“Admin” versendet Spam an sich selbst mit fremden Zugangsdaten

By | 18. Dezember 2009

Wir saßen gemütlich im Büro, freuten uns auf die heutige Weihnachtsfeier (wie jedes Jahr), plötzlich ging ein Piep-Konzert von allen Handys los. Die Anzahl der Mails in der Warteschlange auf dem Mailserver hatte ein paar Nullen zu viel. Nun ja, nichts Neues, sowas kommt ab und an mal vor. Der betreffende Account war schnell identifiziert. Normalerweise schafft es ein einzelner Kunde gar nicht, Probleme zu machen. Irgendwo im Internet schoss ein Script anscheinend quer, öffnete schnell hintereinander SMTP-Verbindungen zu unserem Mailserver, identifizierte sich dort korrekt via SMTP-Auth und schickte Mails an die Email-Adresse einer Parfümerie – an sich selbst. Der Server dieser Parfümerie nahm diese Mails allerdings nicht an. Was eigentlich kein Problem wäre – wären nicht Empfänger und Absender identisch gewesen, so dass Bounce-Mails an die gleiche Adresse generiert wurden. Trotz Double-Bounce-Trim-Patch stieg die Warteschlange auf dem Mailserver durch das immense Tempo schnell um abertausende Mails an, die erste Bounce-Mail ist ja noch kein Double-Bounce.

So weit, so belanglos.

Während wir dieses Problem in einer Minute mit einer Sperre des betreffenden Kontos für den Versand via SMTP lösten, meldete sich jemand, der behauptete, unser Mailserver wäre kompromittiert worden und versende Spam. Später schickte er uns Logfile-Auszüge seines Servers und siehe da, es war der Server einer Parfümerie, deren Name uns seltsam vertraut vorkam. Nun, um es kurz zu machen, wir haben ihm erklärt, dass er selbst der Spammer war und das Mail-Konto eines unserer Kunden zum Spam-Versand an sich selbst mißbrauchte.

Nein, das war es noch nicht.

Später meldete sich unser Kunde und meinte, dass der “Spammer” sein ehemaliger Arbeitgeber war.

Sachen gibts…