*erledigt*

[LasMiranda]

Nun hat es mich auch noch dort erwischt.

Ich werde gesperrt, da angeblich über mein Kontaktformular Spammails verschickt wurden.
[edit]
Da ich nun täglich tausende Mails bekam, musste ich mir überlegen, wie ich am gescheitesten diesen Emailmüllberg beseitigen könne.
Ich entschied mich für eine Weiterleitung aller Mails zu meinem gmail-account.
Heute wurde nun scheinbar die IP des Servers von Seiten Gmail's geblockt und daraufhin mein Account bei xfuture-media gesperrt.

Im Header den Mails steht eindeutig, dass diese Mails über Dialups in asiatischen Gebieten geschickt und dabei ein "Zufallspostfach" von angeblich meiner Domain eingetragen wurde.

[fehlinfo über openrelay...]

Ich kann nichts dafür, wenn sich jemand mich als Absender aussucht, ich habe keine Möglichkeit einer Änderung der Serverkonfiguration, ich bin schutzlos dem Sicherheitsdenken des Webhosters ausgeliefert.

Außerdem bin ich echt am grübeln, dass jemand einen Account allein aufgrund der Absenderadresse sperrt. Es dürfte mittlerweile bekannt sein, dass sich Absenderadressen scriptmäßig sehr leicht fälschen lassen. (EDIT: Weiterleitung an gmail war Schuld. Das war meine Schuld, stand zum Zeitpunkt des posts allerdings nicht zu 100% fest)

Ich liebe diese Wochenenden, an denen alles schief geht.

 

[Actros]

der Server kann noch so sicher sein , wenn deine scripte es nicht sind

beispiel kontakformular wenn da nicht kontroliert wird ob zeilenumbrüche oder sowas drinne sind kann es schnell zur spamschleuder werden

index.php?section=unterseite , wenn hier nur includet wird und nicht darauf geachtet wird was die unterseite ist wird es zu einer nochbesseren spamschleuder

also erstmal scripte sicher machen und denn sich über serversicherheit gedanken machen

gruss

 

[SQAMPY]

Hi!

- Du bist sowohl Rechtlich als auch vertrgaglich für den Inhalt deines Webspaces verantwortlich

- Ist dein code entsprechend Unsauber so das er von extern "ausgenutzt" werden kann so hast du dies zu beheben.

- Deine Aussage "Da steht irgendwo der Server ist ein open relay" (Ja deine Mails liegen mir vor) ist nicht nachvollziehbar - Es ist logisch das dies irgendwo so gesehen wird wenn DEIN script massen an Mails versendet. Wie auch sonst würdes du das bezeichnen?

- nach sperrung des Accounts trat das problem nicht mehr auf... kannst du mir das erklären?

- ebenso trat das problem nicht bei anderne kunden auf... zufall?

sooo gehen wir mal dien heise beispiel an:

telnet resellerkiste.de 25
Trying 89.163.162.110...
Connected to resellerkiste.de.
Escape character is '^]'.
ehlo220 resellerkiste.de ESMTP Postfix (Debian/GNU)
blablubb
250-resellerkiste.de
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH DIGEST-MD5 LOGIN PLAIN
250-AUTH=DIGEST-MD5 LOGIN PLAIN
250 8BITMIME
mail from: <bla@blubb.ws>
250 Ok
rcpt to: <sqampy@sqampy.net>
554 <sqampy@sqampy.net>: Relay access denied

-> komisch komisch... Relay Access denied... was sagt man dazu...

Du möchtest das wir den account bis 12 uhr frei schalten schreibst du in der mail... OK: Beleg uns das du das problem bis dahin glaubhaft behoben hast...
Wenn du dann immer noch der meinung bist "das geht mich nichts an" kann ich dir leider nicht mehr weiter helfen - Du bist als Admin-C Für den inhalt verantwortlich. Wenn sich der nunmal zum sch*** bauen aus nutzen lässt hast du nunmal was dagegen zu unternehmen. Wenn du das trotz aufforderung nicht tust hast du die rechtlichen konsequenzen zu tragen - und bei 120 000 SPAM Mails, einer dadurch verursachten netz last (> 20 MBit/s), schäden durch netz sperrungen usw. können da (abgesehen von einer fristlosen kündigung) noch ganz andere sachen auf dich zu kommen ^^

was SPAM an geht sind wir da nicht zu unrecht sehr sensiebel... ich glaube da hat JEDER was gegen... und wieso sollen wir es durch gehen lassen das jemand 120 000 nachrichten "durch die gegend spammt"?

