Mail delivery failed: returning message to sender

[gblack]

Hallo,

habe momentan im Forum Version 3.0.12 trotz Captcha und einer weiteren Sicherheitsabfrage hunderte von Anmeldungen. In solchen Fällen sperre ich dann immer die E-Mail Adresse *@spamadresse.com
Das hat bisher auch recht gut funktioniert. Aber seit ein paar Tagen bekomme ich nach dem Sperren der Adressen hunderte Mail delivery E-Mails von den gesperrten Adressen, obwohl ich das Forum so eingestellt habe, dass keine Bestätigungsmails oder sonstige E-Mails versendet werden. Wie kann das sein?

Vielen Dank

[regazer]

Es könnte sein, daß die eigentliche Absender-Adresse eine andere ist und die gesperrte lediglich als Absender angezeigt wird.

Wenn mir jemand wiederholt Spam sendet, sperre ich außer der E-Mail-Adresse auch die jeweiligen IP-Adressen und Benutzernamen.

Der Titel dieses Themas hinterläßt bei mir übrigens eher den Eindruck, als ob an die gesperrten Adressen Mails verschickt würden, diese aber nicht zugestellt werden könnten und die entsprechende Nachricht darüber dann bei Dir ankommt.

Ansonsten: Was ist denn bei Registrierung eingestellt ? "Durch den Benutzer (Verifizierung der E-Mail-Adresse)" ?

[gblack]

Hallo und danke für die schnelle Antwort.
Bei der Registrierung steht "keine Aktivierung (direkter Zugang ohne Prüfung)

Das komische ist, dass wenn ich die Mail-Adressen sperre bekomme ich die mail delivery Emails. Lasse ich die Adressen zu bekomme ich Spameinträge aber keine mail delivery Emails mehr.
Die Bord Emails habe ich deaktiviert. Habe mal die Mail-Adressen des Forums geändert, trotzdem bekomme ich die mail delivery an die alte Mail-Adressen. Die neu eingetragene wird gar nicht berücksichtigt.

Ist mein Forum evtl. gehackt worden? Die Seite phpbb.com ist ja auch betroffen.
Was kann ich denn jetzt machen? Waren heute schon 367 mail delivery E-Mails.

Die E-Mails habe alle .com oder .org

[regazer]

Direkten Zugang ohne Prüfung zu gewähren halte ich für extrem gefährlich und es ist wahrscheinlich auch der Grund, warum so viele "ihr Glück" versuchen.

Das komische ist, dass wenn ich die Mail-Adressen sperre bekomme ich die mail delivery Emails. Lasse ich die Adressen zu bekomme ich Spameinträge aber keine mail delivery Emails mehr.

Das ist mir unverständlich. Allerdings kommt mir der Verdacht, daß Absender-Mail-Adressen benutzt werden, die es gar nicht gibt. Mich erinnert das an "normale" Spam-Mails, wie sie beim E-Mail-Account immer mal wieder eintrudeln.

Könntest Du mal ein paar dieser Absender-Mails nennen ? Ich habe ein paar Scripts bzw. Links (und löschbare E-Mail-Accounts meiner Freehoster ) , mit denen sich auch mehr oder weniger anonymisiert testen läßt, was passiert, wenn man diesen Spammern Mails schickt.

In jedem Fall würde ich empfehlen, den Zugang auf Durch den Benutzer (Verifizierung der E-Mail-Adresse) zu ändern. Das würde im Normalfall bewirken, daß sich nur Leute registrieren können, deren Mail-Adresse auch gültig ist. Ausserdem sind für das Captcha in dem Fall Fragen und Antworten statt Grafiken zu bevorzugen. Wer diese Hürde nicht nehmen kann, wird auch gar nicht erst bei den "Neuregistrierungen" auftauchen.

Was phpbb.com betrifft, so hat offensichtlich jemand Zugangsdaten eines "Führungsmitglieds" bekommen. Darüber, WIE das geschah und ob man das wirklich "gehackt" nennen soillte, will ich nicht spekulieren. Im normalen Sprachgebrauch würde man derartige Unachtsamkeit wohl eher Dummheit nennen. An einen Hack bei Dir glaube ich nicht. Ändere aber sicherheitshalber die Passwörter für Deinen Admin-Zugang UND für den FTP-Zugang.

