Nicht auffindbarer Trojaner verursacht Blacklisting

Hatte ich heute noch gar nicht daran gedacht, dass es eventuell ein typischer Montag werden sollte, wurde ich jedoch alsbald wieder auf den Boden der Realität zurückgeholt. Ein typischer Montag nimmt seinen Lauf. 🙂

Mein Server auf der Blacklist – na toll. Ein paar Emailprovider rejecten meine Emails bereits, da selbige die Blacklists zum eigenen (Spam)Schutz abrufen. Ich bemühe besagte Website des  „Blacklistinganbieters“, um zu sehen, was denn da los ist und werde auch sofort und sehr detailliert auf die Sachlage aufmerksam gemacht.

Offenbar hat einer meiner LAN Rechner eine Verbindung zu einer IP Adresse aufgenommen, die nur ein bereits seit 2008 im Umlauf befindender Bankingtrojaner nutzt. Um nun herauszufinden, welcher Rechner es genau ist, bemühe ich mein GOTT SEI DANK sehr umfangreiches Logging auf der Firewall. Hätte ich hier keine Logs, wäre ich ganz schön aufgeschmissen!

Nach kurzer Recherche ist der betroffene Rechner auch ausfindig gemacht. Nach Studie der „Charakteristiken“ des Trojaners, wird zu allererst mal nach einem Removaltool für diesen „Bösling“ gesucht und gefunden.

Nicht zu vergessen gilt es, die automatische Systemwiederherstellung von Windows XP auszuschalten. Und nun feuer frei… der Remover sucht… und sucht… und findet: NICHTS…?!?!

Ratlosigkeit?

Nein, als Präventivmaßnahme blocke ich alle ausgehenden Connections zu besagter Schädlings-IP, die anscheinend immer dieselbe ist. Natürlich ist das keine Problemlösung, jedoch verhindere ich hiermit weitere Kommunikation. Weitere Scanvorgänge mit 3 anderen Utilities und auch Antivirensoftware verpuffen ebenso ohne Ergebnis. Alle meinen: „Die Maschine ist clean.“

Handarbeit

Gut! Dann geh ich halt selbst suchen! Aufgrund der detaillierten Beschreibung des Trojaners, suche ich selbst nach Dateien und Registryeinträgen, die hinterlassen werden. Zu meiner Verwunderung finde ich aber auch hier keinen einzigen Hinweis darauf, dass ein Schädling am Werke ist.

Ok, zusammenfassend:

  • Virenscanner und div. Tools finden nichts
  • Manuelle Suche nach Spuren des Trojaner sind erfolglos. Es sind keine Spuren (abgelegte Dateien in /Temp oder /Windows/temp) zu finden

Nächster (letzter) Lösungsansatz, bevor eine Neuinstallation des Rechners die letzte Variante ist, ist das neu schreiben des MBR (MasterBootRecord) mittels XP CD und Recoverymodus, da sich der Schädling im MBR versteckt.

Der MBR wird erfolgreich neu geschrieben. Ich reboote das System und werfe, nachdem der PC hochgefahren ist, erneut einen Blick auf meine Logdateien. Normalerweise hat der PC bei jedem Neustart eine Verbindung zur „bösen“ IP aufgenommen.

Aha, siehe da – es wird keine Verbindung mehr aufgebaut. Schaut nach einem Erfolg aus.

Nichts desto trotz ist in so einem Fall, die bessere Variante, den PC neu aufzusetzen!

Übrigens handelte es sich lt. Spamlisting um diesen Schädling (obwohl einige Details nicht dafür sprechen), der nur unter Windows sein Unwesen treibt: http://www.symantec.com/security_response/writeup.jsp?docid=2008-010718-3448-99

 

 

 

Hmailserver – kostenlos und leistungsstark

Gutes muss nicht teuer sein

Im Zusammenhang mit der Suche nach weiteren Möglichkeiten der Spamabwehr bin ich durch den Tip eines Freundes auf den Hmailserver gestoßen.

Dieses Produkt ist seid einigen Versionen nicht mehr Opensource sondern Closedsource, jedoch dennoch kostenlos.

Die ca. 3 MB große Installationsdatei kann man sich von  der Homepage www.hmailserver.com herunterladen.

Die Installation ist mit wenigen Mausklicks erledigt. Der Hmailserver bietet zur Datenspeicherung eine eigene Datenbank an, die mitinstalliert werden kann. Man kann jedoch auch auf andre „externe“ Datenbanken (z.B.: MySQL) zurückgreifen.

Neben der Einrichtung mehrerer Domänen bietet der Hmailserver u.a.:

  • Antispam
    • DNS Blacklists
    • SURBL Servers
    • Greylisting
    • Whitelisting
  • Antivirus
    • Integrationsmöglichkeit ClamAV oder andre Scanner
  • SSL Verschlüsselung
  • Angabe von IP Ranges (Berechtigte)
  • Weiterleitung von Emails an andre STMP Server
  • Frei konfigurierbare Portnummern für SMTP, IMAP und POP
  • uvw.

Hmailserver

Hmailserver als Greylistingserver bei bestehendem Mailserver

Es ist mit relativ wenig Aufwand möglich, den Hmailserver einem bestehenden Mailserver vorzuschalten und ausschließlich als Greylistingserver einzusetzen. Will man keinen zusätzlichen PC/Server hierfür aufstellen, besteht die Möglichkeit der Installation von Hmailserver auf den bestehenden Mailserver.

ACHTUNG!