 

[theHacker]

also erstmal scripte sicher machen und denn sich über serversicherheit gedanken machen

Du scheinst den Post irgendwie nicht verstanden zu haben

Es geht um einen ungesicherten SMTP-Server, nicht unsichere Scripte

 

[SQAMPY]

Du scheinst den Post irgendwie nicht verstanden zu haben

Es geht um einen ungesicherten SMTP-Server, nicht unsichere Scripte

Auslegungssache ich hab eben den server durch gecheckt... genauso wie das script... ist für mich ein klarer fall von "content nicht gefiltert" habe auch das mail system unter die lupe genommen... der server nimmt nur mails an für die ein lokaler end empfänger vorhanden ist ODER mit authentifizierung (username/passwort) ...es tritt nur bei einem user auf? wäre ein ziemlich krasser zufall... ich denke eher da hat jemand auf irgend eine weise in ein script eine CC / BCC zeile übermittelt und mist raus gejagt... zum anderen bleibt der komplette kram im moment hängen da er ne weiterleitung auf gmail geschaltet hat... das heist die kompletten mails an seine addy (die er ja auch als absender im script stehen hat ) Bouncen von gmail zurück...

 

[theHacker]

Auslegungssache

Laut dem ersten Post aber nicht.

Dies klappte bei meiner Domain richtig super und damit ist der Server ungesichert, was mir scheinbar bis heute nicht geglaubt wurde.

Also ich hab grade eben auch mal probiert, Spammer mit dem Server zu spielen und bekomme ordentlich meine "Relay access denied"-Antwort.

 

[SQAMPY]

Laut dem ersten Post aber nicht.

OK das seh ich noch ein

Also ich hab grade eben auch mal probiert, Spammer mit dem Server zu spielen und bekomme ordentlich meine "Relay access denied"-Antwort.

ok bin ich schonmal nicht der einzige ^^ Danke

 

[Actros]

Du scheinst den Post irgendwie nicht verstanden zu haben

Es geht um einen ungesicherten SMTP-Server, nicht unsichere Scripte

doch hab den post schon verstanden

ich geh mal davon aus das Sqampy und x-futere wissen wie sie ihre Server einstellen und kein offnen smtp haben.

die oben gezeigten beispiele sind sehr gut als spamschleuder einsetzbar

Ich werde gesperrt, da angeblich über mein Kontaktformular Spammails verschickt wurden.

dazu brauche ich kein open relay sondern ein schwach geproggtes kontaktformular wo ich den header durch zeilenumbrüche abänder

gruss

 

[LasMiranda]

Dann ist das mit dem Openrelay ja nun endlich mal gemacht worden.

...sondern ein schwach geproggtes kontaktformular wo ich den header durch zeilenumbrüche abänder...

Die Leerzeilen werden von mir rausgekickt.

Ich habe einen festen Empfänger.
Ich müsste also die Email jedes mal bekommen.
Es müsste jedes Mal mein Betreff enthalten sein.

Ist aber laut der Sperrmail nicht der Fall.

EDIT: Man hätte auch einfach die Kontakt.php löschen und dann weitersehen können.

 

[Actros]

Dann ist das später hingefügt worden.
Die Leerzeilen werden von mir rausgekickt.

Ich habe einen festen Empfänger.
Ich müsste also die Email jedes mal bekommen.
Es müsste jedes Mal mein Betreff enthalten sein.

Ist aber laut der Sperrmail nicht der Fall.

EDIT: Man hätte auch einfach die Kontakt.php löschen und dann weitersehen können.

Kickst du auch sowas wie bcc, reply,to,cc \n ???

auch einen festen empfänger kann ich damit umgehen

poste doch mal den code vom kontaktformular

 

[SQAMPY]

Dann ist das mit dem Openrelay ja nun endlich mal gemacht worden.

gut zu wissen - nur leider falsch. Es läuft eine SMTP Konfiguration die wir von unserer standard install auf jedem server ein setzen, lediglich der eigene system mailname ist anders (logisch) - also halt mal schön den ball flach ^^

Die Leerzeilen werden von mir rausgekickt.

das habe ich gesehen... aber was ist mit cc / bcc zeilen?

Ich habe einen festen Empfänger.
Ich müsste also die Email jedes mal bekommen.
Es müsste jedes Mal mein Betreff enthalten sein.

nein da du eine weiterleitung zu gmail ein setzt und gmail die ganzen mails blockiert. es kommt NICHTS mehr durch (massives greylisting)

Ist aber laut der Sperrmail nicht der Fall.

nicht? sieh nochmal hin...

EDIT: Man hätte auch einfach die Kontakt.php löschen und dann weitersehen können.

nein hätte man nicht. man hätte rein rechtlich sogar den reseller zugang sperren können - du hast ja sogar die möglichkeit selber auf das ding zu zu greifen deswegen ist es komplett sinnlos eine freischaltung zu einer uhrzeit zu fordern. wobei eine freischaltung eben nur in frage kommt wenn du das problem wirklich behebst. solltest du da jetzt mit der meinung "da ist nichts ich klicke das jetzt frei" ran gehen ist das eine mutwillige störung des serverbetriebs.

du kannst natürlich die datei jederzeit löschen wenn du denkst das sich das problem damit löst. ein captcha und content filter wären allerdings sinnvoller komplett "mies" ist das ganze nicht geproggt.... es fehlen nur leider einige elemente zur absicherung.

wenn wir die datei einfach gelöscht hätten hättest du uns eins auf den deckel gegeben von wegen "was löscht ihr meine dateien" - wette ich drauf.

du kannst eher froh sein das wir nur den account und nicht den ganzen reseller gesperrt haben. kann ich aber gerne nach holen wenn du möchtest

 

[LasMiranda]

...aber was ist mit cc / bcc zeilen?...

ohne Leerzeilen bringen die Dinge nichts
Ich habe gesehen, wie es aussieht.

...nicht? sieh nochmal hin...

weder

A as chandler

noch

Or microfiche of metallurgist

ist mein Betreff

Das Massenmail-Problem besteht seit Monaten.
Warum ist mein Traffic bei 350 MB für Februar für den kompletten Reselleraccount? Mailtraffic müsste ja mitrechnen.

Und selbst wenn nicht gelöscht, dann wenigstens den chmod geändert, oder mal vorher eine Info geschickt. Das Problem besteht wie gesagt seit Monaten.

Und schick mir doch mal den Header einer solcher Mail.

 

[SQAMPY]

(...)betreff(...)

schön heißt nicht das man das nicht faken kann ^^

Das Massenmail-Problem besteht seit Monaten.

ich glaube gennerelle probleme mit SPAM gibt es noch länger - allerdings ging erst gestern eine flut raus und die kam nunmal definitiv mit deiner adresse ^^

Warum ist mein Traffic bei 350 MB für Februar für den kompletten Reselleraccount? Mailtraffic müsste ja mitrechnen.

wird er aber an sich nicht - können wir aber gerne ein führen ^^

Und selbst wenn nicht gelöscht, dann wenigstens den chmod geändert, oder mal vorher eine Info geschickt. Das Problem besteht wie gesagt seit Monaten.

nein dieses eben nicht - es ist ja auch nicht gesagt das es keine anderen ursachen (z.b. ein 2. script mit entsprechender versand möglichkeit) auf deinem account gibt.

Und schick mir doch mal den Header einer solcher Mail.

hast du AFAIK vom kollegen bekommen.

fakt ist es wird über dein script versendet. beheb es oder du fliegst. ende der diskussion. wir mögen keinen SPAM und wenn du das problem nicht beheben willst such dir jemanden der das akzeptiert.

 

[LasMiranda]

...hast du AFAIK vom kollegen bekommen...

From "Inez Gates" <quktuscarora mc-dd.de>
To "aaron.r.katz" <aaron.r.katz accomac.com>
Date Sun, 11 Feb 2007 19:15:08 -0500
Subject A as chandler
===========================================
From "Everette Lewis" <bgcyclorama mc-dd.de>
To "franklin" <franklin enterpriseresource.com>
Date Tue, 13 Feb 2007 08:17:31 +0800
Subject Or microfiche of metallurgist

Das hab ich bekommen. Was soll das bitte aussagen?
@ mit Leerzeichen ersetzt

 

[SQAMPY]

moin!

ich werd ihm mal bescheid geben das er dir das ganze nochmal weiter leitet.

ich hoffe das du es inzwischen nach vollziehen kannst das ein account unter dessen absender 120 000 SPAM Mails gesendet gesperrt wurde. es sagt ja niemand das du das beabsichtigt hast.

