{"id":282226,"date":"2023-06-06T23:57:44","date_gmt":"2023-06-06T21:57:44","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282226"},"modified":"2023-07-20T18:56:35","modified_gmt":"2023-07-20T16:56:35","slug":"kurios-massenweise-invalid-recipient-versuche-am-mail-gateway","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/06\/kurios-massenweise-invalid-recipient-versuche-am-mail-gateway\/","title":{"rendered":"Kurios: Massenweise &quot;invalid recipient&quot;-Versuche am Mail-Gateway"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Gmail\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2016\/07\/Mail.jpg\" alt=\"Mail\" width=\"88\" height=\"64\" align=\"left\" border=\"0\" \/>Ein Blog-Leser hat mich auf eine sehr seltsame Beobachtung aufmerksam gemacht, die in seiner Netzwerkumgebung auftritt. Die E-Mail-Server werden seit 2 Wochen mit \"invalid recipient\"-Mails bombardiert. Ich stelle es mal in den Blog ein &#8211; vielleicht haben andere Leser das ebenfalls beobachtet.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Leserhinweis<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/25713a2faf824335976a24770090328f\" alt=\"\" width=\"1\" height=\"1\" \/>Ein Blog-Leser hat mich gestern per E-Mail kontaktiert (danke daf\u00fcr), um mir seine Beobachtung mitzuteilen und zu fragen, ob das Thema vielleicht f\u00fcr andere Administratoren von Interesse ist. Der Leser schrieb:<\/p>\n<blockquote><p>Hallo G\u00fcnter,<\/p>\n<p>ich wei\u00df nicht, ob das ein aktuelles Thema auch f\u00fcr andere ist. Wir beobachten seit ca. 14 Tage eine extremen Zuwachs an Versuchen mit zuf\u00e4lligen Email-Adressen (die nat\u00fcrlich als \"invalid recipient\" abgelehnt werden.<\/p>\n<p>Das Verhalten ist immer gleich:<\/p>\n<ul>\n<li>ca. 2-3x pro Stunde sind es ca. 100 Versuche im Block, die From-Adresse ist jedes Mal anders, die Source-IP ist jedes Mal anders<\/li>\n<li>bei den To-Adressen werden verschiedene Domains von uns genutzt (auch solche, bei denen wir keine aktiven Mail-Adressen nutzen) und mit beliebigen \u201eNamen\" zusammengew\u00fcrfelt.<\/li>\n<\/ul>\n<p>Das sind aktuell ca. 10-20.000 Versuche pro Tag, am 14.05.\/15.05. scheint ein Testlauf stattgefunden zu haben uns seit 20.\/21.05. l\u00e4uft diese Welle.<\/p><\/blockquote>\n<p><img decoding=\"async\" title=\"Mail Statistik\" src=\"https:\/\/i.imgur.com\/ldAnnvR.png\" alt=\"Mail Statistik\" \/><\/p>\n<p>Meine Frage:<\/p>\n<ul>\n<li>Beobachten das andere Unternehmen auch?<\/li>\n<li>Welche Ma\u00dfnahmen treffen andere Unternehmen und dies zu verhindern?<\/li>\n<\/ul>\n<p>Die Versuche werden nat\u00fcrlich an den Server des Lesers geblockt. Aber die eingehenden Requests belasten die Systeme und f\u00fcllen Log-Dateien, was deren Auswertungen schwieriger macht, usw.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/BHV5KoH.png\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"log-File\" src=\"https:\/\/i.imgur.com\/BHV5KoH.png\" alt=\"log-File\" width=\"611\" height=\"276\" \/><\/a><br \/>\nlog-File, Zum Vergr\u00f6\u00dfern klicken<\/p>\n<h2>Was bedeutet \"invalid recipients\"?<\/h2>\n<p>Der Begriff \"invalid recipients\" steht f\u00fcr \"ung\u00fcltiger Empf\u00e4nger\", d.h. der empfangende E-Mail-Server hat die angegebene Adresse des Empf\u00e4ngers nicht in der Adressregistrierungsliste des Servers gefunden. Die an diese Adresse gesendeten E-Mails mit der Fehlermeldung \"550 &#8211; Ung\u00fcltiger Empf\u00e4nger\" zur\u00fcckgewiesen &#8211; der sendende Server erh\u00e4lt eine entsprechende Mitteilung.<\/p>\n<p>Fortinet beschreibt in <a href=\"https:\/\/web.archive.org\/web\/20220928023432\/https:\/\/docs.fortinet.com\/document\/fortimail\/7.2.1\/administration-guide\/632106\/antispam-tuning\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a>, dass Spammer manchmal den DSN-Mechanismus nutzen, um Antispam-Ma\u00dfnahmen zu umgehen. Bei diesem Angriff, der manchmal auch als \"<a href=\"https:\/\/de.wikipedia.org\/wiki\/Backscatter_(E-Mail)\" target=\"_blank\" rel=\"noopener\">Backscatter<\/a>\" bezeichnet wird, f\u00e4lscht der Spammer die E-Mail-Adresse eines legitimen Absenders und sendet absichtlich Spam an einen unzustellbaren Empf\u00e4nger, in der Erwartung, dass der E-Mail-Server des Empf\u00e4ngers eine DSN an den Absender zur\u00fccksendet, um ihn \u00fcber die fehlgeschlagene Zustellung zu informieren. Da bei diesem Angriff unschuldige E-Mail-Server und ein Standard-Benachrichtigungsmechanismus verwendet werden, k\u00f6nnen viele Anti-Spam-Mechanismen den Unterschied zwischen einer legitimen und einer gef\u00e4lschten DSN nicht erkennen.<\/p>\n<h2>Erg\u00e4nzende Meldungen<\/h2>\n<p>Auf Facebook sind mir einige R\u00fcckmeldungen von Administratoren zu obigem Thema zugegangen, die ich kurz einstelle:<\/p>\n<blockquote><p>Leser 1: Hatte ich bei Root-Servern (und somit Einsicht in die Logs des Mailservers) grunds\u00e4tzlich fast jeden Tag und w\u00fcrde ich als Grundrauschen einstufen. Au\u00dfer man hat den Mailserver als Open Relay usw. aktiv.<\/p>\n<p>Ebenso sind fehlende SPF, DKIM und DMARC Eintr\u00e4ge oft fast schon anziehend f\u00fcr solche Versuche, da dann Mail Spoofing in gr\u00f6\u00dferem Umfang auch gerne mal versucht wird.<\/p>\n<p>Leser 2: Ukraine Krieg? Wir verzeichnen \u00e4hnliche Attacken auf anderen Wegen.<\/p>\n<p>Leser 3: Bisher nicht. Aber die d\u00fcrften auch relativ gut auffallen wenn der Absender nicht passt bzw sollte SPF die aussortieren.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Ein Blog-Leser hat mich auf eine sehr seltsame Beobachtung aufmerksam gemacht, die in seiner Netzwerkumgebung auftritt. Die E-Mail-Server werden seit 2 Wochen mit \"invalid recipient\"-Mails bombardiert. Ich stelle es mal in den Blog ein &#8211; vielleicht haben andere Leser das &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/06\/kurios-massenweise-invalid-recipient-versuche-am-mail-gateway\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2039],"tags":[4353],"class_list":["post-282226","post","type-post","status-publish","format-standard","hentry","category-mail","tag-mail"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282226"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282226\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}