Da immer nur ein Service auf ein und demselben Port lauschen sollte, ist bei der Installation von Hmailserver auf einem bestehenden Server zu beachten, dass der SMTP-, POP- und IMAP-Service (vom eigentichen Mailserver auf dem Gerät) während der Installation von Hmailserver abgedreht werden muss.

Nach Installation des Hmailserver modifiziert man die SMTP-, POP-, und IMAP-Ports von Hmail insofern, dass man z.B.:  SMTP auf Port 7000, IMAP auf Port 8000 und POP auf Port 9000 verlagert.

Danach kann man die Services der eigentlichen Mailserversoftware wieder starten.

Um nun zu erreichen, dass eingehende Emails von Hmailserver auf Port 7000 angenommen werden, kann man sich einer Firewallregel (sofern vorhanden) bedienen, die auf Port Adress Translation basiert.  In Worten: Alles was auf der externen Schnittstelle der Firewall (Port: 25) eintrifft, soll auf die interne Schnittstelle (oder DMZ), auf die IP des Mailserver und Port 7000 weitergeleitet werden.

Den Hmailserver konfiguriert man wiederum so, dass für die eigene Maildomain eine Route erstellt wird, die besagt, dass alle eingehenden Mails für diese Domain an die IP Adresse des eigenen Mailserver – allerdings Port 25 – weitergereicht werden.

Es gilt auch noch, die IP Ranges (Hmailserver) so zu konfigurieren, dass man kein Open Relay wird (Vorsicht!).

Greylisting aktivieren

Zu guter letzt aktiviert man noch das Greylisting des Hmailserver. Folgende Häkchen sind zu setzen:

  • Domain -> eingerichtete Domain.at -> Reiter Advanced -> Häkchen bei Greylisting Enabled
  • Antispam -> Greylisting -> Häckchen bei Enable
  • Bei den IP Ranges -> unter Other -> Häckchen bei Antispam für die gewünschte IP Range (Internet)

Herausragender Support über das Supportforum

Keinesfalls unerwähnt lassen möchte ich den wirklich sehr guten Support (Supportforum), welches man unter der Adresse:  http://www.hmailserver.com/forum erreicht. Der Developer antwortet hier auch selbst und hilft weiter.

Greylisting – Stop dem Spam

Zur Zeit die einzig sinnvolle Möglichkeit Spam aufzuhalten?

Wer kennt es nicht bzw. war nicht schon einmal davon betroffen. Man startet tagtäglich den PC und ruft seine Emails ab.

Je nachdem, wie man mit seiner Emailadresse umgegangen ist (öffentlich ersichtlich auf der eigenen Homepage, in Foren usw.  oder doch eher vorsichtig) erhält man entweder gar keinen Spam, oder man wird damit zugeschüttet.

Meiner Meinung nach gibt es im Falle der Zumüllung nur 2 Varianten:

  1. Man kann auf die Mailadresse verzichten, legt sich somit eine neue an und verfährt mit dieser Emailadresse vorsichtiger
  2. Man implementiert Mechanismen zu Spambekämpfung

Für eine Privatperson ist es wahrscheinlich einfacher, die Emailadresse zu wechseln, in Firmen schaut das schon wieder ganz anders aus.

Wenn die Standardvarianten nicht mehr greifen

Trotz SPF, Reverse DNS Abfrage, Spamlisten, ORDB kommen immer noch massig Spammails durch? Vielleicht ist Greylisting das Gebot der Stunde.

Was ist Greylisting?

Greylisting bzw. ein Greylistingfeature geht davon aus, dass ein ordnungsgemäß installierter Emailserver bei der Mailzustellung mehrere Zustellversuche unternimmt, wenn eine Email nicht ordnungsgemäß zugestellt werden kann. Erst nach zig Zustellversuchen wird aufgegeben und der Absender erhält eine entsprechende Information über die misslungene Zustellung.

Beim Greylisting verweigert der empfangende Mailserver beim ersten Zustellversuch die Annahme und meldet dem versendenden Mailserver zum Beispiel ein „Try again later“.

Die „Greylistfunktion“ am empfangenden Mailserver merkt sich jedoch, die IP Adresse, den Absender und den Empfänger der Email.

Beim zweiten Zustellversuch wird diese Email (nach Prüfung und Übereinstimmung obiger Kriterien) dann angenommen und entsprechend zugestellt.

Zur Zeit werden Spammails von diverser Schadsoftware etc. in der Regel nur ein einziges mal zugestellt. Ein weiterer Zustellversuch wird nicht unternommen.

Basierend auf der Funktionsweise einer Greylist kann man somit einiges an Spam abdrehen.

Nicht ordnungsgemäß konfigurierte Mailserver – ein Problem?

Im Internet wird oft darauf hingewiesen, dass Greylisting insofern problematisch ist, da es ja auch Emailserver gibt, die keinen zweiten Zustellversuch unternehmen. Bei diesen Emails / Servern handelt es sich um keine Spamschleudern, die Email wird dennoch nicht ankommen.

Kurz gesagt verhält sich ein Emailserver, der nur einen Zustellversuch unternimmt nicht RFC-konform (http://de.wikipedia.org/wiki/Request_for_Comments).  Das Problem liegt hier also NICHT beim empfangenden Mailserver, sondern beim sendenden!

Fazit

Solange sich die Spammer nicht darauf einstellen, sehe ich Greylisting als durchschlagenden (weil einzig wirklich greifenden) Erfolg an. Es macht dennoch Sinn, mehrere Spamabwehrmechanismen einzusetzen und zu kombinieren.