 

[LasMiranda]

...ich hoffe das du es inzwischen nach vollziehen kannst...

wenn es so wäre, dann könnte ich es nachvollziehen, ja.

In all den Mails, die ich bekommen habe, steht aber es leider ebend nicht so.

 

[SQAMPY]

wie gesagt wenn du dir das ganze bitte einfach noch mal an sehen könntest und kurz ne info sendest das das problem nicht mehr auf tritt OK - es muss eben nur aus geschlossen werden das das ganze nochmal vor kommt... wenn du einfach noch "cc:" und "bcc:" zeilen raus filterst wäre das problem an sich erledigt

 

[LasMiranda]

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>Kontakt</title>
 <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
 <meta http-equiv="expires" content="0">
 <meta http-equiv="cache-control" content="no-cache">
 <meta name="robots" content="index">
 <meta name="robots" content="nofollow">
 <meta http-equiv="refresh" content="10; URL=https://www.example.org/?go=kontakt">
</head>
<body>
<?
$email=strtolower($_POST['email']);
$text=$_POST['text'];
$name=$_POST['name'];

$error=0;

$email=str_replace("'","\'",$email);
$email=str_replace('"','\"',$email);
$email=str_replace("\n",'',$email);
$email=str_replace("\r",'',$email);
$text=str_replace("'","\'",$text);
$text=str_replace('"','\"',$text);
$name=str_replace("'","\'",$name);
$name=str_replace('"','\"',$name);
$name=str_replace("\n",'',$name);
$name=str_replace("\r",'',$name);

if($email=='email@dresse') {$error=1;}
if($email=='') {$error=1;}
if($text=='') {$error=1;} 
if(strpos($email,'@')===false) {$error=1;}
if(strpos($email,'@example.org')) {$error=1;}
if(strpos($email,'@resellerkiste.de')) {$error=1;}
if(strpos($email,'<')) {$error=1;}
if(strpos($email,'>')) {$error=1;}
if(strpos($email,'"')) {$error=1;}
if(strpos($email,"'")) {$error=1;}
if(strpos($email,'\\')) {$error=1;}
if(strpos($email,':')) {$error=1;}

if ($error===0)
{
 $admin = 'xxx'; //meine Emailadresse
 $subject = 'e-mail-Formular example.org'."\n\n";
 $message .= 'von: <a href="mailto:'.$email.'">'.$email.'</a> ('.$name.")\n";
 $message .= 'Nachricht: '.$text."\n\n";
 $message .= 'IP: '.$_SERVER['REMOTE_ADDR'];
 $message = nl2br($message);
 
 $message=stripslashes($message);
 
 mail($admin,$subject,$message,'From: '.$name.' <'.$email.'>'."\r\n".'Content-Type: text/html\nContent-Transfer-Encoding: 8bit'."\n");
... (deaktivierte Bestätigungsmail)
echo 'Nachricht erfolgreich versandt.<br>';
}
else
{
 echo 'Das Formular muss ordnungsgemäß ausgefüllt werden.<br>'.$test;
}
?>
Sollte die automatische Weiterleitung (10 Sekunden) nicht funktionieren klicke <a href="https://www.example.org/?go=kontakt">hier</a>, um zum Kontaktformular zurückzukehren.
</body>
</html>

und klar, es gibt sicherlich Möglichkeiten was zu verschicken. Ich bin mir zu 100% sicher, dass es nicht über das Formular passierte. Auf andere Sachen hab ich als normaler User keinen Einfluss

 

[ZeroCCC]

sieht sicher aus... wie kommt ihr drauf dass das von dem formular ausgeht? hat von euch jemand mal so ne spam mail mit header in die finger bekommen? wenn ja da kann man meistens eigentlich recht gut erkennen ob ne mail über ein unsicheres formular kommt oder wo anders her. eine möglichkeit kann auch sein das ein account gekapert wurde...

 

[LasMiranda]

...wie kommt ihr drauf dass das von dem formular ausgeht?...

die Seite wurde, und das kann man im Log auch erkennen, von jp und cn-Usern besucht

...eine möglichkeit kann auch sein das ein account gekapert wurde...

Webaccount ging nicht, da es kein Postfach gab.
Aufgrund der Massenmails leitete ich halt alle Mails an gmail, die dann nun zu gesagt haben: zick
Damit kamen alle Mails zurück und der Hoster stellte fest: ups