Im Kontext des Themas Abwehr von SPAM greife ich noch einen Sachverhalt auf, der aktuell wohl zum Problem wird. Mailing-Listen von Google Groups oder von Microsoft werden wohl zur Verteilung von SPAM-Nachrichten missbraucht. Das stelle Administratoren in Unternehmen vor Probleme. Zwei Blog-Leser haben mich unabhängig voneinander in den letzten Tagen auf entsprechende Fälle hingewiesen. Ich ziehe den Sachverhalt mal in einem separaten Blog-Beitrag heraus.
Mailing-Listen als lukratives Ziel
Von Google und Microsoft werden sogenannte Mailing-Listen angeboten. Eine Mailingliste bietet einer geschlossenen Gruppe von Menschen durch eine Vernetzung mit elektronischen Mitteln die Möglichkeit zum Nachrichtenaustausch per E-Mail. Dieser Nachrichtenaustausch ist innerhalb der Gruppe öffentlich. Die Wikipedia hält hier eine umfangreiche Erläuterung zum Thema bereit.
Ich selbst nutze dies kaum, es gibt nur eine Mailing-Liste von patchmanagement.org, auf der ich eingetragen bin. Als ich gestern über die BlackLotus UEFI-Problematik berichtete , fiel mir ein Post auf, wo alle Links auf das Versicherungsangebot des Posters verwiesen. Allerdings war der Text sinnvoll auf das Thema bezogen – das Ganze könnte ein "Versehen" oder ein raffinierter Versuch, Aufmerksamkeit für das eigene Angebot zu bekommen, gewesen sein.
Generell ist das Missbrauchspotential von Mailing-Listen sehr hoch. Es braucht jemand nur auf eine Mailing-Liste zu gelangen, schon kann er den Empfängern der Liste Nachrichten übermitteln. Die Wikipedia schreibt noch: "Mailinglisten werden teilweise missbraucht, indem böswillige Dritte die E-Mail-Adresse eines Empfängers – ohne das Einverständnis des Empfängers – in verschiedene Listen eintragen, so dass dieser fortan regelmäßig unerwünschte E-Mails von dieser Liste erhält (sogenanntes List-Linking)." In der EU sollte dies durch ein double Opt-in eigentlich verhindert werden – aber es gibt halt auch Mailing-Listen, die dieses Opt-in ignorieren.
Mailinglisten für SPAM missbraucht
Für mich ist auffällig, dass in den letzten Tagen gleich zwei Leser mich auf den Missbrauch von Mailing-Listen für den SPAM-Versand hingewiesen haben. Ich stelle die Informationen nachfolgend mal ein.
Spamwelle mittels Google Groups Mailinglisten
Eiko hat mich vor einigen Tagen ebenfalls auf ein Spam-Problem hingewiesen (vielen Dank). In den Ticketsystemen des Unternehmen erhalten sie aktuell eine Vielzahl an Spammails, welche augenscheinlich von Google Groups-Mailinglisten kommen, schreibt er.
Dadurch entstehen vor allem Probleme, dass die Abonnenten einer solchen Liste die Autoantworten einer Vielzahl von Empfängeradressen sehen. Denn diese antworten an die Liste, und die Antworten werden dann entsprechend an alle eingetragenen Empfänger verteilt.
Da hier Google Groups als Versender auftritt, kommt es vermutlich auch zu einer schlechteren Erkennung am Spamfilter, vermutet Eiko. "Nach meinem Verständnis läuft der Spam so ab, dass der Spammer eine Mailingliste bei Google registriert, dort seine Empfänger einträgt (wie viele ist mir nicht klar) und dann seine Spammail losschickt. Sicherlich über eine API bei Google, um das Ganze schön automatisiert zu machen." schreibt Eiko. Hier der anonymisierte Header einer solchen Mail.
Precedence: list
Mailing-list: list sbh@tps.zinocraft.com; contact sbh+owners@tps.zinocraft.com
List-ID: <sbh.tps.zinocraft.com>
X-Spam-Checked-In-Group: support@tps.zinocraft.com
X-Google-Group-Id: 284193417895
List-Post: <https://groups.google.com/a/tps.zinocraft.com/group/sbh/post>, <mailto:sbh@tps.zinocraft.com>
List-Help: <https://support.google.com/a/tps.zinocraft.com/bin/topic.py?topic=25838>,
<mailto:sbh+help@tps.zinocraft.com>
List-Archive: <https://groups.google.com/a/tps.zinocraft.com/group/sbh/>
List-Subscribe: <https://groups.google.com/a/tps.zinocraft.com/group/support/subscribe>,
<mailto:support+subscribe@tps.zinocraft.com>
List-Unsubscribe: *mailto:googlegroups-manage+284193417895+unsubscribe@googlegroups.com,
*ttps://groups.google.com/a/tps.zinocraft.com/group/sbh/subscribe
Andere Systeme antworten dann halt auch an diese Liste und die verteilt die Antworten weiter, bis das Sende- bzw. Empfangslimit erreicht ist, schreibt Eiko. Das endet dann in einem NDR (non delivery report) seitens Google.
Mysteriös: "Leere" Phishing-Mails
Martin hat mich per Mail noch über eine interessante Beobachtung informiert. Er bekommt seit letzter Woche Spam-Nachrichten, die nicht so wirklich Sinn machen, weil der Inhalt vermeintlich leer ist. Er beschreibt folgendes:
- Absender-Anzeigename erscheint in der Form von "xyz@lalala.com im Auftrag von sieht-serioes-aus @ unternehmen.de".
- Die E-Mail [d.h. der Body der Nachricht] ist leer, was Text betrifft, und enthält nur ein großes Bild als "Werbung".
Dieses Bild dürfte in gängigen Mail-Clients aber lediglich als Platzhalter erscheinen, da diese Bilder i.d.R. nur auf Nutzeranforderung anzeigen. Martin hat daher das Bild aus den betreffenden Mails nicht heruntergeladen, und daher keine Ahnung was das jeweilige Bild zeigt. Der Betreff der Mail habe schon mal was mit Oral-B-Zahnbürsten, Temu-Paletten, Shein-Mystery-Boxen etc. enthalten, merkt der Leser an.
Was das Ganze für Mitarbeiter in Unternehmen und deren IT-Administratoren ärgerlich macht, sind die Antworten der Mailingliste. Martin schreibt dazu: "Kurz darauf erhält er [der Empfänger der Mail aus der Mailingliste] einen Autoresponder von einem Unternehmen, z. B. Krankenversicherungen, Unternehmen, Sparkassen/Banken, Autohäusern, Zeitungsverlagen – die aber alle an die ursprüngliche Absenderadresse gerichtet sind (ich also im CC/BCC)."
Martin schildert die Implikationen, die sich daraus ergeben: "Heute antwortete dann ein Mitarbeiter eines Pflegedienstes zur E-Mail mit der Temu-Palette an eine Personalunternehmen(!)". Das war in der Ursprungsmail aber nicht der Absender. Die Nachricht:
Hallo Hören Sie auf, mir irgendwelche Mail zu zusenden. Ich habe mit Ihnen nichts zu tun.
Hilfloser Versuch, da gegen irgend einen Spammer vorzugehen, der nutzlos ist. Martin vermutet ein gefaktes Reply-To oder gleich eine Mailingliste, worüber er die Mails das dann erhalten hat. Auch ein Personaldienstleister habe, so Martin, geantwortet: "Danke für die Info. Jedoch kenne ich Sie auch nicht und kann ich weiß nicht, von welchen Mails Sie sprechen." Martin hat mal einige Kopfzeilen überflogen, da waren unter anderem SMTP-Server von Google und Microsoft beteiligt. Das ist also die gleiche Masche, die in obigem Leserhinweis beschrieben wird.
Wie geht ihr damit um?
Oben hatte ich erwähnt, dass der Besitzer einer Mailingliste dafür sorgen muss, dass Spammer rausfliegen oder es erst gar nicht auf die Liste schaffen. Das douple Opt-in-Verfahren sollte zumindest sicherstellen, dass eine gültige E-Mail-Adresse der Teilnehmer vorliegt. Ich habe mal kurz recherchiert – dieser Beitrag, gehostet auf einer Webseite aus Südafrika, erklärt die "best practice" für Mailinglist, um Spam zu verhindern und gibt Tipps, was Spammer vermeiden sollten. Hilft natürlich nicht, wenn man nicht der Betreiber der Mailinglist ist.
Auch Google hat den Beitrag Mailing Lists, SPAM, DKIM and other unpleasant realities zum Thema veröffentlicht. Die Frage ist, wie ihr mit diesem Thema in Unternehmen umgeht? Oder ist das noch kein Thema?
Ergänzung: Ein Leser schrieb mir, dass auch von Google Cloud Anfang November 2025 und davor extrem viel Müll rein komme. Im Header der Mails steht überall z.B.
Received: from localhost (145.160.77.34.bc.googleusercontent.com [34.77.160.145])
Die IPs wechseln mit jeder Spam-Mail. Es nervt einfach nur noch. Der Leser merkte an, dass man die Google-Groups Spam-Mails mittlerweile global für rund 10.000 Mailnutzer blockiert habe.
MVP: 2013 – 2016
Eigentlich ist das ein alter Hut, es betrifft nicht nur bekannte Mailinglisten, sondern z.B. auch extra für SPAM eingerichtete Mailinglisten. Mit der richtigen Software bekommt man das in den Griff https://rspamd.com
Auf meinem Server bekam diese Mail von der Mailingliste einen rspamd-Score von 3,8 und damit nichtmal einen Spam-Header. Gibt es da spezielle Einstellungen für rspamd, um sowas gezielt höher zu bewerten?
Wenn man überhaupt keine Mails von Google Groups erwartet, reicht eigentlich diese einfache Lösung aus:
/etc/rspamd/local.d/force_actions.conf
rules {
MAILLIST_GOOGLEGROUPS {
expression = "MAILLIST[googlegroups]";
message = "Request rejected. We neither expect nor accept emails from Google Groups"
action = "reject";
}
}
Ich bekomme da aber ein Fehler
# rspamadm configtest
cannot register delayed dependency FORCE_ACTION_MAILLIST_GOOGLEGROUPS -> MAILLIST[googlegroups]: destination MAILLIST[googlegroups] is missing
expression = "MAILLIST[googlegroups]";
ändern in
expression = "MAILLIST";
Dann filtert rspamd alles was das Modul MAILLIST bietet https://docs.rspamd.com/modules/maillist/#:~:text=The%20mailing%20lists%20module%20detects,content%2C%20or%20subject%20munging).
Natürlich nur nutzen wenn man keine Maillinglisten Mails erwartet
Google und Microsoft Spam kommt seit vielen Monaten auch ohne Mailingslisten.
Bei mir wird alles was im header proxy, forward usw. hat von beiden Dienste so abgewertet dass es im Spam landet.
Unternehmen die wollen dass Mails ankommen sollten auf beide Dienste verzichten.
so sieht's aus… 100% ACK
in dem Beispiel fehlen mir die x-header die sagen, das das eine Email von einer Mailingliste ist.
Welcher Listserver macht so etwas?
Das regelt im allgemeinen nen ordentlicher SPAMfilter… Also SPAM hab ich seit Jahren keinerlei Probleme werden zuverlässig gefiltert. Zu Beginn in der Lernphase muss man da evtl. nochmal drüber schauen, danach ist Ruhe im Karton.
Packst da gleich noch nen Phishingfilter mit dazu ist auch da Ruhe dann bleibt allenfalls noch Spearphishing übrig um das man sich noch kümmern muss.
SPAM & Phsishing ist zu 100% handelbar, man muss nur den Arsch hochbekommen und es angehen.
Lernen vom Spamfilter hilft da oft nur bedingt. Daher habe ich manuelle Regeln drinnen für SA was vorm rspamd läuft.
Dafür sind dann Xbox Store Mails oft auf Blacklisten von den IPs her…. 🙈
Du kannst auch in RSpamD manuelle Regeln erstellen. Muss man sich ein wenig einarbeiten, vor allem wenn man vom SA kommt ist das ganz anders ;-) Hat eine Weile gedauert, aber heute mache ich alles nur im RSpamD (was nicht postfix bereits im Vorfeld direkt ablehnt).
Noch nie Probleme auf den von mir betreuten Mailservern mit gehabt. Liest sich eher nach Leute mit fehlerhaften SPF/DKIM/DMARC Einstellungen.
Wenn Du einen vollständigen Header einer solchen Mail zeigen könntest?
Wir hatten am Montag genau diese Mails im Spamfilter, was unsere Mitarbeiter reichlich verwundert hat, da weder Empfänger noch Absender.
Vielen Dank Günter für dein Blog, was würden wir nur ohne dich machen ?
Wer Spam Beispiele möchte oder die SA Regeln kann mich gern kontaktieren über die temporäre Adresse sitzen.maske_0a@icloud.com
Wird hier zu unübersichtlich wenn da langen Header von MS Mails poste. 😉
Moin,
früher wurde das einfach in pastebin geklatscht :D
Da war es auch egal, was für Daten 😂
MfG,
Blackii
wer fährt denn ein so dämliches System, das automatisch auf Mails von von Mailinglisten antwortet? Hallo?
Das war etwas, was sogar Microsoft schon von gefühlt 30 Jahren abgestellt hat.
Hier hat Google versagt. Solche Empfänger müssen sofort von der Liste fliegen, die out of office mails schicken.
Das ist eigentlich common practice
Auch eine alte Diskussion:
Soll eine Antwort defaultbanbdue Liste gehen,also diskutiert werden, oder nur an den Absender der E-Mail, was jede Diskussion sehr wirksam verhindert
Habe ich hier auch seit einer Woche verstärkt, auch weil es viele "Urlaubsabwesenheiten" als Antwort gibt. Das ist dann blöd, weil die ursprüngliche Spam-Mail gekennzeichnet wird (rspamd von mailbox.org), aber die automatischen Antworten ohne "Spam-Payload" nicht.
Header sind analog zu eikos Mail, Gruppe existierte beim Versuch, nachzuschauen bereits nicht mehr.
been observing these emails for two months now. it's interesting how my email got on the Google groups anyway. my email is a domain that's been linked with Google apps when it was still free, must have been 10 years at least. This makes my email a business account and for some reason I can't access certain google features… google groups is one such feature my account is not allowed to access… something google really has to fix, these reply mails are getting annoying.
Hatten wir einen Riß in der Ort-Zeit?
"Hallo Hören Sie auf, mir irgendwelche Mail zu zusenden. Ich habe mit Ihnen nichts zu tun."
Das habe ich vor gefühlt 30 Jahren das letzte Mal erlebt
Da hatten aber ein Knilch alle Adressen ins "an" geknackt.
Könnte es sein, dass die Empfänger der E-Mail von einem 3. an der Liste angemeldet wurden und der 3., der Spammer, so die Mail Filter umgehen will?
Tritt aber nur bei schlechten Lustservern auf, die die Anmeldung nicht bestätigen lassen. War aber schon vor 30 Jahren Praxis.
man hat damals Leute einfach an zig Low Traffic Mailing listen angemeldet hat, und dann seinen Spam auf die Listen gesetzt hat.
Die Beschwerden dienten dann als Multiplikator des DOS.
Daher kann es gut sein, dass der Spam leer war.
Dkim ist Bei Mailinglisten ein grundsätzliches Problem.
Die Listserver Versenden ja E-Mails mit dem Namen anderer und müssen etwas tricksen damit dkim spf nicht greifen.
Hier wurden vermutlich unbeteiligte Opfer in den schlecht konfigurierten Listserver als Interessent eingetragen.
Der Liste server arbeitet ohne Double Optin
Der List server hat keine Sperre wie viele Empfänger der Erzeuger der Liste Eintrag darf.
Das ist wie ich schrieb ein Problem, das schon vor Urzeiten gelöst worden ist… Vermutlich fand das Microsoft Marketing das zu kompliziert…
Habe da auch eine Hand voll bekommen und erstmal komisch geguckt. Sehr untypischer Spam.
Um DKIM zu umgehen enthalten die auch ARC Header von google.
Ich frage mich nur wie es sein kann das man dort auf eine Mailingliste kommen kann ohne opt-in?!
Solange das nicht mehr wird ignorieren wir das erstmal.
Bei uns wird grade ein einzelner User massiv zugespammt, sowohl mit Autoreplies als auch mit Mails mit Virenanhang. Mailinglisten sind ein guter Ansatzpunkt für Recherche, danke für den Artikel/Denkanstoß!
Ich war auch auf diversen Google Groups Listen ohne Opt-In drauf. Problem ist wie gesagt: Spam Filter greifen bei den Autoresponder und den verzweifelten manuellen Antworten Betroffener nicht.
Interessant ist, das die Ids der Listen scheinbar gleich bleiben, der Name allerdings nicht:
List-ID:
X-Google-Group-Id: 341032246988
Im Header findet sich auch ein mailto Link zum unsubscribe:
List-Unsubscribe:
Ich meine da kann man gefahrlos hinschreiben, dann ist erstmal Ruhe, bis man wieder auf ner Liste landet. Da ist aber google gefragt.
Auch bei uns melden sich immer mehr Kunden, die davon betroffen sind. Problem: die Mailserver von Google können wir nicht sperren (wir könnten das schon), aber dann kommt auch der ganze gmail-Kram nicht mehr an.
Die Autoreply der Unternehmen werden oft durch Spam über eine Google Mail Liste ausgelöst.
Um sich aus der speziellen Liste auszutragen senden Sie eine leere E-Mail z.B. an:
googlegroups-manage+244433668019+unsubscribe@googlegroups.com
Die ID kann unterschiedlich sein, die genaue Adresse um Abmelden findet man im E-Mail Quelltext.
Ggf. kann man googlegroups.com auch zum Spamfilter hinzufügen.
Bei mir ist das heute auch komplett eskaliert, nachdem so ein paar Server mit automatischen Antworten angefangen haben Ping Pong mit den automatischen Antworten zu spielen. Und natürlich sind die alle so konfiguriert, dass sie die automatischen Antworten dann an die ganze Liste schicken.
Nachdem mein Spam-Ordner dann heute innerhalb weniger Stunden auf über 6500 Mails gewachsen ist, habe ich meinem Server letztendlich beigebracht, alles was "groups.google.com" und "googlegroups.com" in irgendeinem Header hat einfach komplett abzulehnen. Bei diesen Massen möchte ich das auch nicht mehr im Spam-Filter haben, den Speicherplatz kann ich mir auch einfach sparen.
Aber welcher MTA sendet Abwesenheitsnachrichten auf Mails mit Precedence: List oder Bulk? Oder sendet Goggle Groups etwa nicht mit so einer Precedence?