d-hosting technische Informationen

Mailserver-Höllenritt durch Aktien-Spam

Ähnlich wie bereits im Mai[1] führen seit einigen Tagen massive, in
kurzen Abständen von Minuten bis Stunden erfolgende Spam-Angriffe
regelmäßig Mailsysteme an ihre Belastungsgrenzen. Am Dienstag
vergangener Woche begann der Betreiber eines offenbar sehr großen
Botnetzes damit, in riesiger Anzahl PDF-Dateien zu versenden, die für
den Kauf bestimmter Aktien werben.

Seit einigen Tagen haben Mailserver, die die iX-Blacklist abfragen, in
rascher Folge mit Lastspitzen zu kämpfen (Quelle: manitu).

Die Grafik zeigt den zeitlichen Verlauf der DNS-Abfragen an einen der
Blacklist-Server des Projekts NiX Spam[2] über die vergangenen Tage.
Am Morgen des vergangenen Dienstags begannen die Spam-Angriffe
wie Peitschenhiebe. Sie wiederholen sich seitdem mehr oder weniger
heftig in kurzen Abständen, was das Diagramm in Form von
zahlreichen Spitzen darstellt, die den “normalen” Tagesrhythmus
überlagern. Ein einzelner Verursacher kann anscheinend nach Belieben
den gesamten Mail-Verkehr schlagartig dominieren, insbesondere am
Wochenende, wenn der Anteil erwünschter Mails noch geringer ist als
sonst.

Im Laufe des vergangenen Wochenendes sank zwar die Zahl der
verwendeten IP-Adressen deutlich, doch dafür änderte sich die
Verpackung der Inhalte: Zum Teil sind jetzt ZIP-Dateien unterwegs, die
wiederum PDF-Aktien-Spam enthalten, zum Teil kommt der Werbemüll
in Form von Excel-Dateien daher. Der Versender hat am Wochenende
relativ wenige Botnetz-Rechner und damit IP-Adressen zum Versenden
missbraucht, doch ein erneuter Anstieg am heutigen Montag lässt
befürchten, dass es sich dabei lediglich um Testläufe handelte.
(un[3]/iX)

URL dieses Artikels:

http://www.heise.de/newsticker/meldung/93106

Links in diesem Artikel:
[1] http://www.heise.de/newsticker/meldung/90241
[2] http://www.heise.de/ix/nixspam/dnsbl/
[3] mailto:un@ix.heise.de

————————————————————————
Copyright 2007 Heise Zeitschriften Verlag

Im Bereich Berlin besteht zur Zeit eine Netzwerkstörung. Unsere Technologiepartner arbeiten bereits an der Entstörung. Sobald wir nähere Informationen erhalten, werden wir diese umgehend an Sie weiterleiten.

Nachtrag 15:02 Uhr:
wir haben soeben folgende neue Information zu o.g. Netzwerkstörung erhalten:
Ausfall bs3403 Port 2-10 (eine von 5 Backbone-Leitungen), dadurch sehr schlechte Erreichbarkeit der Devices an bs3403
Sobald uns neue Informationen vorliegen, werden wir diese umgehend an Sie weiterleiten.

2. Nachtrag 16:15 Uhr:
Wir haben soeben folgende neue Information zu o.g. Netzwerkstörung erhalten:
Ausfall bs3403 Port 2-10 (eine von 5 Backbone-Leitungen), dadurch sehr schlechte Erreichbarkeit der Devices an bs3403 – ein Techniker wird gegen 17:30h vor Ort sein
Sobald uns neue Informationen vorliegen, werden wir diese umgehend an Sie weiterleiten.

In der Nacht vom 28.06.07 zum 29.06.07 werden wir in der Zeit von 02:00 bis 05:00 Uhr Wartungsarbeiten an einem unserer Mailserver durchführen.

Hierbei werden folgende Arbeiten ausgeführt:
- Arbeiten an einem Mail Server (pop. und smtp.all.de ; pop. und smtp.logivision.de)

In dieser Zeit wird es zu einer Unterbrechung Ihrer Mail-Dienste von ca. 1 Stunde kommen.

Wir bitten, die Unannehmlichkeiten zu entschuldigen.

In der Nacht vom 23.06.07 zum 24.06.07 werden wir in der Zeit von 02:00 bis
05:00 Uhr Wartungsarbeiten an einem unserer Mailserver durchführen.

Hierbei werden folgende Arbeiten ausgeführt:
- Hardwaretausch bei einem Mail Server frosch.all.de (pop. und smtp.all.de ; pop. und
smtp.logivision.de)

In dieser Zeit wird es zu einer Unterbrechung Ihrer Mail-Dienste von max. 30
Minuten kommen.

Wir bitten, die Unannehmlichkeiten zu entschuldigen und verbleiben

Im Moment liegt eine Störung bei der bundesweiten Einwahl vor. Der zuständige Carrier arbeitet bereits an der Entstörung. Die Störung dauert voraussichtlich noch ca. 20 Minuten.

