ich glaub, ausgerechnet diese Mail hier blieb im Server hängen ... Ich habe sie zumindest selbst nicht wiederbekommen, im Gegensatz zu meinen anderen Mails. Gruss, jens Nedon. - ------------------------------------------------- Jens Nedon ConSecur GmbH Schulze-Delitzsch-Str. 2 ------ 49716 Meppen Tel.: 0 59 31/92 24-39 ------ Fax: 0 59 31/92 24-44 eMail: nedon@consecur.de ------ Web: www.consecur.de - ------------------------------------------------- -----Ursprüngliche Nachricht----- Von: Nedon, Jens Gesendet: Donnerstag, 19. Februar 2004 16:06 An: 'Leitungsgremium des GI-Fachbereiches Sicherheit' Cc: maas@gi-ev.de; 'mj@percomp.de' Betreff: bitte beachten: Emails mit gefälschter GI-FB-Absenderkennung im Umlauf Liebe FB-LG-KollegInnen, kurz zu ihrer Info: Herr Jänichen rief mich grad an. Offenbar wird die Absenderkennung "...@gi-fb-sicherheit.de" gerade massiv für Email-Spam und Viren- versendung missbraucht (Adress-Spoofing). zum technischen Hintergrund: ---------------------------- Die Sachen werden aber nicht über unseren FB-Mailserver versendet, sondern mit eben der gefälschten Absenderkennung weltweit irgendwo eingespeist, über viele "offene" Mailserver gleichzeitig. Die Spam-tools verwenden zufällige Emfängeradressen und "einigermassen plausible" Absender- kennungen, da Mailserver mittlerweile mind. prüfen, ob es die vermeintliche Absenderdomain gibt. Es wird also eine zufällige fremde, aber gültige Absenderdomain für das Adress-Spoofing verwendet. Derzeit offenbar unsere, nach dem Muster "<zufälliger Name>@gi-fb-sicherheit.de". Das Problem ist nicht neu und da unser Mailserver gar nicht involviert ist, können wir das technisch zunächst mal nicht verhindern. Man muss sich das analog vorstellen, als würde jemand anstössige Briefe mit der Post versenden und einfach die Adresse eines anderen als Absender draufschreiben. Solange es weltweit mindestens einen Briefkasten gibt, bei dem man die Briefe dann einwerfen kann, kann man solchen Missbrauch nicht verhindern. Wir sind also nicht Empfänger der Spam-Emails und Viren. Bei uns laufen aber die ganzen automatischen Rückläufer auf, genauso wie Beschwerden und Drohbriefe (!) einiger Administratoren und Nutzer, denen das Problem noch nicht bekannt ist. Zu den Folgen: -------------- Der Vorfall bereitet uns daher (1.) "Image"-Probleme, da unbescholtene Leute von vermeintlich unserem Fachbereich mit Viren und Spam versorgt werden. Dagegen können wir nur schwer was tun, ausser halt jedem, der sich beschwert, das Problem erläutern. Der Vorfall bereitet (2.) auch technische Probleme, da Herr Jänichen unmöglich Millionen von Beschwerdeemails aussortieren, geschweige denn beantworten kann. Ausserdem läuft der Rechner irgendwann voll. Um der Lage Herr zu werden, will Herr Jänichen in den nächsten Tagen erstmal alle Bounce-Emails rausfiltern und - wenn es zuviele werden - wegwerfen, mit der Folge: -> dass Emails, die an unser postmaster-account gerichtet sind, evtl. mit weggefiltert werden und deswegen nicht beantwortet werden können. Das betrifft dann u.U. auch die Beschwerdemails, Drohbriefe sowie Emails, bei denen einfach nur der Empfänger falsch geschrieben wurde. Das dient dazu, den Mailserver und die FB-Emaillisten lauffähig zu halten. Die "richtigen" Mailinglisten des Fachbereichs und der FGs sind von dem Spam-Problem noch nicht betroffen, kann aber passieren (falls zufällig deren exakte Kennung von den Spamtools erraten wird). Insofern wäre es ggf. sinnvoll, wenn Sie zeitweilig die von Ihnen administrierten Email- listen moderieren, falls nicht ohnehin geschehen, damit bei einer Spam- Attacke nicht die dann auflaufende hohe Zahl von Emails über die Email- listen potenziert wird. Soweit in Kürze, auch mit schönem Gruss von Herrn Jänichen, der grad mit dem Server beschäftigt ist. Jens Nedon. - ------------------------------------------------- Jens Nedon ConSecur GmbH Schulze-Delitzsch-Str. 2 ------ 49716 Meppen Tel.: 0 59 31/92 24-39 ------ Fax: 0 59 31/92 24-44 eMail: nedon@consecur.de ------ Web: www.consecur.de - -------------------------------------------------