Sind Modifikationen oder Snippets eingebaut? Welche phpBB-Version? Wie wäre es mal mit einem Link (auch gerne per PN) um mal selbst eine "Registrierung" mit einem Fakescript (und/oder Einmal-Account) versuchen zu können? Ein Mail-Sendescript würde ich extra für den Zweck entsprechend modifizieren, nur EINMAL benutzen (und danach gleich wieder vom Server löschen) und Dir ggf. die Unterschiede zwischen wirklichem und angeblichem Absender (nicht öffentlich im Forum) erläutern. Inwieweit Dir das allerdings weiterhelfen könnte, weiß ich aber leider auch nicht.

Gerade habe ich mal Deine älteren Beiträge durchgesehen. Das waren ja nicht viele, aber auch teils sehr seltsam. Was sind diese "Google Webmaster-Tools" ? Weil ich das nicht nutze, aber das entsprechende Suchergebnis bei Google ein Login erfordert, weiß ich darüber nichts. Kann es sein, daß dieses Zeug mitverantwortlich ist für den ganzen Müll ? Als ich mal bei einem Freehoster paar Tests installiert hatte, kamen nach wenigen Tagen massenweise Spam-"Registrierungen". Die Ursache war schnell gefunden. Der Hoster hatte gleich automatisch den Testaccount bei Google eingetragen und aus war es mit der anonymen Testerei. Google ist eine der größten Seuchen, sobald man dort UNGEFRAGT und UNGEWOLLT auftaucht. Darum habe ich bei fast all meinen Websites das Spidern durch Suchmaschinen per einfacher robots.txt im Hauptverzeichnis gesperrt:

Code: Alles auswählen

User-agent: *
Disallow: /

Ob sich Dein Spammer-Problem einfach lösen läßt, scheint mir fraglich. Versuche vielleicht auch mal eine Neuinstallation in einem Unterverzeichnis, so daß sich die Adresse zu Deinem Forum ändert. Aber probiere bitte zuallerst, ob das Umstellen auf Durch den Benutzer (Verifizierung der E-Mail-Adresse) hilft.

Oh sorry, was hat es denn damit auf sich

Die Bord Emails habe ich deaktiviert. Habe mal die Mail-Adressen des Forums geändert, trotzdem bekomme ich die mail delivery an die alte Mail-Adressen. Die neu eingetragene wird gar nicht berücksichtigt.

? Bekommst Du die Unzustellbarkeitsmails an Deinen E-Mail-Account ? Dann wären das doch "normale" Spam-Mails und hätten mit der Forensoftware gar nichts zu tun. Jetzt bin ich wirklich total verwirrt.

[Minthe]

Das mit den Mail-Delivery hatte ich letzte Woche.....25 Spamanmeldungen.
Als ich diese Mail in meinem Mail-Account sah wußte ich sofort, dass man meine Q&A Abfrage geknackt hat. Da ich die Funktion Bord-Mails abgestellt habe.
Bei der Q&A Abfrage war nur eine Zahl zum eintragen, also ziemlich einfach.
Ich habe sofort auf Admin-Freischaltung bei Neuanmeldungen umgeschaltet und die Q&Q Abfrage erneuert.
Alle Spammer, sammt Mail und IP gesperrt und seit dem ist wieder Ruhe im Karton.

Mich wundert nur, dass man am nächsten Tag noch versuchte sich anzumelden und etweiige Mail-Delivery-Mail, im Mail Account meines Mannes landeten. Seine Mail-Addy hat mit dem Forum gar nichts zu tun und ist auch dort nicht vermerkt.

[regazer]

Tja, was Mail-Spam bei Registrierungsversuchen betrifft, weiß ich jetzt auch nicht weiter. Eigene Tests, mich bei einem meiner Foren mit ungültiger Mail-Adresse (aber korrekt beantwortetem Captcha) zu registrieren, brachte keinen Meldung über Unzustellbarkeit, wohl aber "noch nicht freigegebene Mitglieder", was nach meiner Meinung ein Manko der phpBB-Programmierung darstellt. Die dürften erst als "Kandidaten für die Freigabe" auftauchen, wenn sie die Anmeldung bestätigen, also der E-Mail-Account existiert.

Vielleicht hilft das Thema "Spam" bei Allround phpBB.de irgendwie weiter: http://www.allround-phpbb.de/viewtopic.php?f=58&t=895

Dabei denke ich vor allem an die Hinweise von "Lady" (http://www.allround-phpbb.de/viewtopic. ... afbd#p5371)

@Minthe:
in dem Fall kannst du immer noch benutzerdefinierte Profilfelder verwenden (eingestellt als erforderliches Feld) für die Registrierung.
Machst du minimal drei unterschiedliche Felder, in die bei der Registrierung abwechselnd etwas einzugeben, etwas auszuwählen, oder etwas zu ermitteln ist, was sich nicht aus dem Text daneben ergibt. Das jeweils in allen Sprachen, die du zulassen möchtest (Benutzersprache: deutsch, englisch beispielsweise).
Du nimmst mindestens eine Antwort, die Sonderzeichen wie ä ö ü enthält, und schon stehen die Chinesen, Koreaner und Spambots voll auf dem Schlauch. Funzt bei mir seit Jahren, außerdem habe ich natürlich eine Länderliste, die du aber nicht verwenden willst. Noch nie einen einzigen Spameintrag gehabt.

Beispiel für benutzerdefinierte Profilfelder (ACP -> Benutzer und Gruppen):

frage_a = Typ Auswahlfeld (zwei oder mehr mögliche Antworten. Nur eine ist richtig, die steht NIE an erster Stelle, weil Bots immer zunächst das erste anklicken, die anderen Antworten sind völlig unsinnig.)

frage_b = Typ Auswahlfeld (eine andere Frage mit zwei oder mehr möglichen Auswahlen, von denen nur eine richtig sein kann)

frage_c = Einzeiliges Textfeld (eine Frage, deren Antwort sich nicht ablesen lässt. Sowas wie:
Welches Haustier miaut? -
erlaubte Antworten:
Katze
Katzen
Kater
Wie nennt man die großen gelben Katzen mit Mähne aus der afrikanischen Steppe? -
erlaubte Antworten:
Löwe
Löwen

gefunden = Einzeiliges Textfeld (freie Texteingabe, wer geworben hat oder ähnliches)
plz Einzeiliges Textfeld mit 5 erlaubten Zeichen
land Einzeiliges Textfeld mit 3 erlaubten Buchstaben

und so weiter. Da ist der Kreativität keine Grenze gesetzt. Freie Texteingaben, die ein Sonderzeichen erfordern, sorgen natürlich dafür, dass die meisten Leute aus dem Ausland aufgeschmissen sind - es sei denn, sie können es aus dem nebenstehenden Text kopieren Passe es halt auf deine Bedürfnisse an.

Außerdem gibts noch das Q+A (Frage und Antwort) Captcha, das im phpBB mitgeliefert ist. Gleiches Prinzip - du gibst mehrere Fragen ein, die dann zufällig bei der Registrierung gestellt werden.

Eine Kombination aus diesen Dingen ist schon äußerst hilfreich, besteht völlig aus Hausmitteln und ist nicht so leicht zu knacken. Die meisten Bots dürften schon bei der ersten Aufgabe (Felder) scheitern. Die menschlichen Spammer scheitern an den Fragen.

@Minthe: Bei Abfragen mit Zahlen sollten diese aber in der Frage ausgeschrieben werden, also nicht Wieviel ist 5+7 ? sondern Wieviel ist fünf und sieben ? und als Antworten dann sowohl Ziffern als auch Text (ohne Unterscheidung von Groß-/Kleinbuchstaben) erlauben. Ach, jetzt kapiere ich auch die Unzustellbarkeitsmeldungen: Weil die Mailfunktion des Boards abgestellt ist, geht alles an die eigentliche E-Mail-Adresse ? Das sollte man natürlich nicht machen !

Seine Mail-Addy hat mit dem Forum gar nichts zu tun und ist auch dort nicht vermerkt.

Manche Mail-Provider haben mitunter seltsame Sammelsysteme. Falls Eure Mailadressen sich teilweise ähneln, wird einfach um- bzw. weitergeleitet. Oder jemand kannte die Mailadresse woanders her oder hat einfach probiert. Hätte ich beispielsweise eine Mailadresse "noreply.regazer@sonst.wo" könnte jeder auf die Idee kommen, auch mal "admin.regazer@sonst.wo" oder "info.regazer@sonst.wo" zu probieren. Falls die existieren, kommt's an.

[gblack]

Vielen Dank für die Tipps.

Ich möchte noch mal kurz von Anfang an beginnen.
Mein Forum ist nicht so stark frequentiert und ich schaue selber nur ab und zu vorbei. Dabei habe ich festgestellt, dass viele neue Registrierungen stattgefunden haben trotz recaptcha und einer Benutzerdefinierten frage.
Die E-Mail Funktion war aktiv und die Registrierung war auf "Durch einen Administrator" eingestellt. Weil ich das Problem mit den falschen E-Mail Adressen schon einmal hatte. Wenn die E-Mail Adresse des Benutzers falsch ist und er bekommt vom Board eine E-Mail zur Bestätigung erzeugt das ja auch eine mail delivery E-Mail.

Die ganzen Spameinträge im Forum sind alle durchgekommen und konnten sogar Beiträge posten, trotz der Sicherheitsmaßnamen. Diese Benutzer habe ich dann alle von Hand gelöscht und die jeweiligen E-Mails gesperrt.
Danach ging es dann los, dass ich die ganzen Mail delivery E-Mails bekommen habe und zwar von den selben Adressen, die ich gesperrt hatte, nur der Name vor dem @ ändert sich regelmäßig. Weitere Einträge ins Forum sind danach aber nicht mehr geschehen.

Folgendes habe ich bisher schon gemacht:
1.Admin Name und Passwort geändert
2. Board E-Mails deaktiviert
3. E-Mail Adresse des Forums geändert
4. Registrierung Deaktiviert
5. ucp.php gelöscht
6. ftp passwort geändert
7. Vierenscan Local und auf der Seite
8. recaptcha in Q&A geändert

Alles ohne Erfolg, bekomme wie gesagt keine Anmeldungen mehr aber hunderte von mail delivery E-Mails von den gesperrten Absendern.
Folgenden E-Mails werden verwendet, wobei sich immer das Wort vor dem @ verändert.
Gesperrt habe ich die E-Mails so *@domainname.domainendung

Code: Alles auswählen

aobotom@yandexmailserv.com
aguhiq@neremail.com
achenaye@goashmail.com
uuluyetoo@westmailer.com
enaxiy@ssteermail.com
inaxezt@sdirfemail.com
ijotkog@asdjmail.org
auhdauya@aspotgmail.org
ewezetum@sorteeemail.com
ddikyu@mannbdinfo.org
owibeg@gmaieredd.com
ejedabani@neremail.com

PhpBB Version 3.0.12
Keine Mods oder Snippets

Google Webmaster Tools wird nur benutzt um eine sitemap.xml anzumelden. In der robots.txt habe ich das Forum natürlich nicht gesperrt, es soll doch auch gefunden werden.
Da das Forum eh nicht so viel genutzt wird könnte ich mir auch vorstellen, den ganzen Anmeldeprozess abzustellen, habe ich ja auch schon gemacht, indem ich die Registrierung deaktiviert habe, nur ohne Erfolg.

Ich glaube, man müsste die ganzen Dateien löschen, die für die Anmeldung und den E-Mail-Versand verantwortlich sind, leider weiß ich nicht, welche Dateien das sind.
Echt schlimm, was so ein Mist an Zeit kostet.

Danke an alle, die versuchen zu helfen.

[regazer]

Puh !

Du bekommst nur dann Unzustellbarkeitsnachrichten, wenn Du zuvor was an die ungültigen E-Mail-Adressen schickst. Falls also z.B. das Forum den Leuten Mitteilungen schicken sollte, daß sie gesperrt sind, wäre sowas der Fall. Benutze NICHT Deinen eigenen E-Mail-Account zum Mail-Versand !!!

Im ACP gibt es 2 Stellen für E-Mail-Adressen: Kontakt-E-Mail-Adresse und Antwort-E-Mail-Adresse. Hast Du beide geändert? Versuche vielleicht auch mal für beide verschiedene Angaben.

... Aus Sicherheitsgründen habe ich diesen Teil nachträglich gelöscht. ...

Die E-Mail-Sperren im Forum müßten korrekt funktionieren mit z.B.
*@yandexmailserv.com
*@neremail.com
*@goashmail.com
*@westmailer.com
usw.

Ich habe gerade mal diese 4 Server aufgerufen. Bei allen steht nichts weiter als der jeweilige Website-Name und der verlinkende Text "Powered by Vesta". Alle Sites sind bei "Leaseweb" in GB gehostet, wir das Firefox-AddOn "WorldIp" verrät. Der Verursacher (http://vestacp.com/) hosted in den USA bei "SoftLayer Technologies" ...

Die Spam-Mailer habe alle gemeinsam, daß deren IP mit "5.61" beginnt. Drei der betrachteten haben sogar die absolut identische IP 5.61.35.103, die Du unbedingt sperren solltest. Es ist kein Wunder, daß Mails dorthin zurück kommen. Das sind komplette Fakes. Ach ja: In der Browserzeile steht noch der Zusatz "Coming Soon" ...

Als Beispiel, wer dahinter steckt: http://www.ip-adress.com/whois/neremail.com:
We include detailed information like the server IP Address which is 5.61.36.153. Neremail.com resides at LeaseWeb B.V. in Germany. und Dank dieser Info findet man https://www.leaseweb.com/de-de/ ...alles etwas SEHR seltsam.

http://www.ip-adress.com/whois/westmailer.com
We include detailed information like the server IP Address which is 5.61.35.103. Westmailer.com resides at LeaseWeb B.V. in Germany.

Vielleicht fragst Du mal bei LeaseWeb B.V., was das soll bzw. in welchem Zusammenhang sie damit stehen. Vielleicht sind die "nur" Hoster?

http://reports.internic.net/cgi/whois?w ... ype=domain gibt auch nicht allzuviel Aufschluß:

Domain Name: NEREMAIL.COM
Registrar: TODAYNIC.COM, INC.
Whois Server: whois.todaynic.com
Referral URL: http://www.NOW.CN
Name Server: NS1.WESMAILER.COM
Name Server: NS2.WESMAILER.COM
Status: clientTransferProhibited
Updated Date: 10-oct-2014
Creation Date: 10-oct-2014
Expiration Date: 10-oct-2015

Auf wen diese Sites letztlich wirklich registriert sind, habe ich also nicht rausfinden können.

Aber mich würde trotzdem mal interessieren, wieso Dein Forum so interessant zu sein scheint.

Bedeutet eine gelöschte ucp.php nicht, daß das Forum gar nicht mehr funktionieren kann? Wie loggst Du Dich denn dann selbst ein?

Die Mail-Funktionen für das UCP könnten z.B. (Verzeichnis includes\ucp) diese Dateien sein:
ucp_activate.php, ucp_register.php, ucp_remind.php, ucp_resend.php

Mehr wüßte ich jetzt aber zu dem Thema wirklich nicht.

[Minthe]

Danke, für deine Antwort regazer
Ich hab die Frage/Anwort neu gestalltet und viele Umlaute in den Antworten.
Seit dem ist Ruhe.

Die Mail-Addy meines Mannes und meine unterscheiden sich gravierend. Eine Weiterleitung kann ich mir da nicht voestellen.
Doch nach meinen Änderungen gibt es auch keine Mail delivery mehr und ich hoffe das bleibt so.

[gblack]

Hallo,

danke für die Antwort und die Lösungsansätze. Es ist wirklich erstaunlich. Ich habe alle mal gesperrten E-Mails freigeschaltet und siehe da, keine mail delivery E-Mails mehr.
Verstehe wer will. Ich werde noch mal einige Tipps ausprobieren und wenn ich die 100% Lösung finden sollte, dann poste ich sie natürlich hier.

Vielen Dank, fröhliche Weihnachten und einen guten Rutsch