Ankündigung

Einklappen
Keine Ankündigung bisher.

Spamversand über IPs von Domainfactory verursacht ärgerliche Blocklist-Einträge

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Spamversand über IPs von Domainfactory verursacht ärgerliche Blocklist-Einträge

    Kurzversion:

    Derzeit registrieren wir wieder eine Spamversandwelle, bei welcher der Versand der Mails über IP-Adressen von Domainfactory läuft. Dies hat wiederum zur Folge, dass diese IP-Adressen auf den Blocklisten diverser Anbieter landet. Am Ende führt dies dazu, dass wir über unsere Domainfactory-Accounts Probleme beim Versand von E-Mails bekommen. Teilweise können uns Kunden auch nicht einmal auf unsere E-Mails antworten, da deren Mailprovider (im konkreten Fall war es web.de) den Versand der Mail unter Verweis auf die Spammer-IP-Adresse blockierte.


    Langversion:

    Wir nutzen diverse Domains bei Domainfactory. Auch unser E-Mail-Versand erfolgt darüber. Aufmerksam auf die Spamwelle wurden wir dadurch, dass wir für alle Domains die "Catch-All"-Funktion aktiviert haben und damit auch Mails empfangen, die an eine eigentlich nicht existente E-Mail-Adresse von uns geschickt werden. In den letzten Wochen erhalten wir sehr viele Autoreply-Meldungen, dass eine von uns stammende E-Mail nicht angenommen wurde, da es sich dabei um Spam handelt. Interessant dabei ist, dass die Mail an eine nicht existente E-Mail-Adresse von uns geschickt wurde ([email protected]). Über die Catch-All-Funktion haben wir die Mail dennoch zu Gesicht bekommen. Teilweise bekommen wir aber selbst direkt solche Spam- bzw. Fishing-Mails, die vorgeben, von Domainfactory direkt zu stammen. Ein Blick in den Header offenbart dann als Absender eine fiktive E-Mail-Adresse [email protected] (wobei ich meinen Hintern verwette, dass die Domain "irgendeine-domain.de" auch bei DF gehostet ist).

    Gegen den Missbrauch des eigenen Domainnamens kann man in diesem Zusammenhang wenig machen - außer einen SPF-Eintrag zu setzen. Allerdings erfolgt der Versand der Spam-Mails nicht über irgendwelche fremde IP-Adressen, sondern über IP-Adressen von Domainfactory. Damit nützt der SPF-Eintrag nichts und entsprechend schnell landen diese IP-Adressen dann auf Blocklisten diverser E-Mail-Anbieter. Dies führt dann dazu, dass E-Mails von uns teilweise nicht mehr von anderen Anbietern angenommen werden.

    Hier der Screenshot der Autoreply-Mail, die ein Kunde von unser erhielt, als er auf eine Mail von mir antworten wollte:

    Klicken Sie bitte auf die Grafik für eine vergrößerte Ansicht

Name: grafik.png
Ansichten: 620
Größe: 121,8 KB
ID: 12091

    #2
    Die Fehlermeldung im Screenshot kommt vom Web.de Mailsystem und berichtet davon, dass der Domainfactory Server die Mail abgelehnt hat, weil der Web.de Mailserver bei Spamhaus geblacklistet ist.

    Kommentar


      #3
      Das gleiche Problem habe ich auch. Allerdings kommt die Ablehnung bei (den angeblich von mir ) gesendeten Mails von t-online. Betroffen sind 2 bei Df gehosteten Emails. Andere meiner Domains, die bei anderen Providern gehostet sind, haben das Problem nicht.

