Willkommen im #Neuland
Login wie bei quake.ingame.de zuvor, die Passwörter aus der alten Datenbank wurden aber gelöscht - einmal hier neu anfordern.
Wer seine E-Mail-Adresse nicht mehr hat oder kennt, bitte eine Nachricht mit Infos schicken o. im Discord melden.

PQ Discord Server: #planetquake                                                                                                                                         Spenden? Hier entlang!

Firmen-IP auf Spam-Blacklist: was tun?

Netzwerk- und Internettechnik, Lan-Partys, IRC, Eggdrops uvm.
Antworten
wescht
Bitterman
Bitterman
Beiträge: 155
Registriert: Feb 2003

Firmen-IP auf Spam-Blacklist: was tun?

Beitrag von wescht »

Ich arbeite u.A. als Netzwerkadmin in einer PR-Firma. Die verdient ihr Geld u.A. damit, Newsletters zu verschicken. Seit einiger Zeit haben wir ein Problem: wir landen immer wieder auf Spam-Blacklists, d.h. unsere Newsletter werden als Spam markiert.

Einige Computer waren schwer virenverseucht. Jetzt habe ich auf allem PCs Virenscanner installiert, und lasse unregelmäßig hijackthis und mbam (http://www.malwarebytes.org/mbam.php) durchlaufen. Danach habe ich die IP vom Provider geändert (wir haben 4 IPs - fragt mich nicht warum), indem ich sie einfach am Router geändert habe.

Nun ist die "neue" IP wieder auf einer Blacklist; für mich gibt es jetzt 2 Möglichkeiten:
- entweder verschicken wir tatsächlich Spam durch unsere Newsletter, d.h. in die Newsletter-Verteiler-Listen ist eine honeypot-adresse.
- oder ein rechner hat einen trojaner.

mittlerweile glaube ich zu wissen, dass möglichkeit 2 (trojaner) nicht unwahrscheinlich ist (habe auf honeypot-seiten konkrete hinweise gefunden).

wie kann ich feststellen, welcher rechner die mails verschickt? gibt es irgendwelche netzwerktools, die mir die arbeit vereinfachen?
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab :catch:
cptn^dyna
Uriel
Uriel
Beiträge: 2821
Registriert: Okt 2000

Beitrag von cptn^dyna »

Als Netzwerkadmin solltest du das schon wissen ;) .
Unter Unix/Linux gibt es einige Log scripts.
C++0x
wescht
Bitterman
Bitterman
Beiträge: 155
Registriert: Feb 2003

Beitrag von wescht »

nuja. die hauptverdächtigen sind wie anzunehmen windows-pc, im netzwerk hängen auch noch linux-pcs.
es gibt noch einen managed switch und einen router, beide haben einen log, aber da steht nur schmarrn drinn (client a ist online / offline).
meinst du, den switch alle ports auf den linux-pc mirroren lassen, d.h. alle daten zusätzlich an den linux-pc schicken, und die daten dann zu analysieren?

kannst du nicht auch schreiben, welche scripts du schon verwendet hast? ich weiss schon dass es was gibt, aber was?
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab :catch:
cptn^dyna
Uriel
Uriel
Beiträge: 2821
Registriert: Okt 2000

Beitrag von cptn^dyna »

Sind Mails die nach aussen gehen Geschäftsschreiben, daraus folgt dass man diese archiviert werden müssen.

Guck also doch mal bei euren Archiv nach.

Ich weiß nicht welchen Server ihr nutzt, wir haben da IBM Lotus Notes Client/Server + IBM CommonStore und IBM Content Manager sowie IBM E-Mail Search.

Prinzipiell wäre es aber ne Möglichkeit einen Unix/Linux Rechner als Router laufen zu lassen um dort zu loggen. Wenn ich auf der arbeit bin guck ich eben mal in meiner Skriptbase... ich meine ich hatte da was eigenes.

Wieviele Windows rechner sind es denn?
C++0x
wescht
Bitterman
Bitterman
Beiträge: 155
Registriert: Feb 2003

Beitrag von wescht »

hehe ... nein so einfach ist das nicht.

die mails werden ja nicht über einen regulären account verschickt - das wär ja zu einfach.
die trojaner verschicken vermutlich "von selbst" mails (d.h. fungieren entweder selbst als mailserver, oder verwenden andere "zombies"), mit gefälschtem absender. im mailprogramm ist da logischerweise nichts.

es sind 12 Rechner, auf denen Windows läuft (und die damit alle in frage kommen)
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab :catch:
cptn^dyna
Uriel
Uriel
Beiträge: 2821
Registriert: Okt 2000

Beitrag von cptn^dyna »

ja und? Irgendwo müssen die doch durch. Lass die Rechner doch mal nach dem Feierabend durchlaufen und guck am nächsten Tag wer böses gemacht hat.
C++0x
wescht
Bitterman
Bitterman
Beiträge: 155
Registriert: Feb 2003

Beitrag von wescht »

ja soweit war ich auch schon. aber wie?
es geht "durch" den switch und den router, mehr fällt mir nicht ein.
der router hat "nur" eine firewall, bzw. die logfunktion ist unzureichend.
mal schnell einen linux-rechner als router einzurichten fällt aus platz- und verfügbarkeitsgründen flach (hab sowas noch nie gemacht und kann einen ausfall nicht riskieren)
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab :catch:
Spiritargh
Tank Jr.
Tank Jr.
Beiträge: 904
Registriert: Jan 2006

Beitrag von Spiritargh »

Wireshark drauf und im "Leerlauf" Traffic loggen. Oder sowas wie Netmon ( http://technet.microsoft.com/en-gb/sysi ... fault.aspx ). Vielleicht reicht Netstat ja auch schon.

Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.
http://www.quaddicted.com <- 1000 Quake Singleplayer Maps :catch:
Zeyall
Assist
Assist
Beiträge: 5678
Registriert: Jul 2004

Beitrag von Zeyall »

ohne dich angreifen zu wollen, aber du bist wirklich netzwerkadmin? ihr solltet wohl eher jemand zu rate ziehen, der auch erfahrung damit hat.
wescht
Bitterman
Bitterman
Beiträge: 155
Registriert: Feb 2003

Beitrag von wescht »

Original geschrieben von Spirit|argh
Wireshark drauf und im "Leerlauf" Traffic loggen. Oder sowas wie Netmon ( http://technet.microsoft.com/en-gb/sysi ... fault.aspx ). Vielleicht reicht Netstat ja auch schon.

Und um Himmelswillen, sobald du die betreffenden PCs identifiziert hast, fang nicht mit Virenscannern etc an, sondern sichere die Daten, formatiere und installiere von sauberen Medien.
danke!
ich hab den switch dazu überreden können, alle daten auf einen port zu "mirroren", dort dann wireshark installiert, und jetzt lass ich mal laufen ... ich filtere alle smtp-daten, die nicht über unseren mailserver laufen (Regel: "!(ip.addr == MAILSERVERIP) and smtp")

ja, ich weiss was ich zu tun habe, wenn ich den schuldigen habe ... nur das identifizieren ist so schwierig. Es hängen auch noch andere switches im netz, die nicht managable sind, und mir somit das abhören erschwert haben - aber jetzt gehts, glaub ich

@Zeyall
am Anfang waren 3 Windows-Computer zu warten, jetzt nach 2 Jahren ist die Firma ordentlich gewachsen, und ich bin immer noch da
Original erstellt von aimless
Ich wär ja für ein netron Forum, wo man einfach Sachen reinpostet, die man sucht und netron arbeitet die dann ab :catch:
Antworten