Ergebnis 1 bis 4 von 4

Thema: Ausgehende Emails werden gebounced - IP Blacklisted?

  1. #1

    Ausgehende Emails werden gebounced - IP Blacklisted?

    Halli Hallo,

    ein Freund hat mich um Rat gefragt aber meine Kenntnisse über Email-Server sind begrenzt, darum wollte ich euch mal fragen ob ich den Sachverhalt richtig interpretiere.

    Emails die per normalem Mailprogramm versendet werden werden seit ein paar Tagen auf einmal gebounced, davor lief alles über ein Jahr lang problemlos, es wurde nichts an der Konfig geändert (von dem ich weiss, ich hab den Kram eingerichtet damals aber die Person würde da auch nicht rumfummeln, das ist Blackbox für die Person).
    Die Fehlermeldung enthält den Hinweis dass die Email abgelehnt wurde weil die IP-Adresse des Senders auf einer Blacklist auftaucht aufgrund von Spam + Botnetztraffic und verweist auf https://www.spamhaus.org/query/ip/89.107.189.231.

    Ein kurzer Check dieser IP ergibt: https://myip.ms/view/ip_addresses/15...89.107.189.255

    oder einfach: https://xc7.serverdomain.org/neutral/ wenn man die IP direkt im Browser eingibt, die Domain gehört zu Webhostone, was der Emailprovider (und auch Domainverwalter für die Webseite die mit der Emailadresse zusammenhängt) des Freundes ist.

    MX-Eintrag:
    Pref Hostname IP Address TTL
    10 xc7.serverdomain.org 89.107.189.231 (TelemaxX Telekommunikation GmbH (AS12843)) 60 min
    Der betreffender Recher ist ein Macbook Air auf dem nie was installiert wird seit nem halben Jahr, der ist eingerichtet, läuft und wird nicht verändert.

    Frage:
    Hat jetzt das Macbook eventuell einen Trojaner?
    Hat der Email-Provider ein unbekanntes Botnetz bei sich laufen?
    Hat ein anderer Kunde ein Botnetz/Spam-Problem, den Kram über die Webhostone-MX-IP laufen lassen und jetzt sind 'n Haufen Kunden am Arsch?

    Kundensupport hab ich schon angeschrieben aber ich weiss nicht ob ich den Sachverhalt da richtig dargestellt hab .

    Komplette anonymisierte Metadaten der Email kann ich euch leider aktuell nicht zur Verfügung stellen, ich kriege wohl erst Sonntag Zugriff auf die entsprechenden Bounce-Mails und die mir so vorab zu schicken ... technisch zu anspruchsvoll.

    Aber da der Account geschäftlich genutzt wird brennt da aktuell die Hütte (kleines 1-Mann-Unternehmen), darum dachte ich ich frag mal euch Profis vorab.

    Danke schonmal .
    Geändert von Commodo (14.04.18 um 01:50 Uhr)

  2. #2
    \''; DROP TABLE user; --

    Administrator

    Avatar von electric.larry
    Registriert seit
    Dec 2014
    Ort
    Raum 43
    Beiträge
    1.503
    ngb:news Artikel
    80

    Re: Ausgehende Emails werden gebounced - IP Blacklisted?

    Die IP Adresse des Mailservers ist auf mehreren Blacklists gelandet. Siehe MXTOOLBOX ausgabe.

    Die CBL behauptet: "This IP is infected (or NATting for a computer that is infected) with a botnet, most likely eitest."

    Ich kenne das Setup von deinem Kumpel nicht und hab auch keine Erfahrung, ob man der Info von der CBL zu 100 % vertrauen kann. Aber wenn dein Freund auf der IP Adresse selbst einen Server betreibt, dann hat er ein Problem. Wenn das ein "normaler" Webspace + E-Mail Adresse ist, die er bei irgendeiner Firma gemietet hat, dann hat diese Firma das Problem.