      Return-path: <[email protected]>
      Received: from [64.137.88.118] (helo=compassionmedia.org)
      by smtprelay06.ispgateway.de with esmtpsa (TLS1) tls TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
      (Exim 4.94.2)
      (envelope-from <[email protected]>

      host mx00.t-online.de [194.25.134.8]
      SMTP error from remote mail server after end of data:
      550-5.7.0 Message considered as spam or virus, rejected
      550-5.7.0 Your IP: 80.67.18.29
      550-5.7.0 Mailhost: mailin74.mgt.mul.t-online.de
      550-5.7.0 Timestamp: 2022-08-17T14:39:49Z
      550-5.7.0 Expurgate-ID: 149288::1660747189-01A5F3FC-1022D1F5/3/7593627343
      550-5.7.0 Authenticator: D2252D5DC8633550F7358F4F754F74A6860A8E7881AF83BD14 9724182CD4D365EA110E58
      550-5.7.0
      550-5.7.0 Your message has been rejected due to spam or virus classification.
      550-5.7.0 If you feel this is inapplicable, please report the above error codes
      550-5.7.0 back to [email protected] to help us fix possible misclassification.
      550-5.7.0 We apologize for any inconvenience and thank you for your assistance!
      550-5.7.0
      550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam oder
      550-5.7.0 Virus eingestuft wurde. Sollten Sie dies als unzutreffend ansehen,
      550-5.7.0 senden Sie bitte obige Fehlercodes an [email protected], damit wir
      550-5.7.0 die Klassifizierung unters

      Kommentar


        #4
        Hallo zusammen,

        die beiden Fälle zeigen recht gut, dass es leider immer wieder alle Anbieter betrifft. Wir tun viel dafür, dass es sich in Grenzen hält und wir schnell eine Austragung erreichen können, nachdem wir Verursacher identifiziert haben.

        Mit freundlichen Grüßen

        Nils Dornblut
        Blog - Facebook - Twitter
        Communitybetreiber: domainfactory GmbH
        Impressum / Pflichtangaben

        Kommentar


          #5
          Hallo zusammen!

          Ich habe derzeit dasselbe Problem, mein Newsletter wird plötzlich kaum noch angenommen.
          Knickerbocker meinte ja, dass man bis auf den (nichts ändernden) SPF-Eintrag nichts tun könne. Wie kann man das Problem lösen? Mich bei jedem Anbieter erneut zu verifizieren, wenn das Problem weiter besteht, bringt ja auch nichts.

          Zwei Beispiele:

          A) Newsletterversand über Verteiler: E-Mails wurden nicht zugestellt, z. B. alle mit Adressen von Gmail

          [email protected]>: host gmail-smtp-in.l.google.com[173.194.76.27] said:
          550-5.7.26 The MAIL FROM domain [gmx.de] has an SPF record with a hard fail
          550-5.7.26 policy (-all) but it fails to pass SPF checks with the ip:
          550-5.7.26 [92.204.55.102]. To best protect our users from spam and
          phishing, 550-5.7.26 the message has been blocked. Please visit 550-5.7.26
          https://support.google.com/mail/answer/81126#authentication for more 550
          5.7.26 information. w1-20020adfec41000000b00220621f3455si4931916wrn.343 -
          gsmtp (in reply to end of DATA command)

          B) E-Mails, die ich nicht geschrieben / veranlasst habe, aber eine Nichtzustellbarkeitsnotiz erhalte. In den txt-Ansichten ist erkennbar, dass Spam angeblich von einer ZEIT-Adresse an Dritte ging.

          [email protected]
          host mx03.t-online.de [194.25.134.73]
          SMTP error from remote mail server after end of data:
          550-5.7.0 Message considered as spam or virus, rejected
          550-5.7.0 Your IP: 80.67.18.13
          550-5.7.0 Mailhost: mailin77.mgt.mul.t-online.de
          550-5.7.0 Timestamp: 2022-08-26T22:45:30Z
          550-5.7.0 Expurgate-ID: 149288::1661553930-02D6E531-57E7336B/17/64333
          550-5.7.0 Authenticator: 6C8CFB89FCCF8EC0C8021FFAC23F6D13D3454FF238801B6C9C 69A7E34E83504FF6B71F28
          550-5.7.0
          550-5.7.0 Your message has been rejected due to spam or virus classification.
          550-5.7.0 If you feel this is inapplicable, please report the above error codes
          550-5.7.0 back to [email protected] to help us fix possible misclassification.
          550-5.7.0 We apologize for any inconvenience and thank you for your assistance!
          550-5.7.0
          550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam oder
          550-5.7.0 Virus eingestuft wurde. Sollten Sie dies als unzutreffend ansehen,
          550-5.7.0 senden Sie bitte obige Fehlercodes an [email protected], damit wir
          550-5.7.0 die Klassifizierung untersuche

