oder DeliveryStatus


    Dann überprüft die zweite Regel das Feld "SMTPDSNDeliveryReason" dort steht nämlich bei allen gewollten DSNs der Mailer unseres ISPs drin.
    Der Wortlaut ist ungfähr "The original message was received at Fri, 11 Apr 2008 10:41:23 +0200 (CEST) from .....htp-mailer.de"


    Daher kann ich das Feld überprüfen auf "*htp-mailer.de*"
    Diese Regel ist negiert.


    Zusammengefasst:
    Wenn eine Nachricht vom SMTPDSNTyp 0 oder 1 ist und nicht "*htp.mailer.de*" im SMTDSNDeliveryReason steht, wird Sie rausgeschmissen.


    die ersten 2 Tage habe ich die Mails noch in die Quarantaine laufen lassen, hatte aber keine false-positives