[leicht OT] SPAM als Bounces der eigenen Domain mit Schadcode im Gepäck
Servus,
in den Jahren in den ich mich nunmehr mit Mailservern beschäftigte, dachte ich eigentlich ich hab schon viel gesehen. Tja, falsch gedacht, denn seit gestern bin ich ein kleines Stückchen weiser - O.K., das ist bei mir Gerüchten nach relativ einfach, aber was sollst.
Nun gut, gestern wurde groß Alarm geschlagen, da bei einer Kollegin plötzlich hunderte Mails (Bounces) aufschlugen und sie von dritter Seite gleich angeschissen wurde, sie habe in einer Spammail auf einen Link geklickt oder ein Attachment geöffnet zu haben. Schnell konnte ich klären und beweisen, dass die Kollegin gar nichts gemacht haben kann. Weder von Ihrem Account noch von einem anderen wurden, noch auf irgend einem der Mailserver beim Kunden hat in der Zeit irgendwas in der Art und Weise verschickt.
Eigentlich ist an der Sache ja nicht ungewöhnliches, kennen wir doch Adressfälschungen und Backscatter doch schon etwas länger. Was mich aber nun stutzig machte, war der Umstand, dass in dem "zurückbekommenen Bounce" eine ZIP-Archiv mit einer .exe enthalten war. MOMENT, dachte ich mir, dafür haben wir doch extra eigene Regeln in unseren AMaViS-Cluster, die eben Nachrichten mit derartigem potentiellen Schadcode gar nicht erst annehmen soll. Kurz brach der Angstschweis aus, da ich mich selbst verdächtigte in einer der vielen dunklen Minuten (bei dem der schwarze Hund mich mehr beschäftigte als die Arbeit) etwas verkonfiguriert zu haben. Aber auch das konnte ich sehr schnell widerlegen, da alle Versuche solch präparierte Nachrichten an "mir selbst" vorbeizuschleusen, allesamt zum Scheitern verurteilt waren.
Also zurück auf Anfang und aus den Maillogs der verschiedenen Systeme die Log-Zeilen herausgesucht. Denn irgendwo muss es ja einen Grund geben, warum der gefakte Bounce mit dem Schadcode im Anhang durchgewunken wurde. Der Versuch den Schadcode in einer Standardmail verpackt zu empfangen klappt jedoch nicht. Das einzigste, was ich da nun entdeckt habe, war auf dem AMaViS-Cluster:
Sep 8 13:17:10 amavis-cluster-by amavis[23088]: (23088-10) bounce rescued by domain (DSN), <> -> redacted@example.com, date: Tue, 8 Sep 2015 12:41:24 +0200, from: Rosenbaum Group redacted@example.com, message-id: HDmUIBRrPV7ZeJ2q0r2ttvv@example.com, return-path: redacted@example.com
Hä, "bounce rescued by domain" sagt mir nix, als Tante Google befragen und folgende beiden Seiten entdeckt:
https://www.mail-archive.com/amavis-user@lists.sourceforge.net/msg11245.html http://sourceforge.net/p/amavis/mailman/amavis-user/thread/201010051713.3805...
O.K. $bounce_killer_score habe ich gefunden, der Wert wurde bis dato nicht angefasst, steht er beim Defaultwert: $bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces
Darum habe ich mich auch bis jetzt noch nie so richtig beschäftigt, weder in Berlin noch in München wurde das Thema erwähnt hehe - kleiner Wink mit dem Zaunpfahl ;)
Wie kann ich nun meine AMaVis'e dazu bewegen, gefakte Bounces zu erkennen und deren Annahme zu verweigern? Alternativ dazu, muss ich dann für solche Fälle eben doch eine Quarantäne vorhalten und derartigen Müll nicht zum Endkunden zurückzuwerfen. Also Raus aus dem Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem angeblichen bounce killer feature einlesen und beeinflussen kann.
Servus Django
HI!
Am 09.09.2015 um 15:52 schrieb django@nausch.org:
Also Raus aus dem Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem angeblichen bounce killer feature einlesen und beeinflussen kann.
Nicht alle auf einmal! ;) Ich seh schon, 'n RTFM scheint ja nicht zu kommen, wo auch, die Quellen verraten ja nicht all zu viel.
In der Section "general" hier => http://www.ijs.si/software/amavisd/ steht zumindestens: bounce killer feature (requires pen pals SQL logging) checks a header section attached to received non-delivery status notifications, and discards bounces to fake mail which do not refer to our genuine outgoing mail;
Aber das war's dann auch schon. :/
Für's erste, wäre ich ja schon glücklich, wenn die Attachments "gestrippt" würden.
Hat wirklich keiner eine Idee?
Servus Django
Servus Django
* Django [BOfH] django@nausch.org:
HI!
Am 09.09.2015 um 15:52 schrieb django@nausch.org:
Also Raus aus dem Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem angeblichen bounce killer feature einlesen und beeinflussen kann.
Nicht alle auf einmal! ;) Ich seh schon, 'n RTFM scheint ja nicht zu kommen, wo auch, die Quellen verraten ja nicht all zu viel.
In der Section "general" hier => http://www.ijs.si/software/amavisd/ steht zumindestens: bounce killer feature (requires pen pals SQL logging) checks a header section attached to received non-delivery status notifications, and discards bounces to fake mail which do not refer to our genuine outgoing mail;
Aber das war's dann auch schon. :/
Für's erste, wäre ich ja schon glücklich, wenn die Attachments "gestrippt" würden.
Hat wirklich keiner eine Idee?
Spam über Bounces ist nahe an der Esoterik. Deshalb können sich sicherlich nicht so viele an den Überlegungen beteiligen. Ich selbst habe im Moment richtig viel Arbeit und kann auf die Schnelle nicht tief genug in das Thema einsteigen.
Auf ganz fies kannst du vielleicht über mime_header_checks die Bounces mit unerwünschten Attachments blocken
p@rick .
HI Joda! :P
Am 10.09.2015 um 13:00 schrieb Patrick Ben Koetter:
Spam über Bounces ist nahe an der Esoterik.
Na ja, wäre es "nur" der SPAM würde ich sagen, hey was solls. Da aber darin Schadcode verbreitet wird - und nach den Informationen der Superspezialstrengeheimenwichtigen ist das Schadcode in bis dato noch nicht vorliegenden vergleichbar.
Deshalb können sich sicherlich nicht so viele an den Überlegungen beteiligen.
Hey, wenn's einfach wäre, würde ich doch wo anders anfragen ... ;)
Ich selbst habe im Moment richtig viel Arbeit und kann auf die Schnelle nicht tief genug in das Thema einsteigen.
p@rick, Du musst Dich nicht rechtfertigen, ich weiss dass DU immer viel Arbeit hast, ist ja selbstständig, also arbeite selbst und ständig. :P
Auf ganz fies kannst du vielleicht über mime_header_checks die Bounces mit unerwünschten Attachments blocken
Mal kucken, ich werd' dann mal Marc antriggern - wenn nicht ihn, wen sonst?
ttyl Django
* Django [BOfH] django@nausch.org:
Auf ganz fies kannst du vielleicht über mime_header_checks die Bounces mit unerwünschten Attachments blocken
Mal kucken, ich werd' dann mal Marc antriggern - wenn nicht ihn, wen sonst?
Ralf.
p@rick
Am 10.09.2015 um 12:56 schrieb Django [BOfH]:
HI!
Am 09.09.2015 um 15:52 schrieb django@nausch.org:
Also Raus aus dem Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem angeblichen bounce killer feature einlesen und beeinflussen kann.
Nicht alle auf einmal! ;) Ich seh schon, 'n RTFM scheint ja nicht zu kommen, wo auch, die Quellen verraten ja nicht all zu viel.
In der Section "general" hier => http://www.ijs.si/software/amavisd/ steht zumindestens: bounce killer feature (requires pen pals SQL logging) checks a header section attached to received non-delivery status notifications, and discards bounces to fake mail which do not refer to our genuine outgoing mail;
Aber das war's dann auch schon. :/
Für's erste, wäre ich ja schon glücklich, wenn die Attachments "gestrippt" würden.
Hat wirklich keiner eine Idee?
Servus Django
Servus Django
Hi Django , was verstehst du unter Schadcode "Virus signaturen" sollten vom antivir gekillt werden , hast du zb clamav-milter etc mit sanesecurity laufen , ansonsten ist "backscatter" immer schlecht zu erwischen...ich denke die ueblichen Verfahren dazu kennst du schon
Best Regards MfG Robert Schetterer
Am 10.09.2015 um 17:44 schrieb Robert Schetterer:
Am 10.09.2015 um 12:56 schrieb Django [BOfH]:
HI!
Am 09.09.2015 um 15:52 schrieb django@nausch.org:
Also Raus aus dem Schützengraben und klärt mich mal auf, wo genau ich mich zu diesem angeblichen bounce killer feature einlesen und beeinflussen kann.
Nicht alle auf einmal! ;) Ich seh schon, 'n RTFM scheint ja nicht zu kommen, wo auch, die Quellen verraten ja nicht all zu viel.
In der Section "general" hier => http://www.ijs.si/software/amavisd/ steht zumindestens: bounce killer feature (requires pen pals SQL logging) checks a header section attached to received non-delivery status notifications, and discards bounces to fake mail which do not refer to our genuine outgoing mail;
Aber das war's dann auch schon. :/
Für's erste, wäre ich ja schon glücklich, wenn die Attachments "gestrippt" würden.
Hat wirklich keiner eine Idee?
Servus Django
Servus Django
Hi Django , was verstehst du unter Schadcode "Virus signaturen" sollten vom antivir gekillt werden , hast du zb clamav-milter etc mit sanesecurity laufen , ansonsten ist "backscatter" immer schlecht zu erwischen...ich denke die ueblichen Verfahren dazu kennst du schon
Best Regards MfG Robert Schetterer
du koenntest versuchsweise das hier einbinden
wenn du erstmal das feature in amavis nicht nutzen willst
Best Regards MfG Robert Schetterer
Griasde Robert,
Am 10.09.2015 um 17:44 schrieb Robert Schetterer:
Hi Django , was verstehst du unter Schadcode
In den besagten ZIP-Archiven war jeweils ein Bankingtrojaner.
"Virus signaturen" sollten vom antivir gekillt werden ,
Der besagte backscatter wurde eben nicht von AMaViS/ClamAV/Spamassassin beanstandet, sondern durchgewunken. Wenn ich hingegen die Nachricht via telnet MX:25 von einem fremden Host aus als "normale eMail" versuche einzukippen, wird die Nachricht rejected. Und genau dieses Verhalten macht mich ein wenig stutzig.
ansonsten ist "backscatter" immer schlecht zu erwischen...
Auch nicht von Marc's killer feature im AMaViS?
ich denke die ueblichen Verfahren dazu kennst du schon
Wen Du mir verrätst, was "die ueblichen Verfahren" sind, dann kann ich Dir sagen, was ich kenne.
Servus Django
Am 14.09.2015 um 08:06 schrieb Django [BOfH]:
Griasde Robert,
Am 10.09.2015 um 17:44 schrieb Robert Schetterer:
Hi Django , was verstehst du unter Schadcode
In den besagten ZIP-Archiven war jeweils ein Bankingtrojaner.
"Virus signaturen" sollten vom antivir gekillt werden ,
Der besagte backscatter wurde eben nicht von AMaViS/ClamAV/Spamassassin beanstandet, sondern durchgewunken. Wenn ich hingegen die Nachricht via telnet MX:25 von einem fremden Host aus als "normale eMail" versuche einzukippen, wird die Nachricht rejected. Und genau dieses Verhalten macht mich ein wenig stutzig.
ansonsten ist "backscatter" immer schlecht zu erwischen...
Auch nicht von Marc's killer feature im AMaViS?
ich denke die ueblichen Verfahren dazu kennst du schon
Wen Du mir verrätst, was "die ueblichen Verfahren" sind, dann kann ich Dir sagen, was ich kenne.
nun ein bounce oder backscatter ich am Ende auch "nur" eine Mail, wenn Schadsoftware enthalten ist, ist es primaer die Aufgabe des Antivir das rauszufischen. Also wuerde ich in "diesem Fall" dort ansetzen, aber auch auf diesem Gebiet gilt ,100 % gibt es nicht. Sollte es eine anhaltende Welle von aehnlichen Virenmails sein, gilt es Aehnlichkeiten zu finden und dort die Empfindlichkeit von Filtern zu erhoehen. Das kann nun innerhalb von Amavis geschehen oder du brauchst zusaetzliche Filter oder eine andere Verkettung. Mit milter-manager kannst du z.b eine Art Weiche einfuehren die an Hand von div Parametern bestimmte Mails in eine andere ( evtl strengere ) Filterkette leitet.
fuer backscatter gibt es zb
bzw eben auch den bounce Killer von Amavis
Mit welcher Methode du im konkreten Fall am besten zu Rande kommst kannst du nur durch Analyse rausfinden, und dann belibt noch die Frage ob du eine Kurzeitloesung brauchst und/oder eine langfristige Loesung willst.
Servus Django
Best Regards MfG Robert Schetterer
HI Robert!
Am 14.09.2015 um 09:21 schrieb Robert Schetterer:
nun ein bounce oder backscatter ich am Ende auch "nur" eine Mail, wenn Schadsoftware enthalten ist, ist es primaer die Aufgabe des Antivir das rauszufischen.
Genau darum dreht es sich ja aus meiner Sicht. Warum hat AMaViS den Dateianhang nicht dem ClamAV vorgelegt oder dessen negativen Bescheid ignoriert, nur weil es sich um einen Bounce handelte, der scheinbar zu einer Mail der eigenen Domäne passt?
bzw eben auch den bounce Killer von Amavis
Hast Du oder irgendwer da draußen damit gearbeitet und kann Informationen zur Konfiguration und den Möglichkeiten dieses Killerfeatures berichten?
Servus Django
Am 14.09.2015 um 14:59 schrieb Django [BOfH]:
HI Robert!
Am 14.09.2015 um 09:21 schrieb Robert Schetterer:
nun ein bounce oder backscatter ich am Ende auch "nur" eine Mail, wenn Schadsoftware enthalten ist, ist es primaer die Aufgabe des Antivir das rauszufischen.
Genau darum dreht es sich ja aus meiner Sicht. Warum hat AMaViS den Dateianhang nicht dem ClamAV vorgelegt oder dessen negativen Bescheid ignoriert, nur weil es sich um einen Bounce handelte, der scheinbar zu einer Mail der eigenen Domäne passt?
das ist ein Frage fuer die Amavis Liste
bzw eben auch den bounce Killer von Amavis
Hast Du oder irgendwer da draußen damit gearbeitet und kann Informationen zur Konfiguration und den Möglichkeiten dieses Killerfeatures berichten?
ich selbst nutze kein Amavis und habe auch keinen besonderen "bounce killer" am laufen, aber ich kann bestaetigen dass clamav bisweilen bei zip im Anhang versagt
Servus Django
Best Regards MfG Robert Schetterer
HI Robert,
Quoting Robert Schetterer rs@sys4.de:
das ist ein Frage fuer die Amavis Liste
Tja, dort hatte ich am 10.09.2015 (16:39:31 CEST) eine Anfrage gestellt mit dem Subject "faked bonces (backscatter) with maleware (amavisd-new 2.8.0-1.el6.rf", aber noch keinerlei Feedback erhalten. :/
ich selbst nutze kein Amavis und habe auch keinen besonderen "bounce killer" am laufen, aber ich kann bestaetigen dass clamav bisweilen bei zip im Anhang versagt
Das kann ich so nicht unterschreiben, das scannen, auch von verschachtelten ZIP-Archiven funktionierte bis dato hier ohne Murren und knurren.
Frage: Wenn ich Dir eine eMail schicke mit dem ZIP-Archiv indem sich dieser banking-trojaner als exe-Datei befindet, würde den Euer Borderfilter bei der sys4 annehmen, oder blockt ihr sowas mit einem 550er weg?
Servus Django
participants (4)
-
Django -
django@nausch.org -
Patrick Ben Koetter -
Robert Schetterer