          Ich würde mich sehr freuen, wenn wir zeitnah eine Lösung finden.
          samaraskunst.de

          Kommentar


            #6
            The MAIL FROM domain [gmx.de] has an SPF record with a hard fail
            Der Fehler hat nichts mit Reputation zu tun. Du versuchst, über einen DF-Server Mail mit einer Absenderadresse zu verschicken, deren Domain nur bestimmte für diese Domain zuständige Mailserver erlaubt. Benutze den zur Adresse passenden Mailserver.

            Kommentar


              #7
              Zitat von Bugsea Beitrag anzeigen

              Der Fehler hat nichts mit Reputation zu tun. Du versuchst, über einen DF-Server Mail mit einer Absenderadresse zu verschicken, deren Domain nur bestimmte für diese Domain zuständige Mailserver erlaubt. Benutze den zur Adresse passenden Mailserver.
              Richtig, bitte benutzen Sie Corin_Nau als Absender eine Adresse einer Domain hier, wo Sie entsprechend den SPF-Eintrag passend gesetzt haben.

              Mit freundlichen Grüßen

              Nils Dornblut
              Blog - Facebook - Twitter
              Communitybetreiber: domainfactory GmbH
              Impressum / Pflichtangaben

              Kommentar


                #8
                Danke Bugsea und Nils Dornblut, für Aufklärung und Hinweis.
                dass hier GMX ins Spiel kam, obwohl der Newsletter-Absender eine domainadresse ([email protected]) ist, war der Schlüssel. GMX wurde hier von WordPress hereingezogen, obwohl es nicht hingehört. Daher stimmte auch der SPF nicht überein mit der Versandadresse. (GMX ist lediglich in WordPress generell hinterlegt, aber nie Absender; aber das scheint ein bekannter WordPress-Fehler zu sein - ich hatte vorhin ein gutes Gespräch mit einem Kundendienstmitarbeiter.) Dass die GMX-Adresse daher leicht abzugreifen war, hat wohl auch für den weiteren Spam gesorgt. Wechsle auf ein SMTP-PlugIn.
                Danke fürs auf-die-richtige-Spur-bringen!

                Beste Grüße
                Corin_Nau

                Kommentar


                  #9
                  Zitat von Corin_Nau Beitrag anzeigen
                  Danke Bugsea und Nils Dornblut, für Aufklärung und Hinweis.
                  dass hier GMX ins Spiel kam, obwohl der Newsletter-Absender eine domainadresse ([email protected]) ist, war der Schlüssel. GMX wurde hier von WordPress hereingezogen, obwohl es nicht hingehört. Daher stimmte auch der SPF nicht überein mit der Versandadresse. (GMX ist lediglich in WordPress generell hinterlegt, aber nie Absender; aber das scheint ein bekannter WordPress-Fehler zu sein - ich hatte vorhin ein gutes Gespräch mit einem Kundendienstmitarbeiter.) Dass die GMX-Adresse daher leicht abzugreifen war, hat wohl auch für den weiteren Spam gesorgt. Wechsle auf ein SMTP-PlugIn.
                  Danke fürs auf-die-richtige-Spur-bringen!
                  Super, danke für die Rückmeldung. Bei weiteren Fragen gerne melden!

                  Mit freundlichen Grüßen

                  Nils Dornblut
                  Blog - Facebook - Twitter
                  Communitybetreiber: domainfactory GmbH
                  Impressum / Pflichtangaben

                  Kommentar


                    #10
                    Hallo,

                    leider nimmt es aktuell wirklich überhand. Da nicht jeder mit einer Catch-All Adresse rumläuft fällt es vielleicht noch nicht so auf.
                    Aber so sieht es bei mir gerade aus mit nur zwei Domains...

                    Klicken Sie bitte auf die Grafik für eine vergrößerte Ansicht

Name: Screenshot 2022-09-06 143803.jpg
Ansichten: 271
Größe: 63,3 KB
ID: 12199

                    Heute ist es helo=nivis.de, aber das wechselt.. (nivis.de MX 3600 100 mxlbpu.ispgateway.de)
                    Und das sind nur die Mails von (angeblich) meiner Domain die als Spam erkannt und geblockt wurden.

                    Gruß
                    Jorn

                    Kommentar


                      #11
                      Bei uns häufen sich diese Fälle auch seit etwa 1-2 Wochen, betroffen sind bisher immer t-online.de Empfängeradressen. Die Nachrichten sehen dann immer so aus:

                      ----
                      This message was created automatically by mail delivery software.

                      A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

                      [email protected],de
                      host mx01.t-online.de [194.25.134.72]
                      SMTP error from remote mail server after initial connection:
                      554 IP=80.67.18.29 - A problem occurred. (Ask your postmaster for help or to contact [email protected] to clarify.)
                      ----

                      Wobei die IP-Adresse in den letzten Zeile variert, zB auch 80.67.18.15​.

                      So wie ich diverse Threats hier im Forum verstanden habe, liegt das Problem darin, dass diverse IP-Adressen von df mit Spamversand in Blacklists landen und der Mailversand durch uns auch über diese IP-Adressen erfolgt und somit fehlschlägt. Es wurde teils auch der Vorschlag mit einem SPF-Eintrag von Usern ins Spiel gebracht - dieser scheint aber auch nichts zu bringen, da der Spamversand ja über df erfolgt.
                      Gibt es andere Möglichkeiten bzw. was unternimmt df hier, damit die Mails der eigenen Kunden auch bei Empfänger eintreffen?

                      Kommentar


                        #12
                        Zitat von Jorn Sieben Beitrag anzeigen
                        Hallo,

                        leider nimmt es aktuell wirklich überhand. Da nicht jeder mit einer Catch-All Adresse rumläuft fällt es vielleicht noch nicht so auf.
                        Aber so sieht es bei mir gerade aus mit nur zwei Domains...

                        Klicken Sie bitte auf die Grafik für eine vergrößerte Ansicht

Name: Screenshot 2022-09-06 143803.jpg
Ansichten: 271
Größe: 63,3 KB
ID: 12199

                        Heute ist es helo=nivis.de, aber das wechselt.. (nivis.de MX 3600 100 mxlbpu.ispgateway.de)
                        Und das sind nur die Mails von (angeblich) meiner Domain die als Spam erkannt und geblockt wurden.

                        Gruß
                        Jorn
                        Hier haben Sie keine E-Mails an die Empfänger gesendet oder? Erfolgte der Versand über unsere Server? Hat die Fehlermeldung einen Header, den wir mal sehen können?

                        Mit freundlichen Grüßen

                        Nils Dornblut
                        Blog - Facebook - Twitter
                        Communitybetreiber: domainfactory GmbH
                        Impressum / Pflichtangaben

                        Kommentar


                          #13
                          Zitat von fa123 Beitrag anzeigen
                          [...]
                          So wie ich diverse Threats hier im Forum verstanden habe, liegt das Problem darin, dass diverse IP-Adressen von df mit Spamversand in Blacklists landen und der Mailversand durch uns auch über diese IP-Adressen erfolgt und somit fehlschlägt. Es wurde teils auch der Vorschlag mit einem SPF-Eintrag von Usern ins Spiel gebracht - dieser scheint aber auch nichts zu bringen, da der Spamversand ja über df erfolgt.
                          Gibt es andere Möglichkeiten bzw. was unternimmt df hier, damit die Mails der eigenen Kunden auch bei Empfänger eintreffen?
                          Stehen in der Meldung auch Blacklisteinträge oder ein Listenname?

                          Wir prüfen standardmäßig auf viele Blacklists, identifizieren bei Einträgen unserer Server das Problem und veranlassen im Regelfall eine Austragung. Insgesamt stecken wir da viele Ressourcen hinein, damit das jeweils schnell geklärt wird. Leider können wir diese Einträge trotz diverser Maßnahmen nicht immer vermeiden.

