Wir verschicken täglich mehrere hundert Mails an unsere Kunden: Bestellbestätigungen, Zahlungsinfos, Versandmitteilungen etc. Die meisten davon werden automatisch verschickt und natürlich sind auch Kunden dabei, die ein gmail.com Konto haben. Seit einiger Zeit werden Mail nicht zugestellt und im Rückläufer ist u.a. folgender Text:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
[email protected]
SMTP error from remote mail server after end of data:
host gmail-smtp-in.l.google.com [173.194.70.26]:
550-5.7.1 [82.165.192.66 1] Our system has detected an unusual
rate of
550-5.7.1 unsolicited mail originating from your IP address. To protect our
550-5.7.1 users from spam, mail sent from your IP address has been blocked.
550-5.7.1 Please visit http://www.google.com/mail/help/bulk_mail.html to review
550 5.7.1 our Bulk Email Senders Guidelines. n3si11881032eep.128 - gsmtp
...
D.H. unsere IP - unter der wir unsere Mails senden - wurde vom gmail-Server geblockt! Unser Hoster ist 1und1 (root Server) und ich habe ihn schon angeschrieben, aber bisher keine Rückmeldung.
Kennt jemand das Phänomen? Was kann man tun?
Der GoogleMail-Spamfilter gehört zu den besten existierenden Spamfiltern. Wenn der Server dort gelistet ist, gab es mit ziemlicher Sicherheit einen “Zwischenfall”, jedenfalls irgendetwas was Google stört.
Habt ihr kürzlich die IP gewechselt und der Vorbesitzer hat von dieser IP Mist gebaut? Oder wurde der Server gehackt? Ist der Mailserver ordentlich abgesichert? Oder habt ihr ein Open Relay? Haben alle Mail-Benutzeraccounts sichere Passwörter und wird die Verbindung verschlüsselt hergestellt?
Ansonsten kann ich das automatische Signieren der Mails mit DKIM empfehlen. Auf einem Root-Server sollte das kein Problem sein, habe das selber bei mir eingerichtet und seit Jahren gute Erfahrungen damit. Funktioniert vollautomatisch und dürfte gerade bei GoogleMail die Wahrscheinlichkeit, als Spam eingestuft zu werden, deutlich erniedrigen. Bei Interesse an Hilfe bei der Einrichtung einfach PM an mich.
Danke für Dein Feedback!
ich versuche erst mal Deine Fragen zu beantworten:
IP-Adresse wurde nicht geändert und der Shop verschickt über diese Adresse schon seit Jahren die Standard-Mails und auch die Newsletter (nur alle 4 bis 6 Wochen - letztes NL vor ca. vier Wochen).
Dass der Mailserver gehackt wurde, schließe ich aus. In den Logdateien sind keine auffälligen Einträge.
Der einzige Unterschied ist, dass wir seit ein paar Monaten auch die Mails von unserem lokalen Wawi über diesen Mailserver rausschicken. Damit ist die Anzahl der Mails über diese IP angestiegen und möglicherweise ist jetzt bei GoogleMail eine Schwelle überschritten
Der Support bei 1und1 konnte bisher noch nicht helfen - trotz mehrerer Tickets und Telefonaten.
DKIM o.ä. zu installieren traue ich mich noch nicht. Das Problem betrifft ja ‘nur’ die Kunden mit einem gmail.com Konto und ich habe Angst da etwas zu verschlimmbessern :o
Hast du für den Mailserver alle Massnahmen wie SPF, richtiger reverse DNS etc. ausgeschöpft um dein mögliches Spamscoring zu minimieren? Sind deine Mailtemplates irgendwie bearbeitet? Hängen die Bilder an oder sind sie extern verlinkt? Es gibt viel was ein Spamfilter zum anschlagen bringen kann, besonders wenn er sehr feinfühlig ist.
Wie sieht es mit den Newslettern aus, hast du da eventuell den ein oder anderen der dich als Spam klassifiziert haben könnte?
Sonstige SBL Listen mal gecheckt ob ihr drauf steht z.B. spamhaus?
Hallo, ich muss das was ich gestern geschrieben habe zurücknehmen - heute morgen wurden mehr als 1000 Spam-Mails über die IP-Adresse verschickt!
Ich habe es durch Zufall heute entdeckt, als ich mir dir mail.log Datei angesehen habe. Irgendjemand hat heute haufenweise Mails von dieser IP-Adresse verschickt
Das was GoogleMail geschrieben hat (s. Beitrag #1) ist also völlig richtig!
Alle Mails/Telefonate, die ich mit dem Support von 1und1 geführt habe, ergaben …
Beim Vergleich der traffic-Log-Dateien mit den Mail-Log-Dateien ist nachvollziehbar dass [U]nicht[/U] irgendwelche Scripts gehackt wurden. Wie diese Hacker auf den Server gekommen sind
Ich muss noch ergänzen, dass es sich nicht um den Shop in meiner Signatur handelt, sondern um unseren “Hauptshop” und ich dort alle Mails über “localhost” rausgeschickt habe. Da bin erst mal am ändern …
PS: ich habe natürlich erst mal alle Passwörter geändert
[QUOTE=patchwork.de;120984]Irgendjemand hat heute haufenweise Mails von dieser IP-Adresse verschickt
…
Wie diese Hacker auf den Server gekommen sind
[/QUOTE]
die müssen nicht zwangsweise vom Server sein, reicht unter Umständen auch ein infizierter Clientrechner der lokal einen Zugang zu dem Mailserver hat
Als erstes schau mal ins mail.info Log und guck nach welcher User das war, wenn es kein Konto ist dann hast du irgendwo nen alten formmailer oder sonstigen Unrat herum liegen. Sehr beliebt sind derzeit auch Wordpress Installationen, alte XT Shops, alte Joomla! oder gar selbst gestrickte Scripte.
Wenn ich mir das so angucke hostest du auch [I]“andere-domain.com” (edited by mod),[/I] das ist ein WP 2.7 und wäre schon mal ein heisser Kandidat. Zudem hast du noch Reste einer WP 2.7 Installation direkt auf patchwork.de, dein promote blog ist 3.5 und sollte neu genug sein.
Prüf mal bei den Installationen ob es neue Benutzer gibt die da nicht hin gehören, ausserdem check mal die Logs ob dort ungewöhnliche Zugriffe zu sehen sind. Und spiel unbedingt Updates ein bzw. entfern den Kram auf deiner Hauptdomain!
Da der Server bereits gehackt wurde musst du nun auch unbedingt das Einfallstor feststellen, dann genau prüfen das der Angreifer keine weiteren Backdoor Scripte hinterlegt hat (erste Anhaltspunkte gibt dir eine Suche nach geänderten Dateien zwischen heute minus die Tage seit dem Hack -> find -mtime), dann solltest du auch prüfen ob von da wo der Angreifer rein ist irgendwo noch weitere Rechte erlangt wurden. Ich würde auch nach verdächtigen Prozessen prüfen und ob möglicherweise Systembefehle manipuliert wurden (ausgetauscht oder über ldconfig). Prüfe ebenfalls die Verzeichnisse im System die von überall beschreibbar sind (/tmp /dev/shm /var/tmp etc. und was es sonst noch gibt).
Das hört sich nun sehr komplex an, ist es leider auch. So ein Hack ist halt schon ein wenig ein GAU.
Wie gesagt, es betrifft nicht diesen Server. Aber wenn man schon seit dem letzten Jahrtausend im I-Net unterwegs ist, sammelt sich Unrat an. Werde mal aufräumen - Danke!
