verwurmte Spambombe

Zunächst die kleine Vorgeschichte: Ich schreibe aktuell an einem Mailserver für die Jugendkunstschule, in der ich arbeite. Der Server soll seinen Posteingang von einer Catchall-Adresse beziehen, auf Viren und Spam prüfen und dann in die einzelnen Postfächer verteilen. Diese lassen sich dann von außen mit POP3 oder besser IMAP abrufen.

Momentan laufen bereits alle Mails an unbekannte Empfänger der Domain auf einer solchen Adresse auf, werden momentan jedoch noch nicht (regulär) verarbeitet. Damit tummeln sich nun inzwischen etliche Wurm- und Spam-Mails auf dem Account – ich lasse diese drauf, damit ich meinen Server gleich mit einer größeren Zahl von Mails testen kann.

Nun gucke ich heute auf diesen Mail-Account und nach und nach erscheinen Hunderte von Mails mit den immer gleichen Betreffzeilen:

  • Ihr Passwort
  • WM-Ticket-Auslosung
  • Glueckwunsch: Ihr WM Ticket
  • Ich bin’s, was zum lachen ;)
  • Ihre E-Mail wurde verweigert
  • FwD: Mail-Fehler!
  • WM Ticket Verlosung
  • Mail-Fehler!

Im Mail-Body befinden sich dann 3 Zeilen, welche dem Benutzer eine bestandene Virenprüfung des zip-Attachments versichern wollen:


**** Mail-Scanner: Es wurde kein Virus festgestellt
**** "UNSERE-DOMAIN" AntiVirus Service
**** WebSite: http://www.unsere-domain.de

Die Mails kommen (wie erwartet) von verschiedenen IPs von Privatnutzern. Auch der Inhalt ist mir bekannt – über diese Wurm-Welle wurde ja bereits ausgiebig berichtet. Was mir neu ist ist, daß die Mails in Wellen zu zig Mails innerhalb weniger Minuten auftreten. Bisher hat unser Account gut 750 Exemplare empfangen. Da jede Mail im Schnitt 73kB groß ist, ergibt sich damit ein benötigter Speicherbedarf von 53,5MB. Das kann doch eigentlich nicht im Sinne des Versenders sein? Zumal der Empfänger eine vermutlich auf kaum einer Domain verfügubare Adresse ist und wenn dann bloß beim Admin aufläuft. Ich hab daher den Verdacht, daß diese Mails nichts anderes als Mail-Bomben sind (um das Postfach zu verstopfen) und ihre eigentliche Schadfunktion (nach Umprogrammierung?) nebensächlich ist.

Ich werd jetzt den Großteil vom Account löschen, möchte aber die Gelegenheit nutzen, dem Autor dieser Mails hiermit öffentlich zu danken – ich hab jetzt eine etwas genauere Vorstellung davon, was man noch zusätzlich an Schutzfunktionen in den Mailserver integrieren kann, auf daß solche Massenmails in Zukunft (auf meinem Server) nicht mehr durchkommen.