Backscatter Bounce-Nachrichten werden blockiert: Unterschied zwischen den Versionen

Aus all-connect Hilfe-Center
Zur Navigation springen Zur Suche springen
 
(5 dazwischenliegende Versionen von einem anderen Benutzer werden nicht angezeigt)
Zeile 8: Zeile 8:


====Ursache====
====Ursache====
Bei der blockierten E-Mail handelt es sich um eine automatisch generierte E-Mail von einem E-Mail-Server (z.B. Exchange)oder einem E-Mail-Client (z.B. Outlook), welche an fremde, externe Internet-Teilnehmer adressiert ist. Typischerweise gibt es zwei Fälle, in denen solche automatisch generierten Nachrichten entstehen:
Bei der blockierten E-Mail handelt es sich um eine automatisch generierte E-Mail von einem E-Mail-Server (z.B. Exchange)oder einem E-Mail-Client (z.B. Outlook), welche an fremde, externe Internet-Teilnehmer adressiert ist. Typischerweise gibt es drei Fälle, in denen solche automatisch generierten Nachrichten entstehen:
#Wegen der Unzustellbarkeit einer E-Mail (Bounce Nachricht als https://de.wikipedia.org/wiki/Delivery_Status_Notification)
#Wegen der Unzustellbarkeit einer E-Mail (Bounce Nachricht als https://de.wikipedia.org/wiki/Delivery_Status_Notification)
#Bei Abwesenheit falsch konfigurierte Autoresponder (Automatische E-Mail-Antworten ohne Spam- und Loop-Erkennung https://de.wikipedia.org/wiki/Autoreply)
#Bei Abwesenheit falsch konfigurierte Autoresponder (Automatische E-Mail-Antworten ohne Spam- und Loop-Erkennung https://de.wikipedia.org/wiki/Autoreply)
#Der Absender einer Mail konfiguriert seinen Mailversand mit ''Anforderung einer Lesebestätigung'', welche von Ihrem Mailprogramm automatisch im Hintergrund generiert wird. (Message Disposition Notification (MDN) als Empfangsbestätigung https://de.wikipedia.org/wiki/Message_Disposition_Notification)


;Beispiel
;Beispiel
Zeile 17: Zeile 18:
*'''Variante Unzustellbarkeit:''' Absender*in ''Erika@Internet.de'' sendet an ''Hans@BeispielDomain.eu'', jedoch gibt es diese Adresse auf Ihrem Server nicht. Entsprechend generiert Ihr Server eine ''Bounce-Nachricht'' (auch ''DSN - Delivery Status Notification'' genannt) und sendet diese zurück an ''Erika@Internet.de'', um sie zu informieren, dass ihre E-Mail nicht ankam.
*'''Variante Unzustellbarkeit:''' Absender*in ''Erika@Internet.de'' sendet an ''Hans@BeispielDomain.eu'', jedoch gibt es diese Adresse auf Ihrem Server nicht. Entsprechend generiert Ihr Server eine ''Bounce-Nachricht'' (auch ''DSN - Delivery Status Notification'' genannt) und sendet diese zurück an ''Erika@Internet.de'', um sie zu informieren, dass ihre E-Mail nicht ankam.
*'''Variante Autoresponder:''' Absender*in ''Erika@Internet.de'' sendet an ''Franz@BeispielDomain.eu'', jedoch ist Franz im Urlaub. Entsprechend generiert Ihr Server ein ''Autoreply'' und sendet diese Mail zurück an ''Erika@Internet.de''.
*'''Variante Autoresponder:''' Absender*in ''Erika@Internet.de'' sendet an ''Franz@BeispielDomain.eu'', jedoch ist Franz im Urlaub. Entsprechend generiert Ihr Server ein ''Autoreply'' und sendet diese Mail zurück an ''Erika@Internet.de''.
*'''Variante Lesebestätigung:''' Absender*in ''Erika@Internet.de'' sendet an ''Xaver@BeispielDomain.eu'' und fordert dabei eine automatische ''Empfangsbestätigung (MDN)'' an. Wenn die E-Mail bei Xaver ankommt, generiert sein Mailprogramm im Hintergrund eine automatische ''Lesebestätigung'' und sendet diese Mail zurück an ''Erika@Internet.de''.


====Missbrauch====
====Missbrauch====
Zeile 24: Zeile 26:
*Mit diesem Missbrauch-Trick schafft es der Angreifer an ''Erika@Internet.de'' indirekt eine Spam-Mail zu senden.  
*Mit diesem Missbrauch-Trick schafft es der Angreifer an ''Erika@Internet.de'' indirekt eine Spam-Mail zu senden.  


Weil Ihr Mailserver über uns als Postausgang versendet, wird diese Spam-Mail in Folge auch über unsere Server versendet, was unseren mail-connect Dienst erheblich schadet. Für Außenstehende z.B. Google-Mail sähe es so aus, als würden wir Spam versenden.
Weil Ihr Mailserver über uns als Postausgang versendet, wird diese Spam-Mail in folge auch über unsere Server versendet, was unseren mail-connect Dienst erheblich schadet. Für Außenstehende z.B. Google-Mail sähe es so aus, als würden wir Spam versenden.


Diesen Missbrauch nennt man "Backscatter": http://de.wikipedia.org/wiki/Backscatter_(E-Mail)
Diesen Missbrauch nennt man "Backscatter": http://de.wikipedia.org/wiki/Backscatter_(E-Mail)
Zeile 53: Zeile 55:
#Richten Sie den gewünschten Auto-Responder im Kunden-Portal ein: Wenn Sie Mails über mail-connect versenden, hat unser Server die Kontrolle über die Bounce-Kennung und kann Spam-Missbrauch unterbinden.  
#Richten Sie den gewünschten Auto-Responder im Kunden-Portal ein: Wenn Sie Mails über mail-connect versenden, hat unser Server die Kontrolle über die Bounce-Kennung und kann Spam-Missbrauch unterbinden.  
#Versenden Sie Ihre E-Mails direkt ohne unseren Postausgangsmailserver. So hat Ihr Mailserver selbst die Kontrolle über die Bounce-Kennung und kann gültige Bounce-Nachrichten generieren bzw. ggf. unterbinden.
#Versenden Sie Ihre E-Mails direkt ohne unseren Postausgangsmailserver. So hat Ihr Mailserver selbst die Kontrolle über die Bounce-Kennung und kann gültige Bounce-Nachrichten generieren bzw. ggf. unterbinden.
====Lesebestätigungen (MDN) deaktivieren====
Automatische Empfangsbestätigungen bzw. Lesebestätigungen (MDN) abschalten. Bei E-Mails konnte sich bisher keine Lesebestätigung (vgl. ''Einschreiben'') durchsetzen, weil hier kein technisch sicherer MDN-Standard existiert. Der zum Einsatz kommende Mechanismus ist unsicher und wird in der Praxis von Spammern oder Betrügern gefälscht. Sie können als Empfänger Ihr Mail-Programm so einstellen, dass nie eine Bestätigungssendung zurückgesendet wird (also ignoriert wird).


====''Catchall'' Funktion deaktivieren====
====''Catchall'' Funktion deaktivieren====
Zeile 64: Zeile 69:
Das Problem gibt es aber natürlich auch umgekehrt: Ihre E-Mail-Adresse könnte Ziel eines Backscatter-Missbrauchs sein, wie er nach o.g. Muster auf einem fremden Mailserver stattfindet.
Das Problem gibt es aber natürlich auch umgekehrt: Ihre E-Mail-Adresse könnte Ziel eines Backscatter-Missbrauchs sein, wie er nach o.g. Muster auf einem fremden Mailserver stattfindet.


Wie oben schon im Nebensatz angedeutet, können Sie in diesen Fall kaum abwehren. Schließlich besitzt die generierte Bounce-E-Mail ein technisch vollständig gültiges Format und der Absenderserver könnte ein großer Firmen-Mailserver sein über den ansonsten auch viele gültige und gewollte Mails versendet werden. Diesen zu sperren "schießt über das Ziel hinaus".
Leider können Sie diesen Fall kaum abwehren. Schließlich besitzt die generierte Bounce-E-Mail ein technisch vollständig gültiges Format und der Absenderserver könnte ein großer Firmen-Mailserver sein über den ansonsten auch viele gültige und gewollte Mails versendet werden. Diesen zu sperren "schießt über das Ziel hinaus".