                          Auch wenn es unschön ist, können Sie in solchen Fällen die E-Mail noch einmal senden und landen dann oft auf einem Anderen SMTP-Server, wo die Chance gut ist, dass dieser dann nicht auf der jeweiligen Liste seht.

                          Mit freundlichen Grüßen

                          Nils Dornblut
                          Blog - Facebook - Twitter
                          Communitybetreiber: domainfactory GmbH
                          Impressum / Pflichtangaben

                          Kommentar


                            #14
                            Zitat von Nils Dornblut Beitrag anzeigen
                            Stehen in der Meldung auch Blacklisteinträge oder ein Listenname?

                            Wir prüfen standardmäßig auf viele Blacklists, identifizieren bei Einträgen unserer Server das Problem und veranlassen im Regelfall eine Austragung. Insgesamt stecken wir da viele Ressourcen hinein, damit das jeweils schnell geklärt wird. Leider können wir diese Einträge trotz diverser Maßnahmen nicht immer vermeiden.

                            Auch wenn es unschön ist, können Sie in solchen Fällen die E-Mail noch einmal senden und landen dann oft auf einem Anderen SMTP-Server, wo die Chance gut ist, dass dieser dann nicht auf der jeweiligen Liste seht.

                            Mit freundlichen Grüßen

                            Nils Dornblut

                            Im Text der Mail steht nichts weiter bzw. wo sollte ich hier schauen?

                            Mehr als 2x habe ich es nicht versucht; es war dabei auch jedes Mal eine andere IP-Adresse für den Mailversand, aber t-online hat diese Nachricht immer gleich abgewiesen.

                            Fakt ist, dass die für den Versand von uns verwendete Domain nicht in den öffentlich einsehbaren Blacklists angeführt ist.
                            Die Ursache ist genau das vom Threat-Opener Knickerbocker​ bzw. von Jorn Sieben​beschrieben Spam-Problem: Es werden Spam-Mails mit einer/zwei bei df registrierten Domain(s) als reply-Adresse versendet (wir haben hier Catch-All abgeschaltet, da sonst jetzt jeden Tag viele dieser t-online-Fehlermeldungen an die falschen Return-path-Mailadresse kommen; diese haben immer den gleichen Aufbau: [email protected]). Und da der Mailversand auch noch über df-Mailserver erfolgt, kommt es zu diesen offensichtlichen telekominternen Blacklists.
                            Ein Beispiel (alle drei unten genannten Domains, auch die des Konkurenz-Anbieters sind nicht in Blacklists):

                            ----------

                            Return-path: <[email protected]>
                            Received: from [64.137.88.45] (helo=henrici-XXXXXXXXX.de)
                            by smtprelay05.ispgateway.de with esmtpsa (TLS1) tls TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
                            (Exim 4.94.2)
                            (envelope-from <[email protected]>)
                            id 1oKiEe-0001me-CO
                            for [email protected]; Sun, 07 Aug 2022 17:30:36 +0200
                            MIME-Version: 1.0
                            Message-Id: <[email protected]>
                            From: "Bei-Anderem-Anbieter-Registrierte-Domain.de" <[email protected]>
                            Subject: Krankenkassen wollen es nicht bezahlen : 769462
                            Reply-To: [email protected]
                            To: [email protected]
                            Content-Transfer-Encoding: quoted-printable
                            Content-Type: text/html; charset=UTF-8
                            Date: Sun, 07 Aug 2022 17:27:04 +0200
                            X-Df-Sender: a2F5bmRma2l5ZUBoZW5yaWNpLW5hdHVyc3RlaW5lLmRl

                            ----------

                            Reporting-MTA: dns; smtprelay05.ispgateway.de

                            Action: failed
                            Final-Recipient: rfc822;[email protected]
                            Status: 5.0.0
                            Remote-MTA: dns; mx03.t-online.de
                            Diagnostic-Code: smtp; 550-5.7.0 Message considered as spam or virus, rejected
                            550-5.7.0 Your IP: 80.67.31.94
                            550-5.7.0 Mailhost: mailin83.mgt.mul.t-online.de
                            550-5.7.0 Timestamp: 2022-08-07T17:04:45Z
                            550-5.7.0 Expurgate-ID: 149288::1659891885-02935AF5-9493AC8F/17/64251
                            550-5.7.0 Authenticator: E9D9C042660B1D9DEC6A09EC84114ACD4EFA975F1776DEE9D8 C3805189775DAD71AB4C07
                            550-5.7.0
                            550-5.7.0 Your message has been rejected due to spam or virus classification.
                            550-5.7.0 If you feel this is inapplicable, please report the above error codes
                            550-5.7.0 back to [email protected] to help us fix possible misclassification.
                            550-5.7.0 We apologize for any inconvenience and thank you for your assistance!
                            550-5.7.0
                            550-5.7.0 Die Annahme Ihrer Nachricht wurde abgelehnt, da sie als Spam oder
                            550-5.7.0 Virus eingestuft wurde. Sollten Sie dies als unzutreffend ansehen,
                            550-5.7.0 senden Sie bitte obige Fehlercodes an [email protected], damit wir[truncated]

                            Kommentar


                              #15
                              Zitat von Nils Dornblut Beitrag anzeigen

                              Hier haben Sie keine E-Mails an die Empfänger gesendet oder? Erfolgte der Versand über unsere Server? Hat die Fehlermeldung einen Header, den wir mal sehen können?

                              Mit freundlichen Grüßen

                              Nils Dornblut
                              Hallo,

                              die Mails wurden von mir nicht gesendet, diese Rückläufer gehen an verschiedene Adressen mit meiner Domain, immer noreply_ und dann wechselnde Nummer. Also im Grunde so wie es nun auch fa123 geschildert hat. Auch ich habe nun bei einigen Domains den momentan nicht benötigten Catch-all abgestellt, aber bei einigen Domains verwende ich das aktiv und kann es nicht deaktivieren. (Außerdem verhindert das ja nicht dass in "meinem" Namen Spammails versendet werden.)
                              Header sieht ebenfalls so aus wie bei meinem Vorposter:

                              ===
                              Received: from [13.68.225.102] (helo=bds-[zensiert].de)
                              by smtprelay04.ispgateway.de with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
                              (Exim 4.94.2)
                              (envelope-from <[email protected][meine Domain].de>)
                              id 1oWbqT-0001kZ-NB
                              for [email protected]; Fri, 09 Sep 2022 13:06:50 +0200
                              From: "Frank thelen" <[email protected]>
                              Subject: Bild.de - 7872930
                              MIME-Version: 1.0
                              To: [email protected]
                              Content-Transfer-Encoding: 7bit
                              Content-Type: text/html; charset=UTF-8
                              Message-Id: <[email protected]>
                              Reply-To: [email protected]
                              Date: Fri, 09 Sep 2022 13:04:39 +0200
                              X-Df-Sender: aHVodXR4c3luZEBiZHMtYnJlbWVuLmRl

                              ===

                              Return-path: <[email protected][meine Domain].de>
                              Received: from [20.229.232.155] (helo=bds-[zensiert].de)
                              by smtprelay08.ispgateway.de with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
                              (Exim 4.94.2)
                              (envelope-from <[email protected][meine Domain].de>)
                              id 1oWaVo-0000Tp-6V
                              for [email protected]; Fri, 09 Sep 2022 11:41:24 +0200
                              From: "Sueddeutsche" <[email protected]>
                              Subject: Zeitung - 6952734
                              MIME-Version: 1.0
                              To: [email protected]
                              Content-Transfer-Encoding: 7bit
                              Content-Type: text/html; charset=UTF-8
                              Message-Id: <[email protected]>
                              Reply-To: [email protected]
                              Date: Fri, 09 Sep 2022 11:37:18 +0200
                              X-Df-Sender: aHVodWxtam9xbkBiZHMtYnJlbWVuLmRl​

                              ===

                              Der Part
                              Received: from [20.229.232.155] (helo=bds-[zensiert].de)
                              ist immer unterschiedlich, es ist also nicht nur "Helo = bds- usw."

                              Gruß
                              Jorn

                              Kommentar

                              Lädt...
                              X