    CBL sagt zum Blacklisting:
    Too many relistings in the past 24 hours (29), we recommend you read and implement our suggestions, and try again in a day or so.
    This was detected by observing this IP attempting to make contact to a "eitest" Command and Control server, with contents unique to "eitest" C&C command protocols.
    This was detected by a TCP connection from "89.107.189.231" on port "35226" going to IP address "192.42.119.41" (the sinkhole) on port "80".
    Er sollte sich in jedem Fall mit der Info, dass die Mails bouncen, er auf mehreren Blacklists gelandet ist und dass die CBL glaubt, er wäre mit Eitest infiziert, an seinen Hoster wenden.

    Der ganze Text von der CBL Blacklist:

    Spoiler: 

    RESULTS OF LOOKUP
    89.107.189.231 is listed

    This IP address was detected and listed 39 times in the past 28 days, and 30 times in the past 24 hours. The most recent detection was at Fri Apr 13 13:25:00 2018 UTC +/- 5 minutes

    This IP address was self-removed 1 times in the past week.

    This IP is infected (or NATting for a computer that is infected) with a botnet, most likely eitest.

    This IP address is infected with or NATing for an infection of "Eitest". This IP address is probably a web server where one or more virtual hosts have been infected using an exploit kit (eg: angler, empire, RIG) using EItest protocols to download, install and operate malicious code, such as gootkit, dreambot, ramnit, vawtrak, cryptXXX - infostealers, ransomware etc. See the reference links for more details.

    Note: As this is a web server compromise, only web administrators will be able to find and fix the infection. If this web site is a virtually hosted web site, please contact your administrators with this information.

    For more information on this botnet, and mitigation strategies, please see:

    EITest Description and analysis.
    Malwarebytes Description and analysis
    Securi - how to scan and clean websites
    This was detected by observing this IP attempting to make contact to a "eitest" Command and Control server, with contents unique to "eitest" C&C command protocols.

    This was detected by a TCP connection from "89.107.189.231" on port "35226" going to IP address "192.42.119.41" (the sinkhole) on port "80".

    The botnet command and control domain for this connection was "c84c8098.com".

    This detection corresponds to a connection at Fri Apr 13 13:20:18 2018 UTC (this timestamp is believed accurate to within one second).

    Detection Information Summary
    Destination IP 192.42.119.41
    Destination port 80
    Source IP 89.107.189.231
    Source port 35226
    C&C name/domain c84c8098.com
    Protocol TCP
    Time Fri Apr 13 13:20:18 2018 UTC
    Behind a NAT, you should be able to find the infected machine by looking for attempted connections to IP address "192.42.119.41" or host name "c84c8098.com" on any port with a network sniffer such as Wireshark. Equivalently, you can examine your DNS server or proxy server logs to references to "192.42.119.41" or "c84c8098.com". See Advanced Techniques for more detail on how to use Wireshark - ignore the references to port 25/SMTP traffic - the identifying activity is NOT on port 25.

    Please note that some of the above quoted information may be empty ("") or "na" or "-". In those cases, the feed has declined or is unable to give us that information. Hopefully enough information will be present to allow you to pinpoint the connections. If not, the destination ports to check are usually port 80, 8080, 443 or high ports (around 16000) outbound from your network. Most of these infections make very large numbers of connections; they should stand out.

    These infections are rated as a "severe threat" by Microsoft. It is a trojan downloader, and can download and execute ANY software on the infected computer.

    You will need to find and eradicate the infection before delisting the IP address.

    (...)

    Virtually all detections made by the CBL are of infections that do NOT leave any "tracks" for you to find in your mail server logs. This is even more important for the viruses described here - these detections are made on network-level detections of malicious behaviour and may NOT involve malicious email being sent.

    SELF REMOVAL:
    Normally, you can remove the CBL listing yourself. If no removal link is given below, follow the instructions, and come back and do the lookup again, and the removal link will appear.

    Too many relistings in the past 24 hours (29), we recommend you read and implement our suggestions, and try again in a day or so.