Nachtrag 15:05 Uhr
Störung ist behoben, die Einwahl steht wieder zur Verfügung.

Die Anti-Spam-Dienste Spamhaus, SURBL und URIBL, die bekannte Spam-versendende Rechner und zugehörige IP-Adressen auflisten und für die Mailfilterung aufbereiten, sehen sich seit Mitte vergangener Woche einem verteilten Denial-of-Service-Angriff (DDoS) ausgesetzt. Während der Angriffe in der vergangenen Woche konnten die Dienste zwischenzeitlich erfolgreiche Gegenmaßnahmen einleiten und blieben oft verfügbar. Derzeit sind jedoch die Webseiten von Spam URI Realtime Blocklists (SURBL) und Realtime URI Blacklist (URIBL) nicht mehr aufrufbar, auch das Rules Emporium mit aktuellen Regeln für den Spam-Filter SpamAssassin lässt sich nicht erreichen.

In einem Thread in der Newsgroup news.admin.net-abuse.email erläutert Steve Linford vom Spamhaus-Projekt, dass die Server durch eine DDoS-Attacke zeitweise nicht erreichbar waren. Linford äußert dort auch die Vermutung, dass der Angriff von dem Botnet ausginge, das mit dem Sturmwurm Anfang dieses Jahres aufgebaut wurde.

Mit DDoS-Attacken hatten Spammer im vergangenen Jahr bereits Erfolg: So hatte das Start-up-Unternehmen Blue Security seinen Anti-Spam-Dienst unter dem Druck durch einen anhaltenden Angriff eingestellt. Eine derartige DDoS-Attacke dürfte eine Verzweifelungstat der Spamversender sein, die auf die Effizienz der Filter hinweist. Es bleibt derzeit nur zu hoffen, dass die Angreifer dieses Mal keinen Erfolg haben.

Siehe dazu auch:

* Spamhaus Under Another DDOS?, Thread in der Newsgroup news.admin.net-abuse.email

(Quelle: heise online)

Für den Erhalt der Netzstabilität müssen vorbeugende Wartungsarbeiten durchgeführt werden.

Es wird im genannten Zeitraum mit einem Ausfall zu rechnen sein. Bitte entnehmen Sie die Details der unten angeführten Liste.

Wir bitten diese Unannehmlichkeiten zu entschuldigen und hoffen auf Ihr Verständnis.

Von / Start : 09.06.2007 00:00:00
Bis / End : 10.06.2007 04:00:00
Ort / Location : Berlin Rechenzentrum Lützowstr. 105
Ausfall ca./loss of connectivity approx.: > 1 Minuten Min. /Mns. (Unterbrechung nicht vor 01:00 Uhr)
Ausfallwahrscheinlichkeit/probability of disconnection: 100 %
Art der Arbeit:
Wartungsarbeiten zur Optimierung der Netzwerkstabilität
Betroffen sind unter anderem alle Maildienste (POP3, SMTP)

Leider gibt es derzeit Störungen bei unseren virtuellen Webservern.

Für genauere Informationen stehen wir Ihnen gerne persönlich zur Verfügung.
Wir bedauern die für Sie durch die Störung entstandenen Unannehmlichkeiten.

Nachtrag (11:48 Uhr): Alle Dienste sind nun wieder ohne Probleme erreichbar.

Nachtrag (04.06.07 13:07 Uhr):
Heute Abend werden wir in der Zeit von 22:00 bis 00:00 Uhr ausserplanmäßige
Wartungsarbeiten an einem unserer Server, welcher für virtuelle Webserver
zuständig ist, durchführen.

In dieser Zeit kann es zu mehreren Unterbrechungen Ihrer Dienste von jeweils
1-2 Minuten kommen.

Wir bitten, die Unannehmlichkeiten zu entschuldigen und verbleiben

Bezugnehmend auf die Störung des POP3 vom 23.05.2007 möchten wir wie folgt Stellung nehmen.

Es wurden in der Nacht vom 22.05. zum 23.05.07 Wartungsarbeiten an einem unserer POP3-Mailserver durchgeführt.

Leider kam es als Folge daraus zu unvorhergesehenen Problemen des POP3-Dienstes auf dem Server am Vormittag des 23.05.07. Es sind jedoch keine Emails verloren gegangen, sie wurden alle im Laufe des Tages an die Postfächer zugestellt.

Wir bitten die Unannehmlichkeiten zu entschuldigen.

In der Nacht vom 22.05.07 zum 23.05.07 werden wir in der Zeit von 21:00 bis 00:00 Uhr Wartungsarbeiten an einem unserer Mailserver durchführen.

Hierbei werden folgende Arbeiten ausgeführt:
- Upgrade eines Mail Servers

In dieser Zeit kann es zu einer Unterbrechung Ihrer Mail-Dienste von ca. 15 Minuten kommen.

Wir bitten, die Unannehmlichkeiten zu entschuldigen