Mails von Kundenserver.de
Klaus Engelbertz
> Hallo!
>
> Ich bekomme seit einigen Wochen Mails mit dem Absender
> cgi-maile...@kundenserver.de.
....
> Woher und warum kommen diese Mails?
>
Das ist der freundliche Provider Strato, der es keinesfalls für
richtig hält, sich um spammende Kunden zu kümmern.
Das Beste war ein Spammer, dem der Kundenaccount gelöscht wurde (angeblich).
Komischerweise kamen von demselben Spammer nach ein paar Tagen wieder Mails.
Und wieder von kundenserver.de
Mit freundlichen Gruessen
Klaus Engelbertz
++++++++++++++++++++++++++++++++++++++++++++++++
Marbella Compudata S.L. - Edf. Marbella Azul
Ramon Gomez de la Serna 5 - E-29600 Marbella
WWW: http://www.marbella-compudata.net
70 Highspeedpeerings * 20 GBit/sec
Serverhousing ab 25 Euro * 1 GB 15 Euro
++++++++++++++++++++++++++++++++++++++++++++++++
Andy Glaser
>
> Tobias Ertl wrote:
>
> > Hallo!
> >
> > Ich bekomme seit einigen Wochen Mails mit dem Absender
> > cgi-maile...@kundenserver.de.
> ....
> > Woher und warum kommen diese Mails?
> >
>
> Das ist der freundliche Provider Strato, der es keinesfalls für
> richtig hält, sich um spammende Kunden zu kümmern.
kundenserver.de ist Schlund, nicht Strato!
> Klaus Engelbertz
>
> ++++++++++++++++++++++++++++++++++++++++++++++++
> Marbella Compudata S.L. - Edf. Marbella Azul
> Ramon Gomez de la Serna 5 - E-29600 Marbella
>
> WWW: http://www.marbella-compudata.net
>
> 70 Highspeedpeerings * 20 GBit/sec
> Serverhousing ab 25 Euro * 1 GB 15 Euro
> ++++++++++++++++++++++++++++++++++++++++++++++++
[ ] Du weißt, wie eine Signatur funktioniert.
Andy
Christian Rößler"
> Das ist der freundliche Provider Strato, der es keinesfalls für
> richtig hält, sich um spammende Kunden zu kümmern.
Soweit ich weiß ist das nicht Strato, sondern Schlund und Partner. Und
mit dem hatten wir auch schon so unsere Freude, vergl. etwa Schlund
ist rogue, [a3e3jd$595$1...@pismo.nowiasz.de].
Viele Grüße, Christian
--
Ich habe kein Gehirn.
Das sind alles lediglich Rückenmarksreflexe.
Klaus Engelbertz
> "Klaus Engelbertz" schrieb in "de.admin.net-abuse.mail":
>
> [cgi-maile...@kundenserver.de.]
>> Das ist der freundliche Provider Strato, der es keinesfalls für
>> richtig hält, sich um spammende Kunden zu kümmern.
>
> FLASCH. Das ist nicht Strato. Das ist Schlund + Partner, Karlsruhe.
OKOK, habs jetzt 3 mal gelesen.
Sorry, für mich sind Strato,Puretec und Schlund ein und derselbe
(schei*) Laden.
Martina Jerger
> Soweit ich weiß ist das nicht Strato, sondern Schlund und Partner. Und
> mit dem hatten wir auch schon so unsere Freude, vergl. etwa Schlund
> ist rogue, [a3e3jd$595$1...@pismo.nowiasz.de].
ach ja, da war doch noch was. Habt Ihr das eigentlich mitgekriegt?
Schlund-Newsletter vom 22.03.02:
"Mit zunehmender Zahl an Internet-Anwendern steigt leider auch die Zahl
der Personen, die sich der E-Mail Dienste bedienen, um unseriöse
Geschäftsangebote oder auch Viren an Sie zu senden. Den ersten Schritt,
Sie vor solchen E-Mail Nachrichten zu schützen, machten wir mit der
Einführung des Virenschutzes für alle Postfächer eines jeden Schlund +
Partner Kunden. Nun möchten wir einen Schritt weiter gehen. Und Sie
können dazu maßgeblich beitragen.
Seit Ende vergangenen Jahres bieten wir Ihnen die Möglichkeit, als
Mailserver für Ihre ausgehenden E-Mails den "auth.smtp.kundenserver.de"
zu verwenden. Bei diesem Mailserver wird das POP3-Mailbox-Kennwort zur
Sicherheit abgefragt. Dadurch wird verhindert, dass nicht autorisierte
Benutzer über das System SPAM-Mails versenden können.
Zukünftig werden immer mehr Internet-Server und Mail-Server-Betreiber
Massen-E-Mail-Sendungen unseriöser Art schon im vorhinein abblocken.
Dabei wird die Unterscheidung nach E-Mails aus offenen beziehungsweise
authentifizierenden Mailservern entscheidend. Bei einem offenen
Mailserver wird die beschriebene Kennwortabfrage der POP3-Mailbox nicht
gefordert. Sehr viele SPAM-E-Mail Nachrichten werden daher über offene
Mailserver versandt. Wenn Sie sicher stellen wollen, dass Ihre E-Mails
nicht abgeblockt werden, sollten Sie daher möglichst bald auf unseren
neuen Mail-Server umstellen.
Ändern Sie dazu einfach die Konfiguration Ihres E-Mail-Programmes von
unserem "smtp.kundenserver.de" auf den "auth.smtp.kundenserver.de". Eine
ausführliche Anleitung finden Sie in der Dokumentation "So verwenden Sie
den SMTP-auth-Server".
Auch Sie können natürlich in Zukunft E-Mail Nachrichten, welche über
einen offenen Server gesandt wurden, ganz einfach am Header erkennen und
über Ihr E-Mail-Programm sofort ausfiltern lassen. Wir fügen diesen
bestimmten Nachrichten im Header den Hinweis "X-RBL-Warning" und einen
Link zu weiteren Informationen hinzu.
Sollten dadurch auch von Ihnen gewünschte Nachrichten betroffen sein,
informieren Sie bitte ihren Kommunikationspartner darüber, dass das
Mailsystem seines Providers unsicher konfiguriert ist und bitten Sie um
Nachbesserung."
Ob das wohl hilft?
Grüßle
Tina
Dietmar Braun
> Ob das wohl hilft?
Sicher wuerde es helfen, wenn Schlund den alten Krempel abschalten wuerde.
Solange die offenen Relays daneben stehenbleiben, aendert sich wohl kaum
was.
Dietmar
--
begin www.myparty.yahoo.com
Get into your blues shoes!
end
Frank Widmaier
> Sicher wuerde es helfen, wenn Schlund den alten Krempel abschalten wuerde.
> Solange die offenen Relays daneben stehenbleiben, aendert sich wohl kaum
> was.
ich waere fuer "Kopfgeldzahlungen" was meinste, wie schnell, die
Betreiber da was unternehmen (zumindest innerhalb von Deutschland)
--
permanenter Virenschutz? A:\>format c:/U | Achtung
sicherer Trojanerschutz? *Kabelrausreiss* | mein SPAM-Filter
sicher Telefonterror-Schutz *NachbarPCwegnehm* | www.antispam-page.de.vu
Rainer Zocholl
>Hallo!
>Ich bekomme seit einigen Wochen Mails mit dem Absender
>cgi-maile...@kundenserver.de.
>Teilweise bis zu 10 Stück/Tag.
Na, dsa ist ja harmlos...
Hier kam soviel innerhalb von 2sec...den ganzen Tag lang...
>Diese Mails haben alle eine Größe von etwa 1 kb,sind aber leer.
Keine Ahnung ob die leer waren, da ersatzlos sofort in die Tonne
getreten.
>Habe mich schon bei ab...@kundenserver.de beschwert,aber außer eine
>Standardantwort nix bekommen.
Immerhin. Ich habe noch nicht mal ne Mail vom Ignorebot bekommen.
>Nun habe ich über Google schon einiges gefunden,habe aber,da ich mich
>bisher damit noch nicht so intensiv befaßt habe,davon nicht sehr viel
>verstanden.
>Woher und warum kommen diese Mails?
Die kommen von schlund.de
Dort gibt es websites, deren Kunden offensichtlich gestattet wird,
eigene scripte auf dem Server zu installieren.
Und diese Scripte benutzen Junk mailer um ihren Dreck zu versenden.
Eine Suche nach "formail.pl" gibt evtl. mehr infos.
Hier ist es allerdings mit den junk Mails (0190-Abzock dialer)
von "cgi-maile...@kundenserver.de" ruhig geworden.
Ob schlund hier mitliest?
Oder ob der Spammer mit liest und im klar geworden ist, das
das keinen Sinn hat?
Klaus Engelbertz
> Martina Jerger schrub:
>
>> Ob das wohl hilft?
>
> Sicher wuerde es helfen, wenn Schlund den alten Krempel abschalten wuerde.
> Solange die offenen Relays daneben stehenbleiben, aendert sich wohl kaum
> was.
>
> Dietmar
>
Einige Kunden von denen spammen doch selber wie die bloeden.
Hier mal der letzte Mailverkehr mit denen:
(Nur der Header von der Spammail :-))
######################################################################
Guten Tag ,
der Account des Versenders wurde entsprechend gesperrt.
Bitte entschuldigen Sie entstandene Unannehmlichkeiten
Am 25.03.2002 schrieb Klaus Engelbertz:
> Hier ist wohl eindeutig, dass es sich hier um eine Mailadresse
> handelt, die ausschliesslich fuer Newspostings benutzt wird.
> Ich bitte die entsprechenden Schritte einzuleiten.
> Die anderen Spams an meine Adressen folgen gleich mit gesonderten
> Mails.
> Sie sollen als Provider auch was von der Mailflut haben.
>
> ---------- Forwarded Message ----------
>
> Return-Path: <cgi-maile...@kundenserver.de>
> Received: (from root@localhost)
> by renntwienix.marbella-compudata.net (8.11.6/8.11.6) id
g2P10ij69991
> for klaus_n...@engelbertz.de; Mon, 25 Mar 2002 02:00:44 +0100
> (CET)
> (envelope-from cgi-maile...@kundenserver.de)
> Received: from mout02.kundenserver.de (mout02.kundenserver.de
> [195.20.224.133])
> by renntwienix.marbella-compudata.net (8.11.6/8.11.6av) with ESMTP
> id g2P10hQ69983
> for <klaus_n...@engelbertz.de>; Mon, 25 Mar 2002 02:00:43 +0100
> (CET)
> (envelope-from cgi-maile...@kundenserver.de)
> Received: from [195.20.224.197] (helo=mxbulk01.kundenserver.de)
> by mout02.kundenserver.de with esmtp (Exim 2.12 #2)
> id 16pIqQ-0004c0-00
> for klaus_n...@engelbertz.de; Mon, 25 Mar 2002 02:00:18 +0100
> Received: from [212.227.109.29] (helo=infong39)
> by mxbulk01.kundenserver.de with smtp (Exim 3.22 #2)
> id 16pIqO-0003W3-00
> for klaus_n...@engelbertz.de; Mon, 25 Mar 2002 02:00:16 +0100
> Received: by infong39 (sSMTP sendmail emulation); Mon, 25 Mar 2002
> 02:00:16 +0100
> X-Complaints-To: ab...@kundenserver.de
> X-Sender-Info: 18101256@infong39
> Date: Mon, 25 Mar 2002 02:00:16 +0100
> Precedence: bulk
> To: klaus_n...@engelbertz.de
> Subject: [NOVAPHONE] Die Sieger der Verlosung stehen fest.[NOVAPHONE]
> From: in...@novaphone.de (NOVAPHONE)
> Content-Type: text/html
> Content-Transfer-Encoding: 8bit
> Message-Id: <E16pIqO-...@mxbulk01.kundenserver.de>
> X-Virus-Scanned: by AMaViS perl-11
> X-UIDL: OQ]"!8=6"!^>&!!~&i"!
> Status: R
> X-Status: N
######################################################################
Die Antwort kam am 26.03 undist ja eigentlich in Ordnung.
Aber jetzt das beste überhaupt, der Account wurde ja gesperrt, wie die
schreiben.
Am 27.03. UND am 28.03. erhielt ich weitere Mails an andere Domains von mir.
Sowas nenn ich doch mal Verarschung vom "Abuse-Department".
Mit freundlichen Gruessen
Thomas Hochstein
> Sicher wuerde es helfen, wenn Schlund den alten Krempel abschalten wuerde.
Das haben sie ja vor. Von heute auf morgen (oder übermorgen ...) wird
das allerdings bei einem Anbieter dieser Größe kaum gehen.
> Solange die offenen Relays daneben stehenbleiben, aendert sich wohl kaum
> was.
Man wird sehen. Bisher wurde SMTP-Auth ja auch praktsisch nichts
beworben, da _kann_ sich nichts tun.
Immerhin, jeder kann dabei mithelfen, die Schlund-(Puretec-,
....)Kunden zum Migrieren zu "überreden": die unverifizierten
Mailout-Server blacklisten, die verifizierten nicht.
-thh
--
FAQ der Newsgroup: http://home.snafu.de/laura/de.admin.net-abuse.mail.txt
Adreßfälscher-FAQ: http://home.pages.de/~gerlo/falsche-email-adressen.html
E-Mail-Header-FAQ: http://www.th-h.de/faq/headrfaq.html
Viren-/Würmer-FAQ: http://www.th-h.de/faq/hybris.html
Andy Glaser
>
> Schlund-Newsletter vom 22.03.02:
> "Mit zunehmender Zahl an Internet-Anwendern steigt leider auch die Zahl
> der Personen, die sich der E-Mail Dienste bedienen, um unseriöse
> Geschäftsangebote oder auch Viren an Sie zu senden. Den ersten Schritt,
> Sie vor solchen E-Mail Nachrichten zu schützen, machten wir mit der
> Einführung des Virenschutzes für alle Postfächer eines jeden Schlund +
> Partner Kunden. Nun möchten wir einen Schritt weiter gehen. Und Sie
> können dazu maßgeblich beitragen.
>
> Seit Ende vergangenen Jahres bieten wir Ihnen die Möglichkeit, als
> Mailserver für Ihre ausgehenden E-Mails den "auth.smtp.kundenserver.de"
> zu verwenden. Bei diesem Mailserver wird das POP3-Mailbox-Kennwort zur
> Sicherheit abgefragt. Dadurch wird verhindert, dass nicht autorisierte
> Benutzer über das System SPAM-Mails versenden können.
Als Schlund-Kunde habe ich das schon mal versucht. Leider verweigert der
Server sämtliche Kennworte!
Andy
Anders Henke
>> Seit Ende vergangenen Jahres bieten wir Ihnen die M?glichkeit, als
>> Mailserver f?r Ihre ausgehenden E-Mails den "auth.smtp.kundenserver.de"
>> zu verwenden. Bei diesem Mailserver wird das POP3-Mailbox-Kennwort zur
>> Sicherheit abgefragt. Dadurch wird verhindert, dass nicht autorisierte
> Als Schlund-Kunde habe ich das schon mal versucht. Leider verweigert der
> Server s?mtliche Kennworte!
Vielleicht ist nicht das Passwort falsch, sondern der Username.
Wichtig ist, dass auch der Username eines POP3-Accounts dazugenommen wird,
Kombinationen wie "FTP-Login und Passwort vom POP3-Account" funktionieren
natuerlich nicht.
Danach funktioniert es auch (vorausgesetzt, man verwendet nicht Outschlook
Express 4 - das ignoriert den smtp-auth-RFC und erwartet ein "AUTH=plain"
statt "AUTH plain").
Anders
--
http://sysiphus.de/
Anders Henke
> Immerhin, jeder kann dabei mithelfen, die Schlund-(Puretec-,
> Mailout-Server blacklisten, die verifizierten nicht.
Dann schlagen die Leute der Reihe nach nur bei den Hotlines auf
"ich kann keine Mails mehr verschicken".
Es reicht schon, dass ein Teil der verifizierenden Mailout-Server bei
osirusoft gelistet sind, weil sie halt im gleichen Netz stehen wie die
Spamschleudern ...
Die IPs aus moutvdom.kundenserver.de sind das halboffene Relay,
die hosts aus mout.kundenserver.de liefern nur Mails aus, die per IP
(Schlund-eigene Server) oder smtp-auth verifiziert und damit auch
irgendwie trackbar sind.
Gute Erfahrungen habe ich mit einem Filter nach dem Konzept
# Exim filter
if
$header_Received: matches "moutvdom*.kundenserver.de"
then
mail to $header_from
from "devnull <dev...@sysiphus.de>"
bcc: "b...@sysiphus.de"
subject "Re: $h_subject"
file $home/.use-auth.msg
log $home/.use-auth.log
once $home/.use-auth.db
once_repeat 1d
endif
.use-auth.msg enthaelt dann etwas nach dem Motto "Deine Mail kommt ueber
das ungesicherte Relay smtp.[kundenserver|puretec].de. Benutze in
Zukunft bitte das sichere auth.smtp.[kundenserver|puretec].de
(zur Authentifizierung POP3-User und -Passwort verwenden).".
Je nach Gemeinheit kann man so einen Filter natuerlich auch noch um
ein "seen finish" ("wirf weg") erweitern.
Anders
--
http://sysiphus.de/
Anders Henke
> Ich bekomme seit einigen Wochen Mails mit dem Absender
> cgi-maile...@kundenserver.de.
> Teilweise bis zu 10 St?ck/Tag.
> Diese Mails haben alle eine Gr??e von etwa 1 kb,sind aber leer.
> Habe mich schon bei ab...@kundenserver.de beschwert,aber au?er eine
> Standardantwort nix bekommen.
Ich schicke praktisch jeden Tag ueber ein Skript sehr ausfuehrliche
Abuse-Reports z.B. an ab...@t-ipconnect.de, weil sich irgendwelche
Skriptkiddies an dem Tag auf meinen FTP-Servern per brute-force versucht
haben. Alle zwei Wochen kommt mal eine Standardantwort, alle zwei Monate mal
Feedback im Sinne von "Kunde getreten". Rogue? Nicht unbedingt.
Wenn ueber einen Kunden viele Beschwerden reinkommen, wuerde ich auch
zuerst einmal die Beschwerden sammeln und bei Erreichen von $THRESHOLD
den grossen LART-Button druecken (der dann Kuendigung/Sperrung triggert).
Nachher dann auch jedem Beschwerde-Schreiber eine Antwort zu schicken ist
dem gegenueber natuerlich sehr viel Aufwand und kann auch datenschutzrechtlich
bedenklich sein (schliesslich gibt man darueber dann u.U. Informationen raus,
die nur das Verhaeltnis zwischen Kunde und Provider betreffen).
Vielleicht hat sich da jemand ein offenes Formmail installiert oder jemand
bietet ein "Mailbombing-Service"-Skript an, mit dem man "anonym Mails
verschicken kann". In jedem Fall aber enthalten diese Mails im Header
ein "X-Sender-ID", mit dem ab...@kundenserver.de das Zeugs eindeutig einem
Kunden zuweisen kann. Unbedingt das Ding mit angeben, nicht nur
"ich krieg da komische Mails" schreiben.
> Woher und warum kommen diese Mails?
Wenn man als Kunde von Schlund/Puretec/1&1 auf den Webservern seine Mails
per /usr/sbin/sendmail verschickt und dabei kein "-fadr...@domain.de"
hinzufuegt, ist das das Standard-From.
Warum der Body leer ist, ist eine andere Sache - vielleicht ein
Mailbombing-Skript oder ein Formmail. Im duemmsten Fall hast du dir
aber auch nur ein Feedback-Skript in deinen Webspace installiert, das halt
ein paar Bugs hat und du nun statt der erwarteten Mails diesen
Datensalat bekommst.
Anders
--
http://sysiphus.de/
Gabriele Neukam
Engelbertz, newspost_...@marbella-compudata.net says...
> Die Antwort kam am 26.03 undist ja eigentlich in Ordnung.
>
> Aber jetzt das beste überhaupt, der Account wurde ja gesperrt, wie die
> schreiben.
>
> Am 27.03. UND am 28.03. erhielt ich weitere Mails an andere Domains von mir.
>
Vielleicht war da eine Teergrube am Werk gewesen (Einstellung, die das
Ausliefern um so mehr verzögert, je mehr Mails in Auftrag gegeben sind),
und Deine Mail hatte noch in der "Warteschlange" gestanden.
Allerdings weiß ich nur von T-Online, dass die Teergruben einsetzen.
Gabriele Neukam
--
"Mom, there is a spider in the bathroom!"
"Are you sure?" - "Yes!"
"How many legs has it got?"
"I can't tell - but they are all dangling from a thread!" (c): RL
Hanno Wagner
begin Am Sat, 06 Apr 2002 17:51:10 +0200 meinte Klaus Engelbertz:
>> Ich bekomme seit einigen Wochen Mails mit dem Absender
>> cgi-maile...@kundenserver.de.
> ....
>> Woher und warum kommen diese Mails?
>>
>
> Das ist der freundliche Provider Strato, der es keinesfalls für
> richtig hält, sich um spammende Kunden zu kümmern.
Was bitte hat Strato mit Kundenserver.de zu tun??? Das ist Schlund.
Die Rechenzentren liegen zwar "nur" 5km auseinander, aber diese
Unterscheidung ist schon wichtig.
end
Ciao, Hanno
--
#"Sit, disk, sit. Good boy. Now spin up. Very good. Here's a netscape
# cookie for you. Fetch me some data. Come on, you can do it. No, not that
# data. Bad disk. Bad." -- Calle Dybedahl, alt.sysadmin.recovery