Aus diesem Grund bietet unser Spam-Filter in der STR-Funktion eine Mustererkennung von Bounce- und DSN-Mails an. Werden solche Bounces erkannt, blockiert die STR-Funktion die betreffende E-Mail. Als Filterkriterium gilt dabei, dass ein Bounce an ein mail-connect Konto gerichtet ist, dieser aber nicht von mail-connect generiert wurde. Dies funktioniert unter der Annahme, dass Sie Ihre Mails über mail-connect versenden: Wenn also eine Mail tatsächlich unzustellbar ist, erhalten Sie "echte" Bounce-/DSN-Mails nur von uns und von sonst niemanden.
Aus diesem Grund bietet unser Spam-Filter in der STR-Funktion eine Mustererkennung von Bounce- und DSN-Mails an. Werden solche Bounces erkannt, blockiert die STR-Funktion die betreffende E-Mail. Als Filterkriterium gilt dabei, dass ein Bounce an ein mail-connect Konto gerichtet ist, dieser aber nicht von mail-connect generiert wurde. Dies funktioniert unter der Annahme, dass Sie Ihre Mails über mail-connect versenden: Wenn also eine Mail tatsächlich unzustellbar ist, erhalten Sie "echte" Bounce-/DSN-Mails nur von uns und von sonst niemanden.
Zusätzlich bewertet unser Spam-Filter in der SDM-Funktion bekannte Backscatter-Quellen. Diese werden nicht generell als Spam heraus gefiltert, finden aber eine Berücksichtigung für die Wahrscheinlichkeit, dass es sich im Einzelfall um eine Spam-Mail handelt. Auf Grund solcher ''Blacklist-Funktionen'' ist es auch zwingend erforderlich, dass wir zu 100% sicherstellen, selbst keine ''"möglichen"'' Backscatter-Mails zu versenden.


==IT Service durch all-connect==
==IT Service durch all-connect==
Zeile 74: Zeile 81:




[[Category:Anti-Spam]]
[[Kategorie:Anti-Spam / Anti-Virus]]

Aktuelle Version vom 11. Mai 2021, 09:20 Uhr


Fehler 550 Backscatter Bounce not allowed

Sie erhalten folgende Fehlermeldung und ausgehende E-Mails werden blockiert:

   550 - Backscatter Bounce not allowed
   550 - See https://hilfe.all-connect.net/de/Backscatter

Ursache

Bei der blockierten E-Mail handelt es sich um eine automatisch generierte E-Mail von einem E-Mail-Server (z.B. Exchange)oder einem E-Mail-Client (z.B. Outlook), welche an fremde, externe Internet-Teilnehmer adressiert ist. Typischerweise gibt es drei Fälle, in denen solche automatisch generierten Nachrichten entstehen:

  1. Wegen der Unzustellbarkeit einer E-Mail (Bounce Nachricht als https://de.wikipedia.org/wiki/Delivery_Status_Notification)
  2. Bei Abwesenheit falsch konfigurierte Autoresponder (Automatische E-Mail-Antworten ohne Spam- und Loop-Erkennung https://de.wikipedia.org/wiki/Autoreply)
  3. Der Absender einer Mail konfiguriert seinen Mailversand mit Anforderung einer Lesebestätigung, welche von Ihrem Mailprogramm automatisch im Hintergrund generiert wird. (Message Disposition Notification (MDN) als Empfangsbestätigung https://de.wikipedia.org/wiki/Message_Disposition_Notification)
Beispiel

Die Postfächer der Domain @BeispielDomain.eu werden von Ihrem eigenen Server (z.B. Exchange) bereitgestellt und Sie empfangen Mails über Ihren eigenen MX-Record direkt oder lassen sich eingehende Mails über mail-connect per SMTP an Ihren eigenen Server senden (Funktion "An Ihren eigenen SMTP-Server weiterleiten") oder rufen Mails per POP3-Connector ab.

  • Variante Unzustellbarkeit: Absender*in Erika@Internet.de sendet an Hans@BeispielDomain.eu, jedoch gibt es diese Adresse auf Ihrem Server nicht. Entsprechend generiert Ihr Server eine Bounce-Nachricht (auch DSN - Delivery Status Notification genannt) und sendet diese zurück an Erika@Internet.de, um sie zu informieren, dass ihre E-Mail nicht ankam.
  • Variante Autoresponder: Absender*in Erika@Internet.de sendet an Franz@BeispielDomain.eu, jedoch ist Franz im Urlaub. Entsprechend generiert Ihr Server ein Autoreply und sendet diese Mail zurück an Erika@Internet.de.
  • Variante Lesebestätigung: Absender*in Erika@Internet.de sendet an Xaver@BeispielDomain.eu und fordert dabei eine automatische Empfangsbestätigung (MDN) an. Wenn die E-Mail bei Xaver ankommt, generiert sein Mailprogramm im Hintergrund eine automatische Lesebestätigung und sendet diese Mail zurück an Erika@Internet.de.

Missbrauch

Die o.g. Beispiele zeigen eine eigentlich sinnvolle Funktion. Leider können diese jedoch sehr einfach missbraucht werden:

  • Ein Spammer / Angreifer fälscht E-Mails und trägt vorsätzlich als Absender das spätere Opfer Erika@Internet.de ein.
  • Ihr Mailserver sendet nun eine automatisch generierte E-Mail an das unbeteiligte Opfer Erika@Internet.de. Oft wird dabei sogar die originale Spam-Nachricht im Anhang beigefügt.
  • Mit diesem Missbrauch-Trick schafft es der Angreifer an Erika@Internet.de indirekt eine Spam-Mail zu senden.

Weil Ihr Mailserver über uns als Postausgang versendet, wird diese Spam-Mail in folge auch über unsere Server versendet, was unseren mail-connect Dienst erheblich schadet. Für Außenstehende z.B. Google-Mail sähe es so aus, als würden wir Spam versenden.

Diesen Missbrauch nennt man "Backscatter": http://de.wikipedia.org/wiki/Backscatter_(E-Mail)

Aus diesem Grund erlauben unsere Postausgangsmailserver (manchmal in Ihrem Mailserver auch Smarthost bezeichnet) keine automtisch generierten Bounce-Nachrichten.

Abhilfe

DSN- bzw. Bounce-Nachrichten oder Autoresponder richtig konfigurieren.

Mails an nicht existierende Adressen im SMTP-Protokoll mit 550-Fehler ablehnen

Richten Sie Ihren Mailserver so ein, dass E-Mails an nicht existierende Adressen (im o.g. Beispiel also an Hans@BeispielDomain.eu) nicht angenommen werden. Das SMTP-Protokoll sieht hierfür den SMTP-Status-Code 550 (SMTP Fehler, z.B. "User unknown") vor.

Diesen Status-Code wertet unser mail-connect Server ebenfalls (in Echtzeit!) aus und blockiert dann mit dem selben Status eingehende Mails an nicht existierende Adressen. So wird verhindert, dass später Bounce-Mails (DSNs) generiert werden.

Typischerweise kann diese "Annahme-Sperre" mit der richtigen Einstellung eines Anti-Spam-Filters konfiguriert werden.

DSN Nachrichten nur an interne Benutzer

Richten Sie Ihren Mailserver so ein, dass DSN bzw. Bounce-Nachrichten wie im o.g. Beispiel nur an Ihre eigenen, authentifizierten Benutzer gesendet werden (= an E-Mail-Adressen aus Ihrer eigenen Domain).

An fremde Benutzer ist dann kein Status-Report mehr erforderlich.

Autoresponder im Kunden-Portal einrichten

Ein "falsch konfigurierter" Autoresponder ist in der Praxis die typische Ursache von E-Mail-Loops und Backscatter-Spam (siehe auch https://de.wikipedia.org/wiki/E-Mail-Loop).

Weil es sich streng genommen bei Auto-Respondern auch um Bounce-Nachrichten handelt, implementieren viele Mailserver das Autoreply mit einer leeren Absenderkennung (Envelope-From bzw. Envelope-Sender "<>" - siehe auch https://de.wikipedia.org/wiki/Envelope_Sender).

Um einen Autoresponder korrekt zu nutzen, muss sichergestellt werden, dass der generierende Server die volle Kontrolle über die Anti-Spam und Loop-Protection hat. Dazu gibt es zwei Möglichkeiten:

  1. Richten Sie den gewünschten Auto-Responder im Kunden-Portal ein: Wenn Sie Mails über mail-connect versenden, hat unser Server die Kontrolle über die Bounce-Kennung und kann Spam-Missbrauch unterbinden.
  2. Versenden Sie Ihre E-Mails direkt ohne unseren Postausgangsmailserver. So hat Ihr Mailserver selbst die Kontrolle über die Bounce-Kennung und kann gültige Bounce-Nachrichten generieren bzw. ggf. unterbinden.

Lesebestätigungen (MDN) deaktivieren

Automatische Empfangsbestätigungen bzw. Lesebestätigungen (MDN) abschalten. Bei E-Mails konnte sich bisher keine Lesebestätigung (vgl. Einschreiben) durchsetzen, weil hier kein technisch sicherer MDN-Standard existiert. Der zum Einsatz kommende Mechanismus ist unsicher und wird in der Praxis von Spammern oder Betrügern gefälscht. Sie können als Empfänger Ihr Mail-Programm so einstellen, dass nie eine Bestätigungssendung zurückgesendet wird (also ignoriert wird).

Catchall Funktion deaktivieren

Häufig werden E-Mails in sogenannte Sammelpostfächer (Catchall Funktion) empfangen und dann später weiterverarbeitet und durch interne Mail-Dienste verteilt.

Deaktivieren Sie diese Sammel-Funktion und richten Sie stattdessen jede genutzte E-Mail Adresse individuell und explizit ein. Dies verhindert, dass Sie Spam an falsche Adressen empfangen und es macht den E-Mail-Missbrauch des Backscatting unter Ihrer Domain unmöglich.

Backscatter Problem auch umgekehrt

Im obigen Abschnitt wurde das Problem in der Konstellation eingehender Mails an Ihren Mailserver behandelt, bei denen in der Folge ein bei Ihnen automatisch generierter Bounce/DSN ausgehend versendet wird.

Das Problem gibt es aber natürlich auch umgekehrt: Ihre E-Mail-Adresse könnte Ziel eines Backscatter-Missbrauchs sein, wie er nach o.g. Muster auf einem fremden Mailserver stattfindet.

Leider können Sie diesen Fall kaum abwehren. Schließlich besitzt die generierte Bounce-E-Mail ein technisch vollständig gültiges Format und der Absenderserver könnte ein großer Firmen-Mailserver sein über den ansonsten auch viele gültige und gewollte Mails versendet werden. Diesen zu sperren "schießt über das Ziel hinaus".

Aus diesem Grund bietet unser Spam-Filter in der STR-Funktion eine Mustererkennung von Bounce- und DSN-Mails an. Werden solche Bounces erkannt, blockiert die STR-Funktion die betreffende E-Mail. Als Filterkriterium gilt dabei, dass ein Bounce an ein mail-connect Konto gerichtet ist, dieser aber nicht von mail-connect generiert wurde. Dies funktioniert unter der Annahme, dass Sie Ihre Mails über mail-connect versenden: Wenn also eine Mail tatsächlich unzustellbar ist, erhalten Sie "echte" Bounce-/DSN-Mails nur von uns und von sonst niemanden.

Zusätzlich bewertet unser Spam-Filter in der SDM-Funktion bekannte Backscatter-Quellen. Diese werden nicht generell als Spam heraus gefiltert, finden aber eine Berücksichtigung für die Wahrscheinlichkeit, dass es sich im Einzelfall um eine Spam-Mail handelt. Auf Grund solcher Blacklist-Funktionen ist es auch zwingend erforderlich, dass wir zu 100% sicherstellen, selbst keine "möglichen" Backscatter-Mails zu versenden.

IT Service durch all-connect

Gerne helfen wir Ihnen beim Setup Ihres Mailservers weiter und bieten Ihnen dazu unsere Unterstützung von der Planung bis zum operativen Betrieb.

Als Systemhaus bieten wir Ihnen individuelle IT-Dienstleistungen: Rufen Sie uns an und fragen Sie uns: Unser Service Team erreichen Sie unter unserer kostenlosen Hotline!