    Für diesen Beitrag bedanken sich Shodan, Commodo, MSX, nik

  3. #3
    Lone Gunman Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    351

    Re: Ausgehende Emails werden gebounced - IP Blacklisted?

    EITest infiziert Webseiten. WebhostOne ist ein Shared-Webhoster. Auf der IP liegen ~300 Domains, die alle nach "kleinen Projekten" klingen. Darunter sind viele "leicht abgewandelte Domains", grob geschätzt würde ich sagen der Server hostet ~100 Seiten.
    --> eine oder mehrere dieser Seiten hat eine Schwachstelle und wurde zur Malware-Schleuder umgebaut. EITest infiziert mit Vorliebe veraltete WordPress installationen, hat aber auch andere Angriffsvektoren.

    Das Problem hat erstmal der Hoster. Die werden analysieren welcher ihrer Kunden infiziert wurde und den abschalten.
    Dein Kumpel könnte seine eigene Webseite prüfen von jemandem der Ahnung hat prüfen lassen, aber wahrscheinlich kann er weder etwas für das Problem, noch etwas dagegen unternehmen. Außer es dem Hoster zu melden natürlich.

    Da die IP schon einmal aus der Spam-Liste ausgetragen wurde, ist zu vermuten, wenn auch nicht garantiert, dass der Hoster da schon dran arbeitet (und nur das Nötigste macht).
    Eine Verbindung zwischen dem Webserver und einem Command-and-Control Server des Botnetzes sagt, dass die Infektion erlaubt serverseitig Code auszuführen. In der Regel geht diese Art von Angriff nicht in die Tiefe und Shared Hosting sollte extrem abgesichert sein, die Infektion kann sich also wahrscheinlich nicht auf ihre Nachbarn verbreiten, den ganzen Server übernehmen oder z.B. die E-Mails klauen. Diese "Entwarnung" ist aber mit einer ordentlichen Prise Salz zu genießen, siehe "I.d.R." "sollte" und "wahrscheinlich" ;-) EITest ist seit Jahren aktiv und erst die Tage wurden die CNC Server durch Sinkholes ersetzt, daher passiert das "genau jetzt". Die tatsächlich infizierte Seite könnte durchaus seit längerem schon Teil des Botnetzes sein.

    Für den Hoster ist das eine ziemliche Katastrophe, die werden viel Handarbeit da rein stecken müssen.

    Dein Kumpel kann nur melden, abwarten, Tee trinken und sich überlegen ob "mehr Geld drauf werfen" für ihn eine Lösung ist um das Risiko, dass sowas noch mal passiert, zu minimieren. Denkbar wäre z.B. einen großen Mailanbieter zu nutzen, der eine gewisse "Blacklist-Immunität" besitzt und eigene Domains erlaubt. Bei GMail reden wir da von ~50€ im Jahr und das ist eine Datenkrake, die E-Mails von einer KI zu Werbezwecken hat auswerten lassen (Google behauptet sie machen das nicht mehr). Kosten/Nutzen und so.
    Für diesen Beitrag bedanken sich saddy, Commodo, nik
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  4. #4
    Mitglied

    (Threadstarter)

    Avatar von Commodo
    Registriert seit
    May 2014
    Beiträge
    140

    Re: Ausgehende Emails werden gebounced - IP Blacklisted?

    Wenn das ein "normaler" Webspace + E-Mail Adresse ist, die er bei irgendeiner Firma gemietet hat, dann hat diese Firma das Problem.
    So rum wird das betrieben. Antwort vom Support kam zurück.

    Code:
    vielen Dank für den Hinweise. Wir haben bereits eine Anpassung am Server vorgenommen. Der Versand sollte nun wieder funktionieren.
    Sind die wohl selbst auf einer Spamliste gelandet als Webhoster .... nunja, es läuft wieder wenn auch Emails aktuell etwas brauchen bis sie bei jemandem ankommenl, ganz rund läuft da also noch nicht alles.

    Danke für die Hilfe .

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •