Spam Bot Und nun?

[Petruss 10]

Hallo Allerseits,

 

seit Donnerstag letzter Woche können wir an einige Domains keine Mails verschicken, da der jeweilige Mailserver unsere Mails ablehnt. Allerdings immer ohne Begründung. Heute habe aber mal eine Mail an die jeweiligen Postmaster geschrieben um denn Grund der Verweigerung zu erfahren.

Folgende Antwort habe ich erhalten:

 

ATTENTION: This IP is infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating in a botnet.

This is the Storm BOT

You need to patch your system and then fix/remove the trojan. Do this before delisting, or you're most likely to be listed again almost immediately.

If this IP is a NAT firewall/gateway, you MUST configure the NAT to prevent outbound port 25 connections to the Internet except from your real mail servers.

If you have any other questions or concerns, please engage Novartis directly and they will in turn raise a ticket with us on your behalf.

Kind Regards,

 

/edit Absender Adresse gelöscht durch Guentherh

 

Wir setzen noch Server 2000 und Exchange 2000 Standard ein. Als Virenschutz haben wir Trend Micro: Viruswall, Server Protect, Officescan. Alle Pattern sind aktuell. In keinem Log steht irgend was auffälliges.

Mir fehlt gerade der Ansatz für die Problemlösung, ich finde keine Patch oder ein Removeltool zu diesem Spam Bot....

 

Vielen Dank im vorraus!!

[GuentherH 61]

Hallo.

 

Muss auch nicht sein, dass dein System wirklich verseucht ist. Informiere uns doch ein wenig mehr zu deinem System:

 

- Art des Versandes - DNS, oder Relay Host

- feste oder dynamische IP Adresse usw.

 

LG Günther

[Petruss 10]

Hallo, Problem gelöst. Unsere IP war auf einer Blacklist. The CBL

Der Server war Clean, dass war wohl ein Streich. :D

[nerd 28]

Hi!

 

Wie soll das ein Streich gewesen sein? Die nehmen normal nicht mal so eben eine IP in Ihre Liste auf...

[Petruss 10]

Irgendwie muss die IP auf die Liste gekommen sein. Der Server ist jedenfalls clean.

[GuentherH 61]

Hallo.

 

So unrecht hat Nerd nicht. Du solltest dir darüber schon Gedanken machen, wieso du auf einer Blacklist gelandet bist.

 

Ich würde auf jeden Fall die DNS inkl. PTR für deine Mail Domäne überprüfen.

 

LG Günther

[Gulp 252]

In der Mail war ja auch nicht vom Mailserver direkt die Rede, sondern von einem Rechner in dem gleichen Netz in dem der Mailserver steht, der möglicherweise mit dem Storm-Worm infiziert ist und eventuell als Spamschleuder aktiv ist.

 

Der Verfasser der Mail rät Dir weiterhin den Zugang der PC's ausser dem echten Mailserver über Port 25 (SMTP) nach ausser per Firewall zu sperren, falls möglich.

 

Ein sinniger Vorschlag, wie ich finde ......

 

Hast Du denn mal geprüft, ob das nicht doch der Grund für das Listing ist?

 

Grüsse

 

Gulp

[marka 584]

Wir hatten einen ähnlichen Fall die Tage:

 

Unser Rootserver bei der T-Com wurde auf ein leistungsfähigeres System migriert. Im Zuge dieser Migration hat der Server eine neue IP-Adresse erhalten. Diese wurde im DNS auch sehr schnell repliziert. Dummerweise landeten unmittelbar nach der Migration auf einigen Blacklists.

Eine Nachfrage bei der Telekom ergab, dass diese IP-Adresse bis vor drei Wochen noch verwendet wurde und der Kunde durch hohen Traffic aufgefallen ist. Es könne nicht auszuschließen sein, dass der Traffic durch Spam verursacht wurde.

Alle Blacklistenadmins angemailt, uns doch freundlicherweise zu entfernen und die Situation kurz geschildert.

Einen Tag später war alles wieder sauber.

 

Aber ich würde auch generell empfehlen, auf der Firewall SMTP ausschließlich dem reelen Mailserver zu erlauben.

Sonst hat keiner im Netz direkt Mails zu versenden. Falls doch, diesen wenigen das